我的公司有一个Active Directory on Premise,我们希望通过对其进行身份验证来将员工联合到AWS控制台/ CLI。通过VPN或直接连接有多种方法可以实现这一点,我遇到过其中两种方法 1)使用ADFS和2)使用AWS AD连接器..哪一个应该用于哪个用例和何时使用。各自的利弊?
答案 0 :(得分:0)
这是一个复杂的主题,我的回答只涉及将Active Directory集成到Amazon Cloud环境中的重点。最佳答案取决于您的特定网络需求。
对于简单的Active Directory集成,AD Connector非常适合。对于包括SAML或自定义应用程序的复杂需求,需要ADFS。
AD Connector用于将Active Directory从数据中心扩展到Amazon Cloud,以便Amazon服务可以使用Active Directory。 AD Connector支持登录Amazon应用程序,例如WorkSpaces,WorkDocs和WorkMail。 AD Connector允许您的Amazon EC2 Windows实例加入您的Active Directory域。还支持将Linux实例加入Active Directory(Amazon Linux,Red Hat Enterprise,Ubuntu Server,CentOS)。 AD Connector还可以通过将Active Directory标识映射到AWS Identity and Access Managment(IAM)角色来提供对AWS管理控制台的联合登录。
ADFS是添加到Active Directory以提供基于SAML的联合的Microsoft服务。使用SAML,您可以使用单点登录(SSO)通过使用一组凭据登录所有启用SAML的应用程序。
如果您希望Active Directory用户能够获得临时凭证(Cognito),那么您需要ADFS。 AD Connector不支持此功能。
AD Connector不能与自定义应用程序一起使用,只能用于安全的AWS集成,以便1)登录AWS应用程序; 2)将Windows(和Linux)实例加入Active Directory; 3)提供对AWS管理控制台的联合登录。
ADFS设置起来要复杂得多,但它提供了更多功能,可用于身份管理以及与Amazon服务和自定义应用程序的联合。正确设置后,您的Active Directory域和Amazon控制台将紧密集成。
我建议观看有关集成Active Directory的Amazon Deep Dive视频之一。