• AWS Directory Services
  • Kiểu như đồng bộ 2 chiều giữa On-Premise và AWS
  • Hỗ trợ MFA
• AD Connector
  • User được lưu ở On-premise
  • Sử dụng Directory Gateway để redirect
• Simple AD
  • User được lưu trên AWS
  • On-Premise server không thể dùng data này

Identity Federation

Kiểu như gộp tất cả các account từ window, directory service, iam, aws single sign-on, cognito (facebook, amazon) vào 1 nơi duy nhất.

IAM Identity Federation

Sử dụng protocol LDAP (VD như Active Directory) và Identity Provider (IdP) để tạo ra SAML assertion. Từ đó client của user sẽ assume role bằng sts:AssumeRoleWitthSAML và return temporary security credential.

AWS IAM Identity Center (Single Sign-on (SSO))

• Một account có thể login vào nhiều nơi
  • AWS Account trong Organization
  • Application của doanh nghiệp trên cloud (MS 365, Box, Salesforce…)
  • Tất cả các Application có SAML2.0
  • EC2 Window
• Nơi lưu user có thể là chính IAM Identity Center hoặc bên thứ 3 như Active Directory (AD), OneLogin, Okta…

Fine-grained Permissions and Assignments

• Multi Account Permission
  • Sử dụng Permission Set để phần quyền cho User
  • Cung cấp quyền truy cập vào các account trong Organization
• Application Assignment
  • Cung cấp URL, Certificate, Metadata
• Attribute-Base Access Control (ABAC)
  • Sử dụng tag cho user, phần quyền dựa trên tag đó
  • User attribute có thể được dùng trong Permission Set hoặc Resource-based Policy

External IdPs

• SAML 2.0
  • Phải tạo User và Group tương ứng trong Identity Provider do SAML2.0 không support query lấy thông tin User và Group
  • Nếu IdP support SCIM (System for Cross-domain Identity Management) thì có thể enable để sync User Identity từ IdP

MFA

• Luôn luôn yêu cầu MFA khi login
• Chỉ yêu cầu khi có thay đổi login context như trình duyệt, thiết bị, vị trí vật lý…