Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce guide concerne les organisations qui utilisent Amazon Web Services (AWS) et souhaitent migrer vers Azure ou adopter une stratégie multicloud. Ces conseils comparent les solutions de gestion des identités AWS à des solutions Azure similaires.
Conseil / Astuce
Pour plus d'informations sur l'extension de Microsoft Entra ID à AWS, consultez la gestion de l'identité et la gestion des accès Microsoft Entra pour AWS.
Services d’identité de base
Les services d’identité de base dans les deux plateformes constituent la base de la gestion des identités et des accès. Ces services incluent les fonctionnalités principales d’authentification, d’autorisation et de comptabilité, ainsi que la possibilité d’organiser les ressources cloud en structures logiques. Les professionnels AWS peuvent utiliser des fonctionnalités similaires dans Azure. Ces fonctionnalités peuvent avoir des différences architecturales dans l’implémentation.
| Service d'AWS | Service d'Azure | Descriptif |
|---|---|---|
| AWS Identity and Access Management (IAM) Identity Center | Microsoft Entra ID | Service de gestion des identités centralisé qui fournit l’authentification unique (SSO), l’authentification multifacteur (MFA) et l’intégration à différentes applications |
| Organisations AWS | groupes d’administration Azure | Structure d’organisation hiérarchique pour gérer plusieurs comptes et abonnements à l’aide de stratégies héritées |
| AWS IAM Identity Center | Authentification unique Microsoft Entra ID | Gestion centralisée des accès qui permet aux utilisateurs d’accéder à plusieurs applications à l’aide d’un seul ensemble d’informations d’identification |
| Service d’annuaire AWS | Microsoft Entra Domain Services | Services d’annuaire managés qui fournissent une jonction de domaine, une stratégie de groupe, un protocole LDAP (Lightweight Directory Access Protocol) et une authentification Kerberos ou NT LAN Manager (NTLM) |
Authentification et contrôle d’accès.
Les services de contrôle d’accès et d’authentification dans les deux plateformes fournissent des fonctionnalités de sécurité essentielles pour vérifier les identités des utilisateurs et gérer l’accès aux ressources. Ces services gèrent l’authentification multifacteur, les révisions d’accès, la gestion des utilisateurs externes et les autorisations basées sur les rôles.
| Service d'AWS | Service d'Azure | Descriptif |
|---|---|---|
| AWS MFA | Microsoft Entra MFA | Couche de sécurité supplémentaire nécessitant plusieurs formes de vérification pour les connexions utilisateur |
| AWS IAM Access Analyzer | Révisions d’accès Microsoft Entra | Outils et services permettant d’examiner et de gérer les autorisations d’accès aux ressources |
| AWS IAM Identity Center | ID externe Microsoft Entra | Plateforme de gestion de l’accès des utilisateurs externes pour sécuriser la collaboration entre organisations. Ces plateformes prennent en charge des protocoles tels que SAML (Security Assertion Markup Language) et OpenID Connect (OIDC). |
| AWS Resource Access Manager | Contrôle d’accès en fonction du rôle Microsoft Entra (RBAC) et RBAC Azure | Services qui peuvent partager des ressources cloud au sein d’une organisation. AWS partage généralement des ressources cloud sur plusieurs comptes. Azure RBAC peut obtenir un partage de ressources similaire. |
Gouvernance des identités
Pour maintenir la sécurité et la conformité, vous devez gérer les identités et l’accès. AWS et Azure fournissent des solutions pour la gouvernance des identités. Les organisations et les équipes de charge de travail peuvent utiliser ces solutions pour gérer le cycle de vie des identités, effectuer des révisions d’accès et contrôler l’accès privilégié.
Dans AWS, la gestion du cycle de vie des identités, des révisions d’accès et de l’accès privilégié nécessite une combinaison de plusieurs services.
- AWS IAM gère l’accès sécurisé aux ressources.
- IAM Access Analyzer permet d’identifier les ressources partagées.
- Les organisations AWS fournissent une gestion centralisée de plusieurs comptes.
- IAM Identity Center fournit une gestion centralisée des accès.
- AWS CloudTrail et AWS Config permettent la gouvernance, la conformité et l’audit des ressources AWS.
Vous pouvez adapter ces services pour répondre à des besoins organisationnels spécifiques, ce qui permet de garantir la conformité et la sécurité.
Dans Azure, Microsoft Entra ID Governance fournit une solution intégrée pour gérer le cycle de vie des identités, les révisions d’accès et l’accès privilégié. Il simplifie ces processus en incorporant des flux de travail automatisés, des certifications d’accès et l’application des stratégies. Ces fonctionnalités offrent une approche unifiée de la gouvernance des identités.
Gestion des accès privilégiés
L'accès temporaire avec élévation de privilèges d’AWS IAM est une solution de sécurité open source qui accorde un accès temporairement élevé aux ressources AWS via AWS IAM Identity Center. Cette approche garantit que les utilisateurs disposent uniquement de privilèges élevés pendant un temps limité et pour des tâches spécifiques afin de réduire le risque d’accès non autorisé.
Microsoft Entra Privileged Identity Management (PIM) fournit une gestion des accès privilégiés juste-à-temps. Vous utilisez PIM pour gérer, contrôler et surveiller l’accès aux ressources importantes et aux autorisations critiques de votre organisation. PIM inclut des fonctionnalités telles que l’activation de rôle par le biais de flux de travail d’approbation, l’accès limité au temps et les révisions d’accès pour garantir que les rôles privilégiés sont accordés uniquement lorsque cela est nécessaire et qu’ils sont entièrement audités.
| Service d'AWS | Service d'Azure | Descriptif |
|---|---|---|
| AWS CloudTrail | Audit de l’accès privilégié Microsoft Entra | Journalisation d’audit complète pour les activités d’accès privilégié |
| AWS IAM et produits partenaires ou automatisation personnalisée | Accès juste-à-temps à Microsoft Entra | Processus d’activation de rôle privilégié lié au temps |
Identité hybride
Les deux plateformes fournissent des solutions pour gérer des scénarios d’identité hybride qui intègrent des ressources cloud et locales.
| Service d'AWS | Service d'Azure | Descriptif |
|---|---|---|
| AWS Directory Service AD Connecteur | Microsoft Entra Connect | Outil de synchronisation d’annuaires pour la gestion des identités hybrides |
| Fournisseur AWS IAM SAML | Services de fédération Active Directory | Service de fédération d'identité pour l'authentification unique (SSO) |
| AWS Managed Microsoft AD | Synchronisation de hachage du mot de passe Microsoft Entra | Synchronisation de mot de passe entre les instances locales et cloud |
Authentification et autorisation des utilisateurs d’application et d’API
Les deux plateformes fournissent des services d’identité pour sécuriser l’accès aux applications et l’authentification d’API. Ces services gèrent l’authentification des utilisateurs, les autorisations d’application et les contrôles d’accès aux API par le biais de mécanismes basés sur l’identité. La plateforme d’identités Microsoft sert de framework unifié Azure pour l’authentification et l’autorisation entre les applications, les API et les services. Il implémente des normes telles que OAuth 2.0 et OIDC. AWS fournit des fonctionnalités similaires via Amazon Cognito dans le cadre de sa suite d’identités.
| Service d'AWS | Service de Microsoft | Descriptif |
|---|---|---|
| Amazon Cognito AWS Amplifier l’authentification AWS Security Token Service (STS) |
Plateforme d’identité Microsoft | Plateforme d’identité complète qui fournit l’authentification, l’autorisation et la gestion des utilisateurs pour les applications et les API. Les deux options implémentent les normes OAuth 2.0 et OIDC, mais ont des approches architecturales différentes. |
Principales différences architecturales
- Approche AWS : Services distribués composés ensemble
- Approche Microsoft : Plateforme unifiée qui a des composants intégrés
SDK et bibliothèques pour développeurs
| Service d'AWS | Service de Microsoft | Descriptif |
|---|---|---|
| Bibliothèques d'authentification AWS Amplify | Bibliothèque d’authentification Microsoft (MSAL) | Bibliothèques clientes pour l’implémentation de flux d’authentification. MSAL fournit un Kit de développement logiciel (SDK) unifié sur plusieurs plateformes et plusieurs langages. AWS fournit des implémentations distinctes par le biais d’Amplify. |
| SDK AWS pour plusieurs langues de programmation | MSAL pour plusieurs langages de programmation | Kits de développement logiciel (SDK) spécifiques au langage pour implémenter l’authentification. L’approche Microsoft offre un niveau élevé de cohérence entre les langages de programmation. |
Implémentation de flux OAuth 2.0
| Service d'AWS | Service de Microsoft | Descriptif |
|---|---|---|
| Autorisations Amazon Cognito OAuth 2.0 | Flux d’authentification de la plateforme d’identités Microsoft | Prend en charge les flux OAuth 2.0 standard, notamment le code d’autorisation, le flux implicite, les informations d’identification du client et le code d’appareil |
| Flux de code d’autorisation des pools d’utilisateurs Cognito | Flux de code d’autorisation de la plateforme d'identité Microsoft | Implémentation du flux OAuth basé sur une redirection sécurisée pour les applications web |
| Prise en charge de Proof Key for Code Exchange (PKCE) dans les pools d’utilisateurs Cognito | Prise en charge de la plateforme d’identités Microsoft PKCE | Sécurité renforcée pour les clients publics à l’aide de PKCE |
| Flux d’authentification personnalisés Cognito | Stratégies personnalisées de la plateforme d’identités Microsoft | Personnalisation des séquences d’authentification, mais avec une implémentation différente |
Intégration du fournisseur d’identité
| Service d'AWS | Service Microsoft ou Azure | Descriptif |
|---|---|---|
| Fédération du fournisseur d’identité Cognito | Fournisseurs d’identité externes de la plateforme d’identités Microsoft | Prise en charge des fournisseurs d’identité sociale et d’entreprise via des protocoles OIDC et SAML |
| Connexion sociale via les pools d’utilisateurs Cognito | Fournisseurs d’identité sociale de la plateforme d’identités Microsoft | Intégration avec des fournisseurs tels que Google, Facebook et Apple pour l’authentification des consommateurs |
| Fédération Cognito SAML | Fédération SAML de Microsoft Entra ID | Fédération des identités d’entreprise via SAML 2.0 |
Services de jetons
| Service d'AWS | Service Microsoft ou Azure | Descriptif |
|---|---|---|
| AWS STS | Service de jeton Microsoft Entra | Émettre des jetons de sécurité pour l’authentification d’application et de service |
| Personnalisation du jeton cognito | Configuration des jetons de la plateforme d'identité Microsoft | Personnalisation des JSON Web Tokens à l’aide de revendications et d’étendues |
| Validation de jeton Cognito | Validation des jetons de la plateforme d'identités Microsoft | Bibliothèques et services pour vérifier l’authenticité des jetons |
Inscription et sécurité des applications
| Service d'AWS | Service Microsoft ou Azure | Descriptif |
|---|---|---|
| Configuration du client d’application Cognito | Inscriptions d’applications Microsoft Entra | Inscription et configuration des applications à l’aide de la plateforme d’identités |
| Rôles AWS IAM pour les applications | ID de charge de travail Microsoft Entra | Identités managées pour l’accès aux ressources de code d’application |
| Serveurs de ressources Cognito | Autorisations de l’API de plateforme d’identités Microsoft | Configuration des ressources et étendues protégées |
Expérience développeur
| Service d'AWS | Service Microsoft ou Azure | Descriptif |
|---|---|---|
| AWS Amplify CLI | Plateforme d’identités Microsoft PowerShell CLI | Outils en ligne de commande pour la configuration des identités |
| Console AWS Cognito | Centre d'administration Microsoft Entra | Interfaces de gestion pour les services d’identité |
| Interface utilisateur hébergée par Cognito | Interface utilisateur MSAL de la plateforme d’identités Microsoft | Interfaces utilisateur prédéfinies pour l’authentification |
| AWS AppSync avec Cognito | API Microsoft Graph avec MSAL | Modèles d’accès aux données avec authentification |
Fonctionnalités spécifiques à la plateforme
| Service d'AWS | Service de Microsoft | Descriptif |
|---|---|---|
| Pools d’identités Cognito | Aucun équivalent direct | Approche spécifique à AWS pour fédérer des identités aux ressources AWS |
| Aucun équivalent direct | Fonctionnalité Web Apps d’Azure App Service Easy Auth | Authentification au niveau de la plateforme pour les applications web sans modification du code |
| Déclencheurs Lambda des pools d’utilisateurs Cognito | Stratégies personnalisées B2C de la plateforme d’identités Microsoft | Mécanismes d’extensibilité pour les flux d’authentification |
| Pare-feu d’applications web AWS avec Cognito | Aucun équivalent direct | Stratégies de sécurité pour le contrôle d’accès |
Contributeurs
Microsoft gère cet article. Les contributeurs suivants ont écrit cet article.
Auteur principal :
- Jerry Rhoads | Architecte principal des solutions partenaires
Autre contributeur :
- Adam Cerini | Directeur, Stratège de la technologie partenaire
Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.
Étapes suivantes
- Planifier votre déploiement d’ID Microsoft Entra
- Configurer l’identité hybride avec Microsoft Entra Connect
- Implémenter Microsoft Entra PIM
- Sécuriser les applications à l’aide de la plateforme d’identités Microsoft