# SEC02-BP04 倚賴集中化的身分提供者
<a name="sec_identities_identity_provider"></a>

 若是人力身份，請倚賴可讓您在集中位置管理身份的身份供應商。因為您從單一位置建立、管理和撤銷存取權，因此這可讓您更輕鬆地管理多個應用程式和服務之間的存取。例如，若有人離開您的組織，您可從一個位置撤銷所有應用程式和服務 (包括 AWS) 的存取權。這可減少多個登入資料的需求，並提供與現有人力資源 (HR) 程序整合的機會。 

針對與個別 AWS 帳戶的聯合，您可以透過 SAML 2.0 供應商使用 AWS 的集中化身份，並搭配 AWS Identity and Access Management。您可以使用與下列通訊協定相容的任何供應商，無論是由您在 AWS 中、AWS 外部託管，還是由 AWS Partner 提供： [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) 通訊協定。您可以使用 AWS 帳戶與所選供應商之間的聯合，透過使用 SAML 聲明取得臨時安全登入資料，授予使用者或應用程式叫用 AWS API 操作的存取權。此外還支援 Web 型單一登入，讓使用者能夠從您的登入網站登入 AWS 管理主控台。

針對與 AWS Organizations 中多個帳戶的聯合，您可以在 [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/)中設定您的身份來源，並指定使用者和群組的存放位置。設定好之後，您的身份供應商即真實來源，而資訊可以使用跨網域身份管理系統 (SCIM) v2.0 通訊協定來 [同步](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) 。然後，您可以查詢使用者或群組，並授予他們對 AWS 帳戶、雲端應用程式或兩者的IAM Identity Center存取權。

IAM Identity Center 與 AWS Organizations 整合，讓您只需設定身份供應商一次，然後即可將 [存取權授予組織中管理的現有及新帳戶](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) 。IAM Identity Center 為您提供預設存放區，這可用於管理使用者和群組。若您選擇使用 IAM Identity Center 存放區，則建立使用者和群組，並將其存取層級指派給您的 AWS 帳戶和應用程式，並記住最低權限的最佳實務。或者，您可以選擇使用 SAML 2.0 [連線至您的外部身份供應商 ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)， [或使用](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) AWS Directory Service 連線至您的 Microsoft AD 目錄。設定好之後，您可以透過中央身分提供者進行身分驗證，登入 AWS 管理主控台 或 AWS 行動應用程式。

若要管理工作負載的最終使用者或取用者，例如行動應用程式，您可以使用 [Amazon Cognito](http://aws.amazon.com/cognito/)。它可為您的 Web 和行動應用程式提供身份驗證、授權和使用者管理。您的使用者可以憑使用者名稱和密碼直接登入，或透過第三方 (例如 Amazon、Apple、Facebook 或 Google) 登入。

 **若未建立此最佳實務，暴露的風險等級為：** 高 

## 實作指引
<a name="implementation-guidance"></a>
+  集中管理存取：建立 Identity and Access Management (IAM) 身分提供者實體，以在您的 AWS 帳戶 與您的身分提供者 (IdP) 之間建立信任的關係。IAM 支援與 OpenID Connect (OIDC) 或 SAML 2.0 (安全聲明標記語言 2.0) 相容的 IdP。 
  +  [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  集中應用程式存取：考慮使用 Amazon Cognito 集中存取應用程式。它可讓您快速輕鬆地將使用者註冊、登入和存取控制新增到 Web 和行動應用程式。 [Amazon Cognito](https://aws.amazon.com/cognito/) 可擴展到數百萬使用者，並支援透過 SAML 2.0 使用社交身分提供者 (例如 Facebook、Google 和 Amazon) 以及企業身分提供者進行登入。 
+  移除舊的 IAM 使用者與群組：在您開始使用身分提供者 (IdP) 後，請移除不再需要的 IAM 使用者與群組。 
  +  [尋找未使用的登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) 
  +  [刪除 IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html) 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [安全合作夥伴解決方案：存取與存取控制](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [暫時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **相關影片：** 
+  [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4) 
+  [使用 AWS IAM Identity Center 大規模管理使用者許可](https://youtu.be/aEIqeFCcK7E) 
+  [在每一層都能掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)