# SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter
<a name="sec_identities_identity_provider"></a>

 Verlassen Sie sich bei Identitäten von Arbeitskräften auf einen Identitätsanbieter, mit dem Sie Identitäten zentral verwalten können. Dadurch ist es einfacher, den Zugriff über mehrere Anwendungen und Services hinweg zu verwalten, da Sie den Zugriff von einem einzigen Standort aus erstellen, verwalten und widerrufen. Wenn beispielsweise jemand Ihr Unternehmen verlässt, können Sie den Zugriff für alle Anwendungen und Services (einschließlich AWS) an einem Standort widerrufen. Dies reduziert die Notwendigkeit mehrerer Anmeldeinformationen und bietet die Möglichkeit der Integration in bereits vorhandene HR-Prozesse. 

Für den Verbund mit einzelnen AWS-Konten können Sie zentrale Identitäten für AWS mit einem SAML 2.0-basierten Anbieter mit AWS Identity and Access Management verwenden. Sie können jeden Anbieter verwenden, der von Ihnen in AWS oder außerhalb von AWS gehostet oder vom AWS Partner bereitgestellt wird und mit dem [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) -Protokoll kompatibel ist. Sie können einen Verbund zwischen Ihrem AWS-Konto und dem von Ihnen gewählten Anbieter verwenden, um einem Benutzer oder einer Anwendung Zugriff zum Aufrufen von AWS-API-Vorgängen zu gewähren, indem Sie über eine SAML-Zusicherung temporäre Sicherheitsanmeldeinformationen abrufen. Webbasiertes SSO wird ebenfalls unterstützt, sodass sich Benutzer über Ihre Website bei der AWS-Managementkonsole anmelden können.

Für den Verbund mit mehreren Konten in Ihrer AWS Organizations können Sie Ihre Identitätsquelle in [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/)konfigurieren und angeben, wo Ihre Benutzer und Gruppen gespeichert werden. Nach der Konfiguration ist Ihr Identitätsanbieter Ihre Quelle der Wahrheit. Informationen können mithilfe des SCIM-Protokolls (System for Cross-Domain Identity Management) v2.0 [synchronisiert](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) werden. Anschließend können Sie Benutzer oder Gruppen abrufen und ihnen IAM Identity Center-Zugriff auf AWS-Konten, Cloud-Anwendungen oder beides gewähren.

IAM Identity Center ist in AWS Organizations integriert, sodass Sie Ihren Identitätsanbieter einmal konfigurieren und dann [Zugriff auf vorhandene und neue Konten gewähren](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) können, die in Ihrem Unternehmen verwaltet werden. IAM Identity Center bietet Ihnen einen Standardspeicher, den Sie verwenden können, um Ihre Benutzer und Gruppen zu verwalten. Wenn Sie sich für die Verwendung des IAM Identity Center-Speichers entscheiden, erstellen Sie Ihre Benutzer und Gruppen und weisen deren Zugriffsebene Ihren AWS-Konten und -Anwendungen zu. Beachten Sie dabei die bewährte Methode der geringsten Berechtigung. Alternativ können Sie eine [Verbindung zu Ihrem externen Identitätsanbieter ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)über SAML 2.0 oder eine [Verbindung zu Ihrem Microsoft AD-Verzeichnis](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) über AWS Directory Service herstellen. Nach der Konfiguration können Sie sich bei der AWS-Managementkonsole oder der mobilen AWS-App anmelden, indem Sie sich über Ihren zentralen Identitätsanbieter authentifizieren.

Für die Verwaltung von Endbenutzern oder Verbrauchern Ihrer Workloads, z. B. einer mobilen App, können Sie [Amazon Cognito](http://aws.amazon.com/cognito/). Es bietet Authentifizierung, Autorisierung und Benutzerverwaltung für Ihre Web- und mobilen Anwendungen. Ihre Benutzer können sich direkt mit einem Benutzernamen und Passwort oder über einen Drittanbieter wie Amazon, Apple, Facebook oder Google anmelden.

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Zentralisieren Sie den administrativen Zugriff: Erstellen Sie im IAM-Identitätsanbieter (Identity and Access Management) eine Entität, um eine Vertrauensstellung zwischen Ihrem AWS-Konto und dem Identitätsanbieter (IDP) herzustellen. IAM unterstützt Identitätsanbieter, die mit OpenID Connect (OIDC) oder SAML 2.0 (Security Assertion Markup Language 2.0) kompatibel sind. 
  +  [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  Zentralisieren Sie den Anwendungszugriff: Erwägen Sie, Amazon Cognito zum Zentralisieren des Anwendungszugriffs zu verwenden. Damit können Sie Ihren Webanwendungen und mobilen Apps auf schnelle und einfache Weise die Benutzerregistrierung und -anmeldung sowie die Zugriffskontrolle hinzufügen. [Amazon Cognito](https://aws.amazon.com/cognito/) lässt sich auf Millionen von Benutzern hochskalieren. Es unterstützt die Anmeldung mit Social-Identity-Anbietern wie Facebook, Google und Amazon sowie mit Unternehmens-Identitätsanbietern über SAML 2.0. 
+  Entfernen Sie alte IAM-Benutzer und -Gruppen: Sobald Sie einen Identitätsanbieter (IDP) verwenden, sollten Sie nicht mehr benötigte IAM-Benutzer und -Gruppen entfernen. 
  +  [Suchen nach ungenutzten Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) 
  +  [Löschen einer IAM-Benutzergruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html) 

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+  [Security best practices in IAM (Bewährte Methoden für die Sicherheit in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Stammbenutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Ähnliche Videos:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4) 
+  [Managing user permissions at scale with AWS IAM Identity Center (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)