Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze handleiding is bedoeld voor organisaties die Gebruikmaken van Amazon Web Services (AWS) en willen migreren naar Azure of een strategie voor meerdere clouds willen gebruiken. Deze richtlijnen vergelijken AWS-oplossingen voor identiteitsbeheer met vergelijkbare Azure-oplossingen.
Aanbeveling
Zie Microsoft Entra-identiteitsbeheer en toegangsbeheer voor AWS voor informatie over het uitbreiden van Microsoft Entra-id's naar AWS.
Kernidentiteitsservices
Kernidentiteitsservices op beide platforms vormen de basis van identiteits- en toegangsbeheer. Deze services omvatten kernverificatie, autorisatie en accountingmogelijkheden en de mogelijkheid om cloudresources in logische structuren te organiseren. AWS-professionals kunnen vergelijkbare mogelijkheden gebruiken in Azure. Deze mogelijkheden kunnen architectuurverschillen hebben in de implementatie.
| AWS-service | Azure-dienst | Beschrijving |
|---|---|---|
| AWS Identity and Access Management (IAM) Identity Center | Microsoft Entra-id | Gecentraliseerde identiteitsbeheerservice die eenmalige aanmelding (SSO), meervoudige verificatie (MFA) en integratie met verschillende toepassingen biedt |
| AWS-organisaties | Azure-beheergroepen | Hiërarchische organisatiestructuur voor het beheren van meerdere accounts en abonnementen met behulp van overgenomen beleidsregels |
| AWS IAM Identity Center | Microsoft Entra ID Single Sign-On | Gecentraliseerd toegangsbeheer waarmee gebruikers toegang kunnen krijgen tot meerdere toepassingen met behulp van één set referenties |
| AWS Directory Service | Microsoft Entra Domain Services. | Beheerde directory services die domeindeelname, groepsbeleid, Lightweight Directory Access Protocol (LDAP), en verificatie via Kerberos of NT LAN Manager (NTLM) bieden |
Verificatie en toegangsbeheer
Verificatie- en toegangsbeheerservices in beide platforms bieden essentiële beveiligingsfuncties voor het verifiëren van gebruikersidentiteiten en het beheren van resourcetoegang. Deze services verwerken MFA, toegangsbeoordelingen, extern gebruikersbeheer en machtigingen op basis van rollen.
| AWS-service | Azure-dienst | Beschrijving |
|---|---|---|
| AWS MFA | Microsoft Entra MFA | Extra beveiligingslaag waarvoor meerdere verificatievormen zijn vereist voor gebruikersaanmelding |
| AWS IAM Access Analyzer | Microsoft Entra-toegangsbeoordelingen | Hulpprogramma's en services voor het controleren en beheren van toegangsmachtigingen voor resources |
| AWS IAM Identity Center | Externe Id van Microsoft Entra | Beheerplatform voor externe gebruikerstoegang voor veilige samenwerking tussen organisaties. Deze platforms ondersteunen protocollen zoals Security Assertion Markup Language (SAML) en OpenID Connect (OIDC). |
| AWS Resource Access Manager | Op rollen gebaseerd toegangsbeheer van Microsoft Entra (RBAC) en Azure RBAC | Services die cloudresources binnen een organisatie kunnen delen. AWS deelt doorgaans cloudresources over meerdere accounts. Azure RBAC kan vergelijkbare middelen delen. |
Identiteitsbeheer
Als u beveiliging en naleving wilt behouden, moet u identiteiten en toegang beheren. AwS en Azure bieden oplossingen voor identiteitsbeheer. Organisaties en workloadteams kunnen deze oplossingen gebruiken om de levenscyclus van identiteiten te beheren, toegangsbeoordelingen uit te voeren en bevoegde toegang te beheren.
In AWS vereist het beheren van de identiteitslevenscyclus, toegangsbeoordelingen en bevoegde toegang een combinatie van verschillende services.
- AWS IAM verwerkt beveiligde toegang tot resources.
- IAM Access Analyzer helpt bij het identificeren van gedeelde resources.
- AWS-organisaties bieden gecentraliseerd beheer van meerdere accounts.
- IAM Identity Center biedt gecentraliseerd toegangsbeheer.
- AWS CloudTrail en AWS-configuratie maken governance, naleving en controle van AWS-resources mogelijk.
U kunt deze services aanpassen om te voldoen aan specifieke behoeften van de organisatie, waardoor naleving en beveiliging worden gewaarborgd.
In Azure biedt Microsoft Entra ID Governance een geïntegreerde oplossing voor het beheren van de identiteitslevenscyclus, toegangsbeoordelingen en bevoegde toegang. Het vereenvoudigt deze processen door geautomatiseerde werkstromen, toegangscertificeringen en beleidshandhaving op te nemen. Deze mogelijkheden bieden een uniforme benadering van identiteitsbeheer.
Beheer van bevoorrechte toegang
AWS IAM tijdelijke verhoogde toegang is een opensource-beveiligingsoplossing die tijdelijke verhoogde toegang verleent tot AWS-resources via AWS IAM Identity Center. Deze aanpak zorgt ervoor dat gebruikers slechts beperkte bevoegdheden hebben en voor specifieke taken om het risico op onbevoegde toegang te beperken.
Microsoft Entra Privileged Identity Management (PIM) biedt just-in-time beheer van bevoorrechte toegang. U gebruikt PIM voor het beheren, beheren en bewaken van de toegang tot belangrijke resources en kritieke machtigingen in uw organisatie. PIM bevat functies zoals rolactivering via goedkeuringswerkstromen, tijdgebonden toegang en toegangsbeoordelingen om ervoor te zorgen dat bevoorrechte rollen alleen worden verleend wanneer dat nodig is en volledig worden gecontroleerd.
| AWS-service | Azure-dienst | Beschrijving |
|---|---|---|
| AWS CloudTrail | Microsoft Entra controle van geprivilegieerde toegang | Uitgebreide auditlogboekregistratie voor bevoegde toegangsactiviteiten |
| AWS IAM en partnerproducten of aangepaste automatisering | Just-In-Time-toegang van Microsoft Entra | Activeringsproces voor geprivilegieerde rollen met tijdsgebonden bevoegdheden |
Hybride identiteit
Beide platforms bieden oplossingen voor het beheren van hybride identiteitsscenario's die cloud- en on-premises resources integreren.
| AWS-service | Azure-dienst | Beschrijving |
|---|---|---|
| AWS Directory Service AD-Connector | Microsoft Entra Connect | Hulpprogramma voor adreslijstsynchronisatie voor hybride identiteitsbeheer |
| AWS IAM SAML-provider | Active Directory Federation-services | Federatiedienst voor identiteiten voor Single Sign-On |
| AWS Managed Microsoft AD | Wachtwoord-hashsynchronisatie van Microsoft Entra | Wachtwoordsynchronisatie tussen on-premises en cloudexemplaren |
Verificatie en autorisatie van toepassings- en API-gebruikers
Beide platforms bieden identiteitsservices voor het beveiligen van toegang tot toepassingen en API-verificatie. Deze services beheren gebruikersverificatie, toepassingsmachtigingen en API-toegangsbeheer via mechanismen op basis van identiteiten. Het Microsoft Identity Platform fungeert als het geïntegreerde Azure-framework voor verificatie en autorisatie in toepassingen, API's en services. Het implementeert standaarden zoals OAuth 2.0 en OIDC. AWS biedt vergelijkbare mogelijkheden via Amazon Cognito als onderdeel van zijn identiteitssuite.
| AWS-service | Microsoft-service | Beschrijving |
|---|---|---|
|
Amazon Cognito AWS-verificatie versterken AWS Security Token Service (STS) |
Microsoft-identiteitsplatform | Uitgebreid identiteitsplatform dat verificatie, autorisatie en gebruikersbeheer biedt voor toepassingen en API's. Beide opties implementeren OAuth 2.0- en OIDC-standaarden, maar hebben verschillende architectuurbenaderingen. |
Belangrijkste verschillen in architectuur
- AWS-benadering: Gedistribueerde services die samen zijn samengesteld
- Microsoft-benadering: Geïntegreerd platform met geïntegreerde onderdelen
Sdk en bibliotheken voor ontwikkelaars
| AWS-service | Microsoft-service | Beschrijving |
|---|---|---|
| AWS-verificatiebibliotheken versterken | Microsoft Authentication Library (MSAL) | Clientbibliotheken voor het implementeren van authenticatiestromen. MSAL biedt een geïntegreerde SDK voor meerdere platforms en talen. AWS biedt afzonderlijke implementaties via Amplify. |
| AWS SDK's voor verschillende programmeertalen | MSAL voor verschillende programmeertalen | Taalspecifieke SDK's voor het implementeren van verificatie. De Microsoft-benadering biedt een hoge mate van consistentie in programmeertalen. |
Implementatie van OAuth 2.0-stroom
| AWS-service | Microsoft-service | Beschrijving |
|---|---|---|
| Amazon Cognito OAuth 2.0-machtigingen | Authenticatiestromen voor Microsoft Identity Platform | Ondersteuning voor standaard OAuth 2.0-stromen, waaronder autorisatiecode, impliciete, clientreferenties en apparaatcode |
| Autorisatiecodestroom voor cognito-gebruikersgroepen | Autorisatiecodestroom voor Microsoft Identity Platform | Implementatie van de beveiligde OAuth-stroom op basis van omleiding voor webtoepassingen |
| Ondersteuning voor Proof Key for Code Exchange (PKCE) voor Cognito-gebruikersgroepen | PKCE-ondersteuning voor Microsoft Identity Platform | Verbeterde beveiliging voor openbare clients met behulp van PKCE |
| Cognito aangepaste verificatiestromen | Aangepast beleid voor Microsoft Identity Platform | Aanpassing van verificatiereeksen, maar met verschillende implementaties |
Integratie van id-providers
| AWS-service | Microsoft of Azure-service | Beschrijving |
|---|---|---|
| Cognito-identiteitsproviderfederatie | Externe id-providers van Microsoft Identity Platform | Ondersteuning voor sociale en zakelijke id-providers via OIDC- en SAML-protocollen |
| Aanmelden via sociale netwerken voor cognito-gebruikersgroepen | Sociale id-providers van Microsoft Identity Platform | Integratie met providers zoals Google, Facebook en Apple voor consumentenverificatie |
| Cognito SAML-federatie | Microsoft Entra ID SAML-federatie | Enterprise Identity Federation via SAML 2.0 |
Tokenservices
| AWS-service | Microsoft of Azure-service | Beschrijving |
|---|---|---|
| AWS STS | Microsoft Entra-tokenservice | Beveiligingstokens uitgeven voor toepassings- en serviceverificatie |
| Aanpassing van cognito-token | Configuratie van het Microsoft Identity Platform-token | Aanpassing van JSON-webtokens door claims en scopes te gebruiken |
| Cognito-tokenvalidatie | Validatie van het Microsoft Identity Platform-token | Bibliotheken en services om de echtheid van tokens te verifiëren |
Toepassingsregistratie en -beveiliging
| AWS-service | Microsoft of Azure-service | Beschrijving |
|---|---|---|
| Cognito-app-clientconfiguratie | Microsoft Entra-app-registraties | Registratie en configuratie van toepassingen met behulp van het identiteitsplatform |
| AWS IAM-rollen voor toepassingen | Microsoft Entra Workload-ID | Beheerde identiteiten voor toegang tot toepassingscoderesources |
| Cognito-resourceservers | API-machtigingen voor Microsoft Identity Platform | Configuratie van beveiligde resources en scopes |
Ontwikkelaarservaring
| AWS-service | Microsoft of Azure-service | Beschrijving |
|---|---|---|
| AWS Amplify CLI | Microsoft identity platform PowerShell CLI | Opdrachtregelprogramma's voor identiteitsconfiguratie |
| AWS Cognito-console | Microsoft Entra-beheercentrum | Beheerinterfaces voor identiteitsservices |
| Gehoste gebruikersinterface van Cognito | MSAL-gebruikersinterface van Microsoft Identity Platform | Vooraf gebouwde gebruikersinterfaces voor authenticatie |
| AWS AppSync met Cognito | Microsoft Graph API met MSAL | Patronen voor gegevenstoegang met verificatie |
Platformspecifieke functies
| AWS-service | Microsoft-service | Beschrijving |
|---|---|---|
| Cognito-identiteitsgroepen | Geen direct equivalent | AWS-specifieke benadering voor het federeren van identiteiten met AWS-resources |
| Geen direct equivalent | Web Apps-functie van Azure App Service Easy Auth | Verificatie op platformniveau voor webtoepassingen zonder codewijzigingen |
| Lambda-triggers voor cognito-gebruikersgroepen | Aangepast Microsoft Identity Platform B2C-beleid | Uitbreidbaarheidsmechanismen voor verificatiestromen |
| AWS Web Application Firewall met Cognito | Geen direct equivalent | Beveiligingsbeleid voor toegangsbeheer |
Bijdragers
Microsoft onderhoudt dit artikel. De volgende inzenders hebben dit artikel geschreven.
Hoofdauteur:
- Jerry Rhoads | Principal Partner Solutions Architect
Andere bijdrager:
- Adam Cerini | Directeur, Partner Technology Strategist
Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.
Volgende stappen
- De implementatie van uw Microsoft Entra-id plannen
- Hybride identiteit configureren met Microsoft Entra Connect
- Microsoft Entra PIM implementeren
- Toepassingen beveiligen met behulp van het Microsoft Identity Platform