Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här guiden är avsedd för organisationer som använder Amazon Web Services (AWS) och vill migrera till Azure eller anta en strategi för flera moln. Den här vägledningen jämför lösningar för identitetshantering i AWS med liknande Azure-lösningar.
Tips/Råd
Information om hur du utökar Microsoft Entra-ID till AWS finns i Microsoft Entra-identitetshantering och åtkomsthantering för AWS.
Kärnidentitetstjänster
Kärnidentitetstjänster på båda plattformarna utgör grunden för identitets- och åtkomsthantering. Dessa tjänster omfattar grundläggande funktioner för autentisering, auktorisering och redovisning samt möjligheten att organisera molnresurser i logiska strukturer. AWS-proffs kan använda liknande funktioner i Azure. Dessa funktioner kan ha arkitektoniska skillnader i implementeringen.
| AWS-tjänst | Azure-tjänst | Beskrivning |
|---|---|---|
| Identitetscenter för AWS Identity and Access Management (IAM) | Microsoft Entra-ID | Centraliserad identitetshanteringstjänst som tillhandahåller enkel inloggning (SSO), multifaktorautentisering (MFA) och integrering med olika program |
| AWS-organisationer | Azure-hanteringsgrupper | Hierarkisk organisationsstruktur för att hantera flera konton och prenumerationer med hjälp av ärvda principer |
| AWS IAM Identity Center | Microsoft Entra ID SSO | Centraliserad åtkomsthantering som gör det möjligt för användare att komma åt flera program med hjälp av en enda uppsättning autentiseringsuppgifter |
| AWS-katalogtjänst | Microsoft Entra Domain Services | Hanterade katalogtjänster som tillhandahåller domänanslutning, grupprincip, LDAP (Lightweight Directory Access Protocol) och Kerberos- eller NT LAN Manager-autentisering (NTLM) |
Autentisering och åtkomstkontroll
Autentiserings- och åtkomstkontrolltjänster på båda plattformarna tillhandahåller viktiga säkerhetsfunktioner för att verifiera användaridentiteter och hantera resursåtkomst. Dessa tjänster hanterar MFA, åtkomstgranskningar, extern användarhantering och rollbaserade behörigheter.
| AWS-tjänst | Azure-tjänst | Beskrivning |
|---|---|---|
| AWS MFA | Microsoft Entra MFA | Extra säkerhetslager som kräver flera former av verifiering för användarinloggningar |
| AWS IAM Access Analyzer | Microsoft Entra-åtkomstgranskningar | Verktyg och tjänster för att granska och hantera åtkomstbehörigheter till resurser |
| AWS IAM Identity Center | Externt ID för Microsoft Entra | Hanteringsplattform för extern användaråtkomst för säkert samarbete mellan organisationer. Dessa plattformar stöder protokoll som SAML (Security Assertion Markup Language) och OpenID Connect (OIDC). |
| AWS Resource Access Manager | Rollbaserad åtkomstkontroll i Microsoft Entra (RBAC) och Azure RBAC | Tjänster som kan dela molnresurser inom en organisation. AWS delar vanligtvis molnresurser över flera konton. Azure RBAC kan uppnå liknande resursdelning. |
Identitetsstyrning
För att upprätthålla säkerhet och efterlevnad måste du hantera identiteter och åtkomst. Både AWS och Azure tillhandahåller lösningar för identitetsstyrning. Organisationer och arbetsbelastningsteam kan använda dessa lösningar för att hantera identiteternas livscykel, utföra åtkomstgranskningar och kontrollera privilegierad åtkomst.
I AWS kräver hantering av identitetslivscykeln, åtkomstgranskningar och privilegierad åtkomst en kombination av flera tjänster.
- AWS IAM hanterar säker åtkomst till resurser.
- IAM Access Analyzer hjälper dig att identifiera delade resurser.
- AWS-organisationer tillhandahåller centraliserad hantering av flera konton.
- IAM Identity Center tillhandahåller centraliserad åtkomsthantering.
- AWS CloudTrail och AWS Config möjliggör styrning, efterlevnad och granskning av AWS-resurser.
Du kan skräddarsy dessa tjänster för att uppfylla specifika organisationsbehov, vilket bidrar till att säkerställa efterlevnad och säkerhet.
I Azure tillhandahåller Microsoft Entra ID Governance en integrerad lösning för att hantera identitetens livscykel, åtkomstgranskningar och privilegierad åtkomst. Det förenklar dessa processer genom att införliva automatiserade arbetsflöden, åtkomstcertifieringar och principframtvingande. Dessa funktioner ger en enhetlig metod för identitetsstyrning.
Hantering av privilegierad åtkomst
AWS IAM tillfällig förhöjd åtkomst är en säkerhetslösning med öppen källkod som ger tillfällig förhöjd åtkomst till AWS-resurser via AWS IAM Identity Center. Den här metoden säkerställer att användarna bara har förhöjd behörighet under en begränsad tid och för specifika uppgifter för att minska risken för obehörig åtkomst.
Microsoft Entra Privileged Identity Management (PIM) tillhandahåller precis i tid hantering av privilegierad åtkomst. Du använder PIM för att hantera, kontrollera och övervaka åtkomst till viktiga resurser och viktiga behörigheter i din organisation. PIM innehåller funktioner som rollaktivering via arbetsflöden för godkännande, tidsbunden åtkomst och åtkomstgranskningar för att säkerställa att privilegierade roller endast beviljas när det behövs och granskas fullständigt.
| AWS-tjänst | Azure-tjänst | Beskrivning |
|---|---|---|
| AWS CloudTrail | Granskning av privilegierad åtkomst i Microsoft Entra | Omfattande granskningsloggning för privilegierade åtkomstaktiviteter |
| AWS IAM och partnerprodukter eller anpassad automatisering | Microsoft Entra just-in-time-åtkomst | Aktiveringsprocess för tidsbunden privilegierad roll |
Hybrididentitet
Båda plattformarna tillhandahåller lösningar för att hantera hybrididentitetsscenarier som integrerar molnresurser och lokala resurser.
| AWS-tjänst | Azure-tjänst | Beskrivning |
|---|---|---|
| AD-anslutningsapp för AWS-katalogtjänst | Microsoft Entra Connect | Katalogsynkroniseringsverktyg för hybrididentitetshantering |
| AWS IAM SAML-provider | Active Directory Federation Services | Identitetsfederationstjänst för SSO |
| AWS-hanterad Microsoft AD | Synkronisering av Microsoft Entra-lösenordshash | Lösenordssynkronisering mellan lokala instanser och molninstanser |
Autentisering och auktorisering för program- och API-användare
Båda plattformarna tillhandahåller identitetstjänster för att skydda programåtkomst och API-autentisering. Dessa tjänster hanterar användarautentisering, programbehörigheter och API-åtkomstkontroller via identitetsbaserade mekanismer. Microsofts identitetsplattform fungerar som ett enhetligt Azure-ramverk för autentisering och auktorisering för program, API:er och tjänster. Den implementerar standarder som OAuth 2.0 och OIDC. AWS tillhandahåller liknande funktioner via Amazon Cognito som en del av sin identitetssvit.
| AWS-tjänst | Microsoft-tjänst | Beskrivning |
|---|---|---|
|
Amazon Cognito AWS-förstärkt autentisering AWS Security Token Service (STS) |
Microsofts identitetsplattform | Omfattande identitetsplattform som tillhandahåller autentisering, auktorisering och användarhantering för program och API:er. Båda alternativen implementerar OAuth 2.0- och OIDC-standarder men har olika arkitekturmetoder. |
Viktiga arkitekturskillnader
- AWS-metod: Distribuerade tjänster som är sammansatta tillsammans
- Microsoft-metod: Enhetlig plattform med integrerade komponenter
Utvecklar-SDK och bibliotek
| AWS-tjänst | Microsoft-tjänst | Beskrivning |
|---|---|---|
| AWS Amplify-autentiseringsbibliotek | Microsoft Authentication Library (MSAL) | Klientbibliotek för implementering av autentiseringsflöden. MSAL tillhandahåller en enhetlig SDK på flera plattformar och språk. AWS tillhandahåller separata implementeringar via Amplify. |
| AWS SDK:er för flera programmeringsspråk | MSAL för flera programmeringsspråk | Språkspecifika SDK:er för att implementera autentisering. Microsoft-metoden ger en hög grad av konsekvens mellan programmeringsspråk. |
OAuth 2.0-flödesimplementering
| AWS-tjänst | Microsoft-tjänst | Beskrivning |
|---|---|---|
| Amazon Cognito OAuth 2.0-bidrag | Autentiseringsflöden för Microsofts identitetsplattform | Stöd för OAuth 2.0-standardflöden, inklusive auktoriseringskod, implicit, klientautentiseringsuppgifter och enhetskod |
| Kodflöde för auktoriseringskod för Cognito-användarpooler | Auktoriseringskodflöde för Microsoft identity Platform | Implementering av det säkra omdirigeringsbaserade OAuth-flödet för webbprogram |
| Stöd för Cognito-användarpooler proof key for Code Exchange (PKCE) | Stöd för Microsoft identity Platform PKCE | Förbättrad säkerhet för offentliga klienter med hjälp av PKCE |
| Anpassade Cognito-autentiseringsflöden | Anpassade principer för Microsoft identity Platform | Anpassning av autentiseringssekvenser men med olika implementering |
Integrering av identitetsprovider
| AWS-tjänst | Microsoft- eller Azure-tjänsten | Beskrivning |
|---|---|---|
| Identitetsproviderfederation för Cognito | Externa identitetsprovidrar för Microsoft identity Platform | Stöd för sociala identitetsprovidrar och företagsidentitetsprovidrar via OIDC- och SAML-protokoll |
| Cognito-användarpooler för social inloggning | Sociala identitetsleverantörer för Microsofts identitetsplattform | Integrering med leverantörer som Google, Facebook och Apple för konsumentautentisering |
| Cognito SAML-federation | Microsoft Entra ID SAML-federation | Företagsidentitetsfederation via SAML 2.0 |
Tokentjänster
| AWS-tjänst | Microsoft- eller Azure-tjänsten | Beskrivning |
|---|---|---|
| AWS STS | Microsoft Entra-tokentjänst | Utfärda säkerhetstoken för program- och tjänstautentisering |
| Anpassning av Cognito-token | Konfiguration av Token för Microsoft-identitetsplattform | Anpassning av JSON-webbtoken med hjälp av anspråk och omfång |
| Validering av cognitoto | Validering av Token för Microsofts identitetsplattform | Bibliotek och tjänster för att verifiera tokens äkthet |
Programregistrering och säkerhet
| AWS-tjänst | Microsoft- eller Azure-tjänsten | Beskrivning |
|---|---|---|
| Klientkonfiguration för Cognito-app | Registreringar av Microsoft Entra-appar | Registrering och konfiguration av program med hjälp av identitetsplattformen |
| AWS IAM-roller för applikationer | Microsoft Entra Workload-ID | Hanterade identiteter för åtkomst till programkodresurser |
| Cognito-resursservrar | API-behörigheter för Microsofts identitetsplattform | Konfiguration av skyddade resurser och omfång |
Utvecklarupplevelse
| AWS-tjänst | Microsoft- eller Azure-tjänsten | Beskrivning |
|---|---|---|
| AWS Amplify CLI | Microsofts identitetsplattform PowerShell CLI | Kommandoradsverktyg för identitetskonfiguration |
| AWS Cognito-konsol | Administrationscenter för Microsoft Entra | Hanteringsgränssnitt för identitetstjänster |
| Cognito-värdbaserat användargränssnitt | Microsoft identitetsplattform MSAL UI | Fördefinierade UIs för autentisering |
| AWS AppSync med Cognito | Microsoft Graph API med MSAL | Dataåtkomstmönster med autentisering |
Plattformsspecifika funktioner
| AWS-tjänst | Microsoft-tjänst | Beskrivning |
|---|---|---|
| Cognito-identitetspooler | Ingen direkt motsvarighet | AWS-specifik metod för att federera identiteter till AWS-resurser |
| Ingen direkt motsvarighet | Web Apps-funktionen i Azure App Service Easy Auth | Autentisering på plattformsnivå för webbprogram utan kodändringar |
| Lambda-utlösare för Cognito-användarpool | Anpassade principer för Microsoft identity Platform B2C | Utökningsmekanismer för autentiseringsflöden |
| Brandvägg för AWS-webbprogram med Cognito | Ingen direkt motsvarighet | Säkerhetsprinciper för åtkomstkontroll |
Bidragsgivare
Microsoft ansvarar för den här artikeln. Följande deltagare skrev den här artikeln.
Huvudförfattare:
- Jerry Rhoads | Huvudarkitekt för partnerlösningar
Annan deltagare:
- Adam Cerini | Direktör, partnerteknikstrateg
Om du vill se linkedin-profiler som inte är offentliga loggar du in på LinkedIn.
Nästa steg
- Planera distributionen av Microsoft Entra-ID
- Konfigurera hybrididentitet med Microsoft Entra Connect
- Implementera Microsoft Entra PIM
- Skydda program med hjälp av Microsofts identitetsplattform