我有一个具有本地 AD 服务器的客户端...我正在开发一个通过 API 网关运行的应用程序,该应用程序将使用自定义授权方来授权端点。本地 AD 服务器将用于对内部用户进行身份验证,考虑在 AWS 中为外部用户部署 AD 服务器,并在两者之间使用某种“链接”来连接它们。
我想查询 AD 以对用户进行身份验证,然后获取他们的 IAM 角色以允许访问 API。这是一个很好的实现吗?
【问题讨论】:
标签: amazon-web-services aws-api-gateway
如果您能够运行 AD FS 并将其公开给 Cognito,我建议您研究使用 Cognito 联合身份并将方法设置为需要 AWS_IAM 授权。这是 AD FS 文档的链接:
https://aws.amazon.com/blogs/mobile/announcing-saml-support-for-amazon-cognito/
或者,如果您无法运行 AD FS 并且出于其他目的运行 AWS Directory Service for Microsoft Active Directory,您可以通过直接连接/VPN 创建与本地 AD 的信任关系。然后,您可以创建一个服务,该服务获取 AD 凭据并通过 LDAP(配置为与 VPC 一起使用的 lambda 函数)对用户进行身份验证。最后,可以创建一个自定义授权方,为后续调用验证令牌并返回适当的 IAM 策略。
【讨论】: