我的客户端有一个本地AD服务器......我正在开发一个通过API网关运行的应用程序,它将使用自定义授权程序来授权端点。本地AD服务器将用于对内部用户进行身份验证,考虑在AWS中为外部用户部署AD服务器并使用某种" link"两者之间连接它们。
我想查询AD以对用户进行身份验证,然后获取其IAM角色以允许访问API。这是一个很好的实现吗?
答案 0 :(得分:1)
如果您能够运行AD FS并将其公开给Cognito,我建议您考虑使用Cognito Federated Identity并将Method设置为需要AWS_IAM授权。以下是AD FS文档的链接:
https://aws.amazon.com/blogs/mobile/announcing-saml-support-for-amazon-cognito/
或者,如果您无法运行AD FS并为其他目的运行Microsoft Active Directory的AWS Directory Service,则可以通过直接连接/ VPN为您的本地AD创建信任关系。然后,您可以创建一个服务,该服务获取AD凭据并通过LDAP(配置为与VPC一起使用的lambda函数)对用户进行身份验证。最后,可以创建一个自定义授权程序,验证后续调用的令牌并返回适当的IAM策略。