Anhang B. Beispiel für einen SAML Identity Provider für AWS

In den meisten Unternehmen melden sich die Mitarbeiter bei ihrer Einstellung bei einem bevorzugten System ihrer Wahl an, z. B. bei Active Directory für ihre Firmenkonten. Diese Unternehmen verlangen von ihren Mitarbeitern, dass sie strenge Sicherheitsvorkehrungen treffen, um ihre Firmenkonten zu schützen. In Kapitel 8 habe ich mich dafür ausgesprochen, dass jedes Team ein eigenes AWS-Konto mit starker Authentifizierung braucht. Das bedeutet, dass die großen Unternehmen mehrere Identitäten unterhalten müssen: eine für ihre Unternehmenskonten im Identitätsmanagementsystem ihrer Wahl und darüber hinaus Identitäten für die AWS-Konten auf Teamebene. Das erhöht die Komplexität der Verwaltung erheblich. Außerdem wird es für Unternehmen schwieriger, Mitarbeiteridentitäten für alle diese Konten einzurichten, zu pflegen oder zu kündigen.

Um ein solches Szenario zu vermeiden, empfehlen Sicherheitsexperten die Verwendung von föderierten Identitäten (siehe Kapitel 2). Eine föderierte Identität ist eine übertragbare Identität, die es Nutzern ermöglicht, sich über mehrere Systeme hinweg zu authentifizieren, ohne dass sie ihre Identität mehrfach nachweisen müssen.