Avec l’introduction de …, les applications peuvent désormais propager l’identité professionnelle d’un utilisateur de leur fournisseur d’identité (IdP) aux applications s’exécutant dans … et aux services de stockage soutenant ces applications, tels que … ou … Puisque l’accès aux applications et aux données peut désormais être accordé directement à une identité professionnelle, une expérience de connexion unique transparente peut être réalisée, éliminant le besoin pour les utilisateurs de connaître les différents rôles … pour accéder aux données ou utiliser les identifiants de base de données locaux.
Alors que les applications gérées par AWS telles que …, … ou … offrent une expérience de configuration native avec la propagation d’identité de confiance, il existe des cas d’utilisation où des intégrations personnalisées doivent être construites. Vous pourriez vouloir intégrer vos identités professionnelles dans des applications personnalisées stockant des données dans Amazon S3 ou construire une interface au-dessus d’applications existantes en utilisant des pilotes de connectivité Java Database Connectivity (JDBC), permettant à ces applications de propager ces identités dans AWS pour accéder aux ressources au nom de leurs utilisateurs. Les propriétaires de ressources AWS peuvent gérer l’autorisation directement dans leurs applications AWS telles que Lake Formation ou …
Ce billet de blog présente une application d’interface en ligne de commande (CLI) d’exemple qui permet aux utilisateurs d’accéder aux services AWS en utilisant leur identité professionnelle provenant d’IdPs tels qu’Okta ou Microsoft Entra ID.
La solution repose sur l’authentification des utilisateurs avec leur IdP choisi en utilisant des flux d’authentification OAuth 2.0 standard pour recevoir un jeton d’identité. Ce jeton peut ensuite être échangé contre … et … pour accéder aux données au nom de l’identité professionnelle qui a été utilisée pour se connecter à l’IdP.
Enfin, une intégration avec le … est fournie, permettant un accès natif aux services AWS au nom de l’identité connectée.
Dans ce billet, vous apprendrez comment construire et utiliser l’application CLI pour accéder aux données sur les autorisations d’accès S3, interroger les tables …, et interagir de manière programmable avec d’autres services AWS qui prennent en charge la propagation d’identité de confiance.
Pour mettre en place la solution décrite dans ce billet, vous devez déjà être familier avec les concepts et fonctionnalités de propagation d’identité de confiance et d’autorisations d’accès S3. Si ce n’est pas le cas, consultez les deux billets de blog … et … Dans ce billet, nous vous guiderons à travers une configuration plus pratique de votre propre application CLI d’exemple.