Amazon SSO mit Microsoft Active Directory auf dem Gelände

Question

Ich muss SSO-Lösung für verschiedene Anwendungen in einer Organisation entwerfen. Der aktuelle Identitätsprovider ist AD lokal. Hier ist, was ich habe

1. Verschiedene Microservices auf mulitple AWS EC2 gehostet werden
2. Front-End-Anwendung mit Angular2 implementiert
3. Authentication Service: die die Benutzer-Anmeldeinformationen gegen einen Identitätsanbieter validiert und erzeugt ein jwt
4. Authorization Service: überprüfen Sie die Benutzerrechte

Hier ist erforderlich, Verhalten:

1. Der Authentifizierungsdienst ist dafür zuständig, zu prüfen, ob die Anmeldeinformationen für AD gültig sind, und dann eine JWT auszustellen.
2. Der Authorization Service ist die Überprüfung verantwortlich, wenn der Benutzer die erforderlichen Berechtigungen hat bestimmte Ressource (eine andere Mikro-Service oder Betrachten einer Seite)

Wenn ich Azure ich folgendes bin mit zuzugreifen tun würde:

1. "Azure AD Connect", um die Benutzer zwischen AD auf Räumlichkeiten & "Azure AD" zu synchronisieren
2. "Azure AD" als Identity Provider dienen
3. Wenn die Benutzer anmelden, um zu einem der die Anwendungen wird Azure AD die Identität des Benutzers überprüfen und sendet ihn JWT
4. JWT werden die Benutzerrechte zu überprüfen und zu nachfolgenden Anrufe an andere Microservices

Welche Art von Dienstleistungen sollte ich für Amazon verwenden verwendet werden JWT zu erzeugen ?

Answer 1

Die logische Wahl für Amazon ist Cognito Federated Identities, die Active Directory, speziell ADFS, als Identitätsanbieter über SAML-Integration unterstützt. Nach der Authentifizierung gibt Cognito ein JWT-Token zurück, das dann gegen Amazon-Berechtigungsnachweise ausgetauscht wird (Autorisierung).

Amazon Cognito Federated Identities