# SEC02-BP04 依赖集中式身份提供者
对于员工身份,依赖身份提供商,使您能够在集中位置管理身份。这样,您就可以更轻松地管理跨多个应用程序和服务的访问权限,因为您在从单一位置创建、管理和撤销访问权限。例如,如果有人离开了您的组织,您可以从一个位置撤销此人对所有应用程序和服务(包括 AWS)的访问权限。这样就降低了对多个凭证的需求,并提供了与现有的人力资源 (HR) 流程集成的机会。
要与单独的 AWS 账户联合,您可以将用于 AWS 的集中身份与基于 SAML 2.0 并支持 AWS Identity and Access Management 的提供程序结合使用。无论是由您在 AWS 中托管的提供程序、AWS 外部的提供程序还是由 AWS Partner 提供的提供程序,您都可以使用,只要这些提供程序与 [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) 协议兼容。您可以使用您的 AWS 账户与您选择的提供程序之间的联合,为用户或应用程序授予访问权限,以使他们能通过使用 SAML 断言获得临时安全凭证,以调用 AWS API 操作。基于 Web 的单点登录同样受支持,因此允许用户从您的登录网站登录到 AWS 管理控制台。
要与您的 AWS Organizations 中的多个账户联合,您可以在 [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/)中配置您的身份源,并指定您的用户和组的存储位置。配置之后,您的身份提供程序将是您的事实来源,并可以使用跨域身份管理系统 (SCIM) v2.0 协议来 [同步](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) 信息。随后,您可以查找用户或组,并授予他们 IAM Identity Center 访问权限,以使他们能够访问 AWS 账户和/或云应用程序。
IAM Identity Center 与 AWS Organizations 集成,这样,您就可以配置您的身份提供程序,然后为您的组织中管理的 [现有账户和新账户授予访问权限](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) 。IAM Identity Center 为您提供了一个默认存储库,您可以使用它来管理您的用户和组。如果您选择使用 IAM Identity Center 存储库,请创建您的用户和组,并为他们分配对您的 AWS 账户和应用程序的访问权限级别,同时铭记最低权限最佳实践。您也可以选择使用 SAML 2.0 [连接到您的外部身份提供程序 ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html),或 [连接到您的 Microsoft AD 目录](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) (使用 AWS Directory Service)。配置之后,您可以通过您的中央身份提供者进行身份验证,以登录到 AWS 管理控制台或 AWS 移动应用程序。
要管理您的工作负载的最终用户或消费者,例如移动应用程序,您可以使用 [Amazon Cognito](http://aws.amazon.com/cognito/)。它为您的 Web 和移动应用程序提供了身份验证、授权和用户管理功能。您的用户可以直接使用用户名和密码登录,也可以通过第三方(例如 Amazon、Apple、Facebook 或 Google)登录。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 集中管理访问:创建 Identity and Access Management(IAM)身份提供者实体,以在您的 AWS 账户与身份提供者(IdP)之间建立信任关系。IAM 支持与 OpenID Connect(OIDC)或 SAML 2.0(Security Assertion Markup Language 2.0,安全断言标记语言 2.0)兼容的 IdP。
+ [身份提供程序和联合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ 集中应用程序访问:考虑使用 Amazon Cognito 实现应用程序集中式访问。借助 Amazon Cognito,您可以快速轻松地将用户注册、登录和访问控制添加到 Web 和移动应用程序中。 [Amazon Cognito](https://aws.amazon.com/cognito/) 可扩展至数百万用户,并支持使用社交身份提供者(如 Facebook、Google 和 Amazon)登录,以及通过企业身份提供者使用 SAML 2.0 登录。
+ 删除旧的 IAM 用户和组:在您开始使用身份提供者(IdP)后,请删除不再需要的 IAM 用户和组。
+ [查找未使用的凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)
+ [删除 IAM 组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)
## 资源
**相关文档:**
+ [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [安全合作伙伴解决方案:访问和访问控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相关视频:**
+ [有关大规模管理、检索和轮换密钥的最佳实践](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大规模管理用户权限](https://youtu.be/aEIqeFCcK7E)
+ [在每个层面掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)