本指南適用於使用 Amazon Web Services (AWS) 且想要移轉至 Azure 或採用多重雲端策略的組織。 本指南會將 AWS 身分識別管理解決方案與類似的 Azure 解決方案進行比較。
小提示
如需將Microsoft Entra ID 擴充至 AWS 的相關信息,請參閱 Microsoft AWS 的 Entra 身分識別管理和存取管理。
核心身分識別服務
這兩個平臺的核心身分識別服務都是身分識別和存取管理的基礎。 這些服務包括核心驗證、授權和會計功能,以及將雲端資源組織成邏輯結構的能力。 AWS 專業人員可以在 Azure 中使用類似的功能。 這些功能在實作中可能有架構差異。
| AWS 服務 | Azure 服務 | 說明 |
|---|---|---|
| AWS 身分識別與存取管理 (IAM) 身分識別中心 | Microsoft Entra 身份識別 | 集中式身分識別管理服務,提供單一登錄 (SSO)、多重要素驗證 (MFA), 並與各種應用程式整合 |
| AWS 組織 | Azure 管理群組 | 階層式組織結構,使用繼承的原則來管理多個帳戶和訂用帳戶 |
| AWS IAM 身分識別中心 | Microsoft Entra 身分識別單一登入 (SSO) | 集中式存取管理,可讓使用者使用一組認證來存取多個應用程式 |
| AWS 目錄服務 | Microsoft Entra Domain Services | 提供網域加入、群組原則、輕量目錄存取協定(LDAP)和 Kerberos 或 NT LAN Manager(NTLM)認證的受管理目錄服務 |
驗證和存取控制
這兩個平臺中的驗證和訪問控制服務都提供驗證使用者身分識別和管理資源存取的基本安全性功能。 這些服務會處理 MFA、存取權檢閱、外部使用者管理和角色型許可權。
| AWS 服務 | Azure 服務 | 說明 |
|---|---|---|
| AWS MFA | Microsoft Entra MFA | 需要使用者登入多種形式的驗證的額外安全性層 |
| AWS IAM 存取分析器 | Microsoft Entra 存取權審核 | 檢閱和管理資源訪問許可權的工具和服務 |
| AWS IAM 身分識別中心 | Microsoft Entra 外部身分識別 | 用於安全跨組織共同作業的外部使用者存取管理平臺。 這些平台支援安全性聲明標記語言 (SAML) 和 OpenID Connect (OIDC) 等通訊協定。 |
| AWS Resource Access Manager | Microsoft Entra 角色型訪問控制 (RBAC) 和 Azure RBAC | 可在組織內共用雲端資源的服務。 AWS 通常會跨多個帳戶共用雲端資源。 Azure RBAC 可以達成類似的資源分享。 |
身分識別治理
若要維護安全性和合規性,您必須管理身分識別和存取權。 AWS 和 Azure 都提供身分識別治理的解決方案。 組織和工作負載小組可以使用這些解決方案來管理身分識別的生命週期、進行存取權檢閱,以及控制特殊許可權存取權。
在 AWS 中,管理身分識別生命週期、存取權檢閱和特殊許可權存取需要數個服務的組合。
- AWS IAM 會處理資源的安全存取。
- IAM 存取分析器可協助識別共享資源。
- AWS 組織提供多個帳戶的集中式管理。
- IAM 身分識別中心提供集中式存取管理。
- AWS CloudTrail 和 AWS Config 可啟用 AWS 資源的治理、合規性和稽核。
您可以量身打造這些服務以符合特定組織需求,這有助於確保合規性和安全性。
在 Azure 中, Microsoft Entra ID Governance 提供整合式解決方案來管理身分識別生命週期、存取權檢閱和特殊許可權存取。 它藉由整合自動化工作流程、存取認證和原則強制執行,來簡化這些程式。 這些功能提供身分識別治理的統一方法。
特權存取管理
AWS IAM 暫時提升許可權的存取權是開放原始碼安全性解決方案,可透過 AWS IAM 身分識別中心授與 AWS 資源的暫時提升許可權存取權。 此方法可確保使用者只有有限的時間和特定工作的許可權提高,以降低未經授權的存取風險。
Microsoft Entra Privileged Identity Management (PIM) 提供 Just-In-Time 特殊許可權存取管理。 您可以使用 PIM 來管理、控制及監視組織中重要資源和重要許可權的存取。 PIM 包含透過核准工作流程啟用角色、限時存取權和存取權檢閱等功能,以確保只有在必要時授與特殊許可權角色,並經過完整稽核。
| AWS 服務 | Azure 服務 | 說明 |
|---|---|---|
| AWS CloudTrail | Microsoft Entra 特殊許可權存取稽核 | 特殊許可權存取活動的完整稽核記錄 |
| AWS IAM 和合作夥伴產品或自定義自動化 | Microsoft Entra Just-In-Time 存取 | 限時特殊許可權角色啟用程式 |
混合式身分識別
這兩個平臺都提供解決方案來管理整合雲端和內部部署資源的混合式身分識別案例。
| AWS 服務 | Azure 服務 | 說明 |
|---|---|---|
| AWS 目錄服務 AD 連接器 | Microsoft Entra Connect | 混合式身分識別管理的目錄同步處理工具 |
| AWS IAM SAML 提供者 | Active Directory 同盟服務 | SSO 的身分識別同盟服務 |
| AWS 受控Microsoft AD | Microsoft Entra 密碼哈希同步處理 | 內部部署與雲端實例之間的密碼同步處理 |
應用程式和 API 使用者驗證和授權
這兩個平臺都提供身分識別服務來保護應用程式存取和API驗證。 這些服務會透過身分識別機制來管理使用者驗證、應用程式許可權和 API 訪問控制。 Microsoft身分識別平臺可作為跨應用程式、API 和服務進行驗證和授權的 Azure 整合架構。 它會實作 OAuth 2.0 和 OIDC 等標準。 AWS 透過 Amazon Cognito 提供類似的功能,作為其身分識別套件的一部分。
| AWS 服務 | Microsoft 服務 | 說明 |
|---|---|---|
|
Amazon Cognito AWS 放大驗證 AWS 安全性權杖服務 (STS) |
Microsoft 身分識別平台 | 提供應用程式和 API 驗證、授權和使用者管理的完整身分識別平臺。 這兩個選項都實作 OAuth 2.0 和 OIDC 標準,但有不同的架構方法。 |
主要架構差異
- AWS 方法: 組合在一起的分散式服務
- Microsoft方法: 整合式平臺,具有整合式元件
開發人員 SDK 和函式庫
| AWS 服務 | Microsoft 服務 | 說明 |
|---|---|---|
| AWS Amplify 驗證函式庫 | Microsoft 驗證程式庫 (MSAL) | 用於實作驗證流程的用戶端連結庫。 MSAL 跨多個平台和語言提供統一的 SDK。 AWS 透過 Amplify 提供個別的實作。 |
| 數種程式設計語言的 AWS SDK | 適用於數種程式設計語言的 MSAL | 支援特定語言的身份驗證 SDK。 Microsoft 的方法提供跨程式語言的高度一致性。 |
OAuth 2.0 流程實作
| AWS 服務 | Microsoft 服務 | 說明 |
|---|---|---|
| Amazon Cognito OAuth 2.0 授權類型 | Microsoft身分識別平台驗證流程 | 支援標準 OAuth 2.0 流程,包括授權碼、隱含、客戶端認證和裝置程序代碼 |
| Cognito 使用者集區授權碼流程 | Microsoft身分識別平台授權碼流程 | 實作 Web 應用程式的安全重新導向型 OAuth 流程 |
| Cognito 使用者集區提供程式碼交換憑證金鑰(PKCE)支援 | Microsoft身分識別平臺 PKCE 支援 | 使用 PKCE 增強公用客戶端的安全性 |
| Cognito 自定義驗證流程 | Microsoft身分識別平臺自定義原則 | 自定義驗證順序,但實作不同 |
識別提供者整合
| AWS 服務 | Microsoft或 Azure 服務 | 說明 |
|---|---|---|
| Cognito 識別提供者同盟 | Microsoft身分識別平臺外部身分識別提供者 | 透過 OIDC 和 SAML 通訊協定支援社交和企業識別提供者 |
| Cognito 用戶集區社交登入 | Microsoft身分識別平臺社交識別提供者 | 與Google、Facebook和Apple等提供者整合以進行消費者驗證 |
| Cognito SAML 同盟 | Microsoft Entra ID SAML 同盟 | 透過 SAML 2.0 的企業身分識別同盟 |
令牌服務
| AWS 服務 | Microsoft或 Azure 服務 | 說明 |
|---|---|---|
| AWS STS | Microsoft Entra 令牌服務 | 發行應用程式和服務驗證的安全性令牌 |
| Cognito 令牌自定義 | Microsoft身分識別平臺令牌設定 | 使用宣告和範圍自定義 JSON Web 令牌 |
| Cognito 令牌驗證 | Microsoft身分識別平臺令牌驗證 | 用於驗證令牌真實性的函式庫和服務 |
應用程式註冊和安全性
| AWS 服務 | Microsoft或 Azure 服務 | 說明 |
|---|---|---|
| Cognito 應用程式客戶端設定 | Microsoft Entra 應用程式註冊 | 使用身分識別平台註冊和設定應用程式 |
| 適用於應用程式的 AWS IAM 角色 | Microsoft Entra 工作負載 ID | 應用程式程式代碼資源存取的受控識別 |
| Cognito 資源伺服器 | Microsoft身分識別平臺 API 許可權 | 設定受保護的資源和範圍 |
開發人員體驗
| AWS 服務 | Microsoft或 Azure 服務 | 說明 |
|---|---|---|
| AWS Amplify CLI | Microsoft身分識別平臺 PowerShell CLI | 身分識別設定的命令行工具 |
| AWS Cognito 控制台 | Microsoft Entra 系統管理中心 | 身分識別服務的管理介面 |
| Cognito 裝載的UI | Microsoft身分識別平臺 MSAL UI | 預先建置的驗證UI |
| AWS AppSync with Cognito | Microsoft Graph API 與 MSAL | 使用驗證的數據存取模式 |
平臺特定功能
| AWS 服務 | Microsoft 服務 | 說明 |
|---|---|---|
| Cognito 身分識別集區 | 沒有直接對應 | 特定於 AWS 的方法用於聯合身分識別以訪問 AWS 資源 |
| 沒有直接對應 | Azure App Service 簡易驗證的 Web Apps 功能 | 沒有程式代碼變更的 Web 應用程式平台層級驗證 |
| Cognito 使用者集區 Lambda 觸發器 | Microsoft身分識別平臺 B2C 自定義原則 | 驗證流程的擴充性機制 |
| AWS 網路應用程式防火牆搭配 Cognito | 沒有直接對應 | 訪問控制的安全策略 |
貢獻者們
本文由 Microsoft 維護。 下列參與者撰寫本文。
主要作者:
- 傑里·羅茲 |主要合作夥伴解決方案架構師
其他參與者:
- Adam Cerini |合作夥伴技術策略師董事
若要查看非公開的 LinkedIn 個人檔案,請登入 LinkedIn。
下一步
- 規劃您的 Microsoft Entra ID 部署
- 使用 Microsoft Entra Connect 設定混合式身分識別
- 實作 Microsoft Entra PIM
- 使用Microsoft身分識別平臺保護應用程式