你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本指南适用于使用 Amazon Web Services(AWS)并想要迁移到 Azure 或采用多云策略的组织。 本指南将 AWS 标识管理解决方案与类似的 Azure 解决方案进行比较。
小窍门
有关将 Microsoft Entra ID 扩展到 AWS 的信息,请参阅 AWS Microsoft Entra 标识管理和访问管理。
核心标识服务
这两个平台中的核心标识服务构成了标识和访问管理的基础。 这些服务包括核心身份验证、授权和会计功能,以及将云资源组织到逻辑结构的能力。 AWS 专业人员可以在 Azure 中使用类似的功能。 这些功能在实现方面可能有体系结构差异。
| AWS 服务 | Azure 服务 | DESCRIPTION |
|---|---|---|
| AWS 标识和访问管理 (IAM) 标识中心 | Microsoft Entra ID | 集中式标识管理服务,提供单一登录(SSO)、多重身份验证(MFA),并与各种应用程序集成 |
| AWS 组织 | Azure 管理组 | 分层组织结构,使用继承的策略管理多个帐户和订阅 |
| AWS IAM 标识中心 | Microsoft Entra ID SSO | 集中式访问管理,使用户能够使用一组凭据访问多个应用程序 |
| AWS 目录服务 | Microsoft Entra 域服务 | 提供域加入、组策略、轻型目录访问协议(LDAP)和 Kerberos 或 NT LAN 管理器(NTLM)身份验证的托管目录服务 |
身份验证和访问控制
这两个平台中的身份验证和访问控制服务都提供了验证用户标识和管理资源访问的基本安全功能。 这些服务处理 MFA、访问评审、外部用户管理和基于角色的权限。
| AWS 服务 | Azure 服务 | DESCRIPTION |
|---|---|---|
| AWS MFA | Microsoft Entra MFA | 需要对用户登录进行多种形式的验证的额外安全层 |
| AWS IAM 访问分析器 | Microsoft Entra 访问评审 | 用于查看和管理资源访问权限的工具和服务 |
| AWS IAM 标识中心 | Microsoft Entra 外部 ID | 用于安全跨组织协作的外部用户访问管理平台。 这些平台支持安全断言标记语言(SAML)和 OpenID Connect(OIDC)等协议。 |
| AWS 资源访问管理器 | Microsoft Entra 基于角色的访问控制(RBAC) 和 Azure RBAC | 可在组织内共享云资源的服务。 AWS 通常跨多个帐户共享云资源。 Azure RBAC 可以实现类似的资源共享。 |
标识治理
若要保持安全性和符合性,必须管理标识和访问权限。 AWS 和 Azure 都提供标识治理解决方案。 组织和工作负荷团队可以使用这些解决方案来管理标识的生命周期、进行访问评审和控制特权访问。
在 AWS 中,管理标识生命周期、访问评审和特权访问需要多个服务的组合。
- AWS IAM 处理对资源的安全访问。
- IAM 访问分析器可帮助识别共享资源。
- AWS 组织提供对多个帐户的集中管理。
- IAM 标识中心提供集中式访问管理。
- AWS CloudTrail 和 AWS 配置可实现 AWS 资源的治理、合规性和审核。
你可以定制这些服务以满足特定的组织需求,这有助于确保合规性和安全性。
在 Azure 中, Microsoft Entra ID Governance 提供了一个集成解决方案,用于管理标识生命周期、访问评审和特权访问。 它通过合并自动化工作流、访问认证和策略强制实施来简化这些流程。 这些功能提供统一的标识治理方法。
特权访问管理
AWS IAM 临时提升的访问权限是一种开源安全解决方案,它通过 AWS IAM 标识中心授予对 AWS 资源的临时提升访问权限。 这种方法确保用户仅在有限的时间内为特定任务获得提升的权限,以减少未经授权访问的风险。
Microsoft Entra Privileged Identity Management (PIM) 提供实时特权访问管理。 使用 PIM 管理、控制和监视对组织中重要资源和关键权限的访问。 PIM 包括通过审批工作流激活角色、限时访问和访问评审等功能,以确保仅在必要时授予特权角色并完全审核。
| AWS 服务 | Azure 服务 | DESCRIPTION |
|---|---|---|
| AWS CloudTrail | Microsoft Entra 特权访问审核 | 特权访问活动的全面审核日志 |
| AWS IAM 和合作伙伴产品或自定义自动化 | Microsoft Entra 实时访问 | 具有时间限制的特权角色激活过程 |
混合身份
这两个平台都提供用于管理集成云和本地资源的混合标识方案的解决方案。
| AWS 服务 | Azure 服务 | DESCRIPTION |
|---|---|---|
| AWS Directory 服务 AD 连接器 | Microsoft Entra Connect | 用于混合标识管理的目录同步工具 |
| AWS IAM SAML 提供程序 | Active Directory 联合身份验证服务 | SSO 的联合身份验证服务 |
| AWS 托管 Microsoft AD | Microsoft Entra 密码哈希同步 | 本地实例与云实例之间的密码同步 |
应用程序和 API 用户身份验证和授权
这两个平台都提供标识服务来保护应用程序访问和 API 身份验证。 这些服务通过基于标识的机制管理用户身份验证、应用程序权限和 API 访问控制。 Microsoft标识平台充当跨应用程序、API 和服务进行身份验证和授权的 Azure 统一框架。 它实现 OAuth 2.0 和 OIDC 等标准。 AWS 通过其标识套件的一部分通过 Amazon Cognito 提供类似的功能。
| AWS 服务 | Microsoft 服务 | DESCRIPTION |
|---|---|---|
| Amazon Cognito AWS Amplify 身份验证 AWS 安全令牌服务 (STS) |
Microsoft 标识平台 | 为应用程序和 API 提供身份验证、授权和用户管理的综合标识平台。 这两个选项都实现了 OAuth 2.0 和 OIDC 标准,但采用不同的体系结构方法。 |
关键体系结构差异
- AWS 方法: 组合在一起的分布式服务
- Microsoft方法: 具有集成组件的统一平台
开发人员 SDK 和库
| AWS 服务 | Microsoft 服务 | DESCRIPTION |
|---|---|---|
| AWS Amplify 身份验证库 | Microsoft 身份验证库 (MSAL) | 用于实现身份验证流的客户端库。 MSAL 提供跨多个平台和语言的统一 SDK。 AWS 通过 Amplify 提供单独的实现。 |
| 适用于多种编程语言的 AWS SDK | 适用于多种编程语言的 MSAL | 用于实现身份验证的各语言专用 SDK。 Microsoft方法提供跨编程语言的高一致性。 |
OAuth 2.0 流实现
| AWS 服务 | Microsoft 服务 | DESCRIPTION |
|---|---|---|
| Amazon Cognito OAuth 2.0 授权 | Microsoft标识平台身份验证流 | 支持标准 OAuth 2.0 流,包括授权代码、隐式、客户端凭据和设备代码 |
| Cognito 用户池授权代码流 | Microsoft标识平台授权代码流 | 实现 Web 应用程序的安全基于重定向的 OAuth 流 |
| Cognito 用户池代码交换证明密钥 (PKCE) 支持 | Microsoft 标识平台 PKCE 支持 | 使用 PKCE 增强公共客户端的安全性 |
| Cognito 自定义身份验证流 | Microsoft标识平台自定义策略 | 自定义身份验证序列,但实现不同 |
标识提供者集成
| AWS 服务 | Microsoft或 Azure 服务 | DESCRIPTION |
|---|---|---|
| Cognito 标识提供者联合身份验证 | Microsoft标识平台外部标识提供者 | 通过 OIDC 和 SAML 协议支持社交和企业标识提供者 |
| Cognito 用户池社交媒体登录 | Microsoft标识平台社交标识提供者 | 与 Google、Facebook 和 Apple 等提供商集成以进行身份验证 |
| Cognito SAML 联合身份验证 | Microsoft Entra ID SAML 联合身份验证 | 通过 SAML 2.0 进行企业标识联合 |
令牌服务
| AWS 服务 | Microsoft或 Azure 服务 | DESCRIPTION |
|---|---|---|
| AWS STS | Microsoft Entra 令牌服务 | 为应用程序和服务身份验证颁发安全令牌 |
| Cognito 令牌自定义 | Microsoft 标识平台令牌配置 | 使用声明和范围自定义 JSON Web 令牌 |
| Cognito 令牌验证 | Microsoft标识平台令牌验证 | 用于验证令牌真实性的库和服务 |
应用程序注册和安全性
| AWS 服务 | Microsoft或 Azure 服务 | DESCRIPTION |
|---|---|---|
| Cognito 应用客户端配置 | Microsoft Entra 应用注册 | 使用标识平台注册和配置应用程序 |
| 应用程序的 AWS IAM 角色 | Microsoft Entra 工作负载 ID | 用于应用程序代码资源访问的托管标识 |
| Cognito 资源服务器 | Microsoft标识平台 API 权限 | 受保护资源和范围的配置 |
开发人员体验
| AWS 服务 | Microsoft或 Azure 服务 | DESCRIPTION |
|---|---|---|
| AWS Amplify CLI | Microsoft 标识平台 PowerShell CLI | 用于标识配置的命令行工具 |
| AWS Cognito 控制台 | Microsoft Entra 管理中心 | 标识服务的管理接口 |
| Cognito 托管 UI | Microsoft标识平台 MSAL UI | 用于身份验证的预构建 UI |
| 使用 Cognito 的 AWS AppSync | 带有 MSAL 的 Microsoft Graph API | 使用身份验证的数据访问模式 |
特定于平台的功能
| AWS 服务 | Microsoft 服务 | DESCRIPTION |
|---|---|---|
| Cognito 标识池 | 无直接等效项 | 对 AWS 资源进行联合身份验证的 AWS 特定方法 |
| 无直接等效项 | Azure 应用服务简易身份验证的 Web 应用功能 | 没有代码更改的 Web 应用程序的平台级身份验证 |
| Cognito 用户池 Lambda 触发器 | Microsoft 身份验证平台 B2C 自定义策略 | 身份验证流的扩展性机制 |
| 具有 Cognito 的 AWS Web 应用程序防火墙 | 无直接等效项 | 访问控制的安全策略 |
供稿人
Microsoft维护本文。 以下参与者撰写了本文。
主要作者:
- 杰里·罗兹 |首席合作伙伴解决方案架构师
其他参与者:
- 亚当·塞里尼 |合作伙伴技术策略师主管
若要查看非公开的LinkedIn个人资料,请登录LinkedIn。
后续步骤
- 规划Microsoft Entra ID 部署
- 使用 Microsoft Entra Connect 配置混合标识
- 实现 Microsoft Entra PIM
- 使用Microsoft标识平台保护应用程序