Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa guida è destinata alle organizzazioni che usano Amazon Web Services (AWS) e vogliono eseguire la migrazione ad Azure o adottare una strategia multicloud. Queste indicazioni confrontano le soluzioni di gestione delle identità AWS con soluzioni di Azure simili.
Suggerimento
Per informazioni sull'estensione di Microsoft Entra ID in AWS, vedere Gestione delle identità e gestione degli accessi di Microsoft Entra per AWS.
Servizi di identità di base
I servizi di gestione delle identità di base in entrambe le piattaforme costituiscono la base della gestione delle identità e degli accessi. Questi servizi includono funzionalità di autenticazione, autorizzazione e accounting di base e la possibilità di organizzare le risorse cloud in strutture logiche. I professionisti AWS possono usare funzionalità simili in Azure. Queste funzionalità potrebbero presentare differenze di architettura nell'implementazione.
| Servizio AWS | Servizio di Azure | Descrizione |
|---|---|---|
| AWS Identity and Access Management (IAM) Identity Center | Microsoft Entra ID | Servizio di gestione delle identità centralizzato che fornisce l'accesso Single Sign-On (SSO), l'autenticazione a più fattori (MFA) e l'integrazione con varie applicazioni |
| Organizzazioni AWS | Gruppi di gestione di Azure | Struttura gerarchica dell'organizzazione per gestire più account e sottoscrizioni usando criteri ereditati |
| AWS IAM Identity Center | Microsoft Entra ID SSO | Gestione centralizzata degli accessi che consente agli utenti di accedere a più applicazioni usando un singolo set di credenziali |
| AWS Directory Service | Servizi di dominio Microsoft Entra | Servizi directory gestiti che forniscono l'autenticazione NTLM (Domain Join, Criteri di gruppo, Lightweight Directory Access Protocol) e Kerberos o NT LAN Manager (NTLM) |
Autenticazione e controllo di accesso
I servizi di autenticazione e controllo di accesso in entrambe le piattaforme forniscono funzionalità di sicurezza essenziali per verificare le identità utente e gestire l'accesso alle risorse. Questi servizi gestiscono MFA, verifiche di accesso, gestione utenti esterni e autorizzazioni basate sui ruoli.
| Servizio AWS | Servizio di Azure | Descrizione |
|---|---|---|
| AWS MFA | Microsoft Entra MFA | Livello di sicurezza aggiuntivo che richiede più forme di verifica per gli accessi utente |
| AWS IAM Access Analyzer | Verifiche di accesso di Microsoft Entra | Strumenti e servizi per esaminare e gestire le autorizzazioni di accesso alle risorse |
| AWS IAM Identity Center | Microsoft Entra External ID | Piattaforma di gestione degli accessi utente esterna per la collaborazione tra organizzazioni sicura. Queste piattaforme supportano protocolli come SAML (Security Assertion Markup Language) e OpenID Connect (OIDC). |
| AWS Resource Access Manager | Controllo degli accessi basato sui ruoli (RBAC) di Microsoft Entra e controllo degli accessi basato sui ruoli (RBAC) di Azure | Servizi che possono condividere le risorse cloud all'interno di un'organizzazione. AWS condivide in genere le risorse cloud tra più account. Azure RBAC può ottenere una condivisione delle risorse comparabile. |
Identity Governance
Per mantenere la sicurezza e la conformità, è necessario gestire identità e accesso. AWS e Azure offrono soluzioni per la governance delle identità. Le organizzazioni e i team dei carichi di lavoro possono usare queste soluzioni per gestire il ciclo di vita delle identità, condurre verifiche di accesso e controllare l'accesso con privilegi.
In AWS, la gestione del ciclo di vita delle identità, le verifiche di accesso e l'accesso con privilegi richiedono una combinazione di diversi servizi.
- AWS IAM gestisce l'accesso sicuro alle risorse.
- L'analizzatore di accesso IAM consente di identificare le risorse condivise.
- Aws Organizations offre una gestione centralizzata di più account.
- Il Centro identità IAM offre una gestione centralizzata degli accessi.
- AWS CloudTrail e AWS Config consentono governance, conformità e controllo delle risorse AWS.
È possibile personalizzare questi servizi in base a specifiche esigenze organizzative, che consentono di garantire la conformità e la sicurezza.
In Azure, Microsoft Entra ID Governance offre una soluzione integrata per gestire il ciclo di vita delle identità, le verifiche di accesso e l'accesso con privilegi. Semplifica questi processi incorporando flussi di lavoro automatizzati, certificazioni di accesso e applicazione dei criteri. Queste funzionalità offrono un approccio unificato alla governance delle identità.
Gestione degli accessi con privilegi
AWS IAM temporaneo con privilegi elevati è una soluzione di sicurezza open source che concede l'accesso temporaneo con privilegi elevati alle risorse AWS tramite AWS IAM Identity Center. Questo approccio garantisce che gli utenti abbiano privilegi elevati solo per un periodo di tempo limitato e per attività specifiche per ridurre il rischio di accesso non autorizzato.
Microsoft Entra Privileged Identity Management (PIM) offre la gestione degli accessi con privilegi JIT. Si usa PIM per gestire, controllare e monitorare l'accesso a risorse importanti e autorizzazioni critiche nell'organizzazione. PIM include funzionalità come l'attivazione dei ruoli tramite flussi di lavoro di approvazione, accesso a tempo e verifiche di accesso per garantire che i ruoli con privilegi vengano concessi solo quando necessario e siano completamente controllati.
| Servizio AWS | Servizio di Azure | Descrizione |
|---|---|---|
| AWS CloudTrail | Controllo dell'accesso con privilegi di Microsoft Entra | Registrazione di controllo completa per le attività di accesso con privilegi |
| AWS IAM e prodotti partner o automazione personalizzata | Accesso just-in-time a Microsoft Entra | Processo di attivazione dei ruoli con privilegi con vincoli di tempo |
Identità ibrida
Entrambe le piattaforme offrono soluzioni per gestire scenari di identità ibrida che integrano le risorse cloud e locali.
| Servizio AWS | Servizio di Azure | Descrizione |
|---|---|---|
| AWS Directory Service AD Connector | Microsoft Entra Connect | Strumento di sincronizzazione della directory per la gestione ibrida delle identità |
| Provider SAML IAM AWS | Active Directory Federation Services | Servizio di federazione delle identità per il Single Sign-On (SSO) |
| AWS Managed Microsoft AD | Sincronizzazione dell'hash delle password di Microsoft Entra | Sincronizzazione delle password tra istanze locali e cloud |
Autenticazione e autorizzazione dell'utente dell'applicazione e dell'API
Entrambe le piattaforme forniscono servizi di gestione delle identità per proteggere l'accesso alle applicazioni e l'autenticazione API. Questi servizi gestiscono l'autenticazione utente, le autorizzazioni dell'applicazione e i controlli di accesso alle API tramite meccanismi basati sull'identità. Microsoft Identity Platform funge da framework unificato di Azure per l'autenticazione e l'autorizzazione tra applicazioni, API e servizi. Implementa standard come OAuth 2.0 e OIDC. AWS offre funzionalità simili tramite Amazon Cognito come parte della suite di identità.
| Servizio AWS | Servizio Microsoft | Descrizione |
|---|---|---|
|
Amazon Cognito AWS Amplify Authentication AWS Security Token Service (STS) |
Microsoft Identity Platform | Piattaforma di gestione delle identità completa che fornisce l'autenticazione, l'autorizzazione e la gestione degli utenti per applicazioni e API. Entrambe le opzioni implementano gli standard OAuth 2.0 e OIDC, ma hanno approcci architetturali diversi. |
Differenze principali dell'architettura
- Approccio AWS: Servizi distribuiti composti insieme
- Approccio Microsoft: Piattaforma unificata con componenti integrati
SDK per sviluppatori e librerie
| Servizio AWS | Servizio Microsoft | Descrizione |
|---|---|---|
| Librerie di autenticazione di AWS Amplify | Microsoft Authentication Library (MSAL) | Librerie client per l'implementazione dei flussi di autenticazione. MSAL offre un SDK unificato tra più piattaforme e linguaggi. AWS offre implementazioni separate tramite Amplify. |
| SDK AWS per diversi linguaggi di programmazione | MSAL per diversi linguaggi di programmazione | SDK specifici del linguaggio per implementare l'autenticazione. L'approccio Microsoft offre un elevato livello di coerenza tra i linguaggi di programmazione. |
Implementazione del flusso OAuth 2.0
| Servizio AWS | Servizio Microsoft | Descrizione |
|---|---|---|
| Autorizzazioni OAuth 2.0 di Amazon Cognito | Flussi di autenticazione di Microsoft Identity Platform | Supportare flussi OAuth 2.0 standard, tra cui codice di autorizzazione, implicito, credenziali client e codice del dispositivo |
| Flusso del codice di autorizzazione dei pool di utenti Cognito | Flusso del codice di autorizzazione di Microsoft Identity Platform | Implementazione del flusso OAuth sicuro basato sul reindirizzamento per le applicazioni Web |
| Supporto di Proof Key for Code Exchange (PKCE) dei pool di utenti Cognito | Supporto PKCE della piattaforma Microsoft Identity | Sicurezza avanzata per i client pubblici tramite PKCE |
| Flussi di autenticazione personalizzati di Cognito | Criteri personalizzati di Microsoft Identity Platform | Personalizzazione delle sequenze di autenticazione ma con implementazione diversa |
Integrazione del provider di identità
| Servizio AWS | Servizio Microsoft o Azure | Descrizione |
|---|---|---|
| Federazione del provider di identità Cognito | Provider di identità esterni di Microsoft Identity Platform | Supporto per provider di identità social e aziendale attraverso i protocolli OIDC e SAML |
| Accesso tramite social ai pool utenti di Cognito | Provider di identità sociale della piattaforma Microsoft Identity | Integrazione con provider come Google, Facebook e Apple per l'autenticazione consumer |
| Federazione SAML Cognito | Federazione SAML di Microsoft Entra ID | Federazione delle identità aziendali tramite SAML 2.0 |
Servizi di token
| Servizio AWS | Servizio Microsoft o Azure | Descrizione |
|---|---|---|
| AWS STS | Servizio token Microsoft Entra | Rilasciare token di sicurezza per l'autenticazione dell'applicazione e del servizio |
| Personalizzazione dei token Cognito | Configurazione del token di Microsoft Identity Platform | Personalizzazione dei token Web JSON usando attestazioni e ambiti |
| Convalida del token Cognito | Convalida dei token di Microsoft Identity Platform | Librerie e servizi per verificare l'autenticità dei token |
Registrazione e sicurezza delle applicazioni
| Servizio AWS | Servizio Microsoft o Azure | Descrizione |
|---|---|---|
| Configurazione client dell'app Cognito | Registrazioni dell'app Microsoft Entra | Registrazione e configurazione delle applicazioni tramite Identity Platform |
| Ruoli di AWS IAM per le applicazioni | ID attività Microsoft Entra | Identità gestite per l'accesso alle risorse del codice dell'applicazione |
| Server di risorse Cognito | Autorizzazioni dell'API Microsoft Identity Platform | Configurazione di risorse e ambiti protetti |
Esperienza sviluppatore
| Servizio AWS | Servizio Microsoft o Azure | Descrizione |
|---|---|---|
| Interfaccia della riga di comando di AWS Amplify | Interfaccia della riga di comando di PowerShell di Microsoft Identity Platform | Strumenti da riga di comando per la configurazione delle identità |
| Console AWS Cognito | Interfaccia di amministrazione di Microsoft Entra | Interfacce di gestione per i servizi di gestione delle identità |
| Interfaccia utente ospitata da Cognito | Interfaccia utente MSAL di Microsoft Identity Platform | Interfacce utente predefinite per l'autenticazione |
| AWS AppSync con Cognito | API Microsoft Graph con MSAL | Modelli di accesso ai dati con autenticazione |
Funzionalità specifiche della piattaforma
| Servizio AWS | Servizio Microsoft | Descrizione |
|---|---|---|
| Pool di identità Cognito | Nessun equivalente diretto | Approccio specifico di AWS per la federazione delle identità alle risorse AWS |
| Nessun equivalente diretto | Funzionalità App Web di Azure App Service Easy Auth | Autenticazione a livello di piattaforma per applicazioni Web senza modifiche al codice |
| Trigger lambda del pool di utenti Cognito | Criteri personalizzati di Microsoft Identity Platform B2C | Meccanismi di estendibilità per i flussi di autenticazione |
| AWS Web Application Firewall con Cognito | Nessun equivalente diretto | Criteri di sicurezza per il controllo di accesso |
Contributori
Microsoft gestisce questo articolo. I collaboratori seguenti hanno scritto questo articolo.
Autore principale:
- Jerry Rhads | Principal Partner Solutions Architect
Altro collaboratore:
- Adam Cerini | Direttore, Partner Technology Strategist
Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.
Passaggi successivi
- Pianificare la distribuzione di Microsoft Entra ID
- Configurare l'identità ibrida con Microsoft Entra Connect
- Implementare Microsoft Entra PIM
- Proteggere le applicazioni usando Microsoft Identity Platform