Partager via


Comparer les solutions de gestion des identités AWS et Azure

Ce guide concerne les organisations qui utilisent Amazon Web Services (AWS) et souhaitent migrer vers Azure ou adopter une stratégie multicloud. Ces conseils comparent les solutions de gestion des identités AWS à des solutions Azure similaires.

Conseil / Astuce

Pour plus d'informations sur l'extension de Microsoft Entra ID à AWS, consultez la gestion de l'identité et la gestion des accès Microsoft Entra pour AWS.

Services d’identité de base

Les services d’identité de base dans les deux plateformes constituent la base de la gestion des identités et des accès. Ces services incluent les fonctionnalités principales d’authentification, d’autorisation et de comptabilité, ainsi que la possibilité d’organiser les ressources cloud en structures logiques. Les professionnels AWS peuvent utiliser des fonctionnalités similaires dans Azure. Ces fonctionnalités peuvent avoir des différences architecturales dans l’implémentation.

Service d'AWS Service d'Azure Descriptif
AWS Identity and Access Management (IAM) Identity Center Microsoft Entra ID Service de gestion des identités centralisé qui fournit l’authentification unique (SSO), l’authentification multifacteur (MFA) et l’intégration à différentes applications
Organisations AWS groupes d’administration Azure Structure d’organisation hiérarchique pour gérer plusieurs comptes et abonnements à l’aide de stratégies héritées
AWS IAM Identity Center Authentification unique Microsoft Entra ID Gestion centralisée des accès qui permet aux utilisateurs d’accéder à plusieurs applications à l’aide d’un seul ensemble d’informations d’identification
Service d’annuaire AWS Microsoft Entra Domain Services Services d’annuaire managés qui fournissent une jonction de domaine, une stratégie de groupe, un protocole LDAP (Lightweight Directory Access Protocol) et une authentification Kerberos ou NT LAN Manager (NTLM)

Authentification et contrôle d’accès.

Les services de contrôle d’accès et d’authentification dans les deux plateformes fournissent des fonctionnalités de sécurité essentielles pour vérifier les identités des utilisateurs et gérer l’accès aux ressources. Ces services gèrent l’authentification multifacteur, les révisions d’accès, la gestion des utilisateurs externes et les autorisations basées sur les rôles.

Service d'AWS Service d'Azure Descriptif
AWS MFA Microsoft Entra MFA Couche de sécurité supplémentaire nécessitant plusieurs formes de vérification pour les connexions utilisateur
AWS IAM Access Analyzer Révisions d’accès Microsoft Entra Outils et services permettant d’examiner et de gérer les autorisations d’accès aux ressources
AWS IAM Identity Center ID externe Microsoft Entra Plateforme de gestion de l’accès des utilisateurs externes pour sécuriser la collaboration entre organisations. Ces plateformes prennent en charge des protocoles tels que SAML (Security Assertion Markup Language) et OpenID Connect (OIDC).
AWS Resource Access Manager Contrôle d’accès en fonction du rôle Microsoft Entra (RBAC) et RBAC Azure Services qui peuvent partager des ressources cloud au sein d’une organisation. AWS partage généralement des ressources cloud sur plusieurs comptes. Azure RBAC peut obtenir un partage de ressources similaire.

Gouvernance des identités

Pour maintenir la sécurité et la conformité, vous devez gérer les identités et l’accès. AWS et Azure fournissent des solutions pour la gouvernance des identités. Les organisations et les équipes de charge de travail peuvent utiliser ces solutions pour gérer le cycle de vie des identités, effectuer des révisions d’accès et contrôler l’accès privilégié.

Dans AWS, la gestion du cycle de vie des identités, des révisions d’accès et de l’accès privilégié nécessite une combinaison de plusieurs services.

  • AWS IAM gère l’accès sécurisé aux ressources.
  • IAM Access Analyzer permet d’identifier les ressources partagées.
  • Les organisations AWS fournissent une gestion centralisée de plusieurs comptes.
  • IAM Identity Center fournit une gestion centralisée des accès.
  • AWS CloudTrail et AWS Config permettent la gouvernance, la conformité et l’audit des ressources AWS.

Vous pouvez adapter ces services pour répondre à des besoins organisationnels spécifiques, ce qui permet de garantir la conformité et la sécurité.

Dans Azure, Microsoft Entra ID Governance fournit une solution intégrée pour gérer le cycle de vie des identités, les révisions d’accès et l’accès privilégié. Il simplifie ces processus en incorporant des flux de travail automatisés, des certifications d’accès et l’application des stratégies. Ces fonctionnalités offrent une approche unifiée de la gouvernance des identités.

Gestion des accès privilégiés

L'accès temporaire avec élévation de privilèges d’AWS IAM est une solution de sécurité open source qui accorde un accès temporairement élevé aux ressources AWS via AWS IAM Identity Center. Cette approche garantit que les utilisateurs disposent uniquement de privilèges élevés pendant un temps limité et pour des tâches spécifiques afin de réduire le risque d’accès non autorisé.

Microsoft Entra Privileged Identity Management (PIM) fournit une gestion des accès privilégiés juste-à-temps. Vous utilisez PIM pour gérer, contrôler et surveiller l’accès aux ressources importantes et aux autorisations critiques de votre organisation. PIM inclut des fonctionnalités telles que l’activation de rôle par le biais de flux de travail d’approbation, l’accès limité au temps et les révisions d’accès pour garantir que les rôles privilégiés sont accordés uniquement lorsque cela est nécessaire et qu’ils sont entièrement audités.

Service d'AWS Service d'Azure Descriptif
AWS CloudTrail Audit de l’accès privilégié Microsoft Entra Journalisation d’audit complète pour les activités d’accès privilégié
AWS IAM et produits partenaires ou automatisation personnalisée Accès juste-à-temps à Microsoft Entra Processus d’activation de rôle privilégié lié au temps

Identité hybride

Les deux plateformes fournissent des solutions pour gérer des scénarios d’identité hybride qui intègrent des ressources cloud et locales.

Service d'AWS Service d'Azure Descriptif
AWS Directory Service AD Connecteur Microsoft Entra Connect Outil de synchronisation d’annuaires pour la gestion des identités hybrides
Fournisseur AWS IAM SAML Services de fédération Active Directory Service de fédération d'identité pour l'authentification unique (SSO)
AWS Managed Microsoft AD Synchronisation de hachage du mot de passe Microsoft Entra Synchronisation de mot de passe entre les instances locales et cloud

Authentification et autorisation des utilisateurs d’application et d’API

Les deux plateformes fournissent des services d’identité pour sécuriser l’accès aux applications et l’authentification d’API. Ces services gèrent l’authentification des utilisateurs, les autorisations d’application et les contrôles d’accès aux API par le biais de mécanismes basés sur l’identité. La plateforme d’identités Microsoft sert de framework unifié Azure pour l’authentification et l’autorisation entre les applications, les API et les services. Il implémente des normes telles que OAuth 2.0 et OIDC. AWS fournit des fonctionnalités similaires via Amazon Cognito dans le cadre de sa suite d’identités.

Service d'AWS Service de Microsoft Descriptif
Amazon Cognito

AWS Amplifier l’authentification

AWS Security Token Service (STS)
Plateforme d’identité Microsoft Plateforme d’identité complète qui fournit l’authentification, l’autorisation et la gestion des utilisateurs pour les applications et les API. Les deux options implémentent les normes OAuth 2.0 et OIDC, mais ont des approches architecturales différentes.

Principales différences architecturales

  • Approche AWS : Services distribués composés ensemble
  • Approche Microsoft : Plateforme unifiée qui a des composants intégrés

SDK et bibliothèques pour développeurs

Service d'AWS Service de Microsoft Descriptif
Bibliothèques d'authentification AWS Amplify Bibliothèque d’authentification Microsoft (MSAL) Bibliothèques clientes pour l’implémentation de flux d’authentification. MSAL fournit un Kit de développement logiciel (SDK) unifié sur plusieurs plateformes et plusieurs langages. AWS fournit des implémentations distinctes par le biais d’Amplify.
SDK AWS pour plusieurs langues de programmation MSAL pour plusieurs langages de programmation Kits de développement logiciel (SDK) spécifiques au langage pour implémenter l’authentification. L’approche Microsoft offre un niveau élevé de cohérence entre les langages de programmation.

Implémentation de flux OAuth 2.0

Service d'AWS Service de Microsoft Descriptif
Autorisations Amazon Cognito OAuth 2.0 Flux d’authentification de la plateforme d’identités Microsoft Prend en charge les flux OAuth 2.0 standard, notamment le code d’autorisation, le flux implicite, les informations d’identification du client et le code d’appareil
Flux de code d’autorisation des pools d’utilisateurs Cognito Flux de code d’autorisation de la plateforme d'identité Microsoft Implémentation du flux OAuth basé sur une redirection sécurisée pour les applications web
Prise en charge de Proof Key for Code Exchange (PKCE) dans les pools d’utilisateurs Cognito Prise en charge de la plateforme d’identités Microsoft PKCE Sécurité renforcée pour les clients publics à l’aide de PKCE
Flux d’authentification personnalisés Cognito Stratégies personnalisées de la plateforme d’identités Microsoft Personnalisation des séquences d’authentification, mais avec une implémentation différente

Intégration du fournisseur d’identité

Service d'AWS Service Microsoft ou Azure Descriptif
Fédération du fournisseur d’identité Cognito Fournisseurs d’identité externes de la plateforme d’identités Microsoft Prise en charge des fournisseurs d’identité sociale et d’entreprise via des protocoles OIDC et SAML
Connexion sociale via les pools d’utilisateurs Cognito Fournisseurs d’identité sociale de la plateforme d’identités Microsoft Intégration avec des fournisseurs tels que Google, Facebook et Apple pour l’authentification des consommateurs
Fédération Cognito SAML Fédération SAML de Microsoft Entra ID Fédération des identités d’entreprise via SAML 2.0

Services de jetons

Service d'AWS Service Microsoft ou Azure Descriptif
AWS STS Service de jeton Microsoft Entra Émettre des jetons de sécurité pour l’authentification d’application et de service
Personnalisation du jeton cognito Configuration des jetons de la plateforme d'identité Microsoft Personnalisation des JSON Web Tokens à l’aide de revendications et d’étendues
Validation de jeton Cognito Validation des jetons de la plateforme d'identités Microsoft Bibliothèques et services pour vérifier l’authenticité des jetons

Inscription et sécurité des applications

Service d'AWS Service Microsoft ou Azure Descriptif
Configuration du client d’application Cognito Inscriptions d’applications Microsoft Entra Inscription et configuration des applications à l’aide de la plateforme d’identités
Rôles AWS IAM pour les applications ID de charge de travail Microsoft Entra Identités managées pour l’accès aux ressources de code d’application
Serveurs de ressources Cognito Autorisations de l’API de plateforme d’identités Microsoft Configuration des ressources et étendues protégées

Expérience développeur

Service d'AWS Service Microsoft ou Azure Descriptif
AWS Amplify CLI Plateforme d’identités Microsoft PowerShell CLI Outils en ligne de commande pour la configuration des identités
Console AWS Cognito Centre d'administration Microsoft Entra Interfaces de gestion pour les services d’identité
Interface utilisateur hébergée par Cognito Interface utilisateur MSAL de la plateforme d’identités Microsoft Interfaces utilisateur prédéfinies pour l’authentification
AWS AppSync avec Cognito API Microsoft Graph avec MSAL Modèles d’accès aux données avec authentification

Fonctionnalités spécifiques à la plateforme

Service d'AWS Service de Microsoft Descriptif
Pools d’identités Cognito Aucun équivalent direct Approche spécifique à AWS pour fédérer des identités aux ressources AWS
Aucun équivalent direct Fonctionnalité Web Apps d’Azure App Service Easy Auth Authentification au niveau de la plateforme pour les applications web sans modification du code
Déclencheurs Lambda des pools d’utilisateurs Cognito Stratégies personnalisées B2C de la plateforme d’identités Microsoft Mécanismes d’extensibilité pour les flux d’authentification
Pare-feu d’applications web AWS avec Cognito Aucun équivalent direct Stratégies de sécurité pour le contrôle d’accès

Contributeurs

Microsoft gère cet article. Les contributeurs suivants ont écrit cet article.

Auteur principal :

  • Jerry Rhoads | Architecte principal des solutions partenaires

Autre contributeur :

  • Adam Cerini | Directeur, Stratège de la technologie partenaire

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes