온 - 칩 AD 서버가있는 클라이언트가 있습니다 ... API 게이트웨이를 통해 실행중인 응용 프로그램을 개발 중이며 사용자 지정 권한 부여기를 사용하여 끝점을 인증합니다. 온 - 프레미 (on-prem) AD 서버는 외부 사용자를 위해 AWS에 AD 서버를 배치하고 두 사용자 사이의 일종의 "링크"를 사용하여 연결하는 내부 사용자를 인증하는 데 사용됩니다.AWS AD를 사용하여 API 게이트웨이에 사용자 저장
나는 AD를 쿼리하여 사용자를 인증 한 다음 API에 액세스 할 수 있도록 IAM 역할을 얻고 싶습니다. 이것은 좋은 구현입니까?
AD FS를 실행하여 Cognito에 노출시킬 수있는 경우 Cognito Federated Identity를 사용하고 AWS_IAM 인증이 필요한 메서드를 설정하는 것이 좋습니다. 당신이 광고 FS를 실행할 수 없습니다 및 다른 목적을 위해 Microsoft Active Directory를 위해 AWS 디렉터리 서비스를 실행하는 경우
https://aws.amazon.com/blogs/mobile/announcing-saml-support-for-amazon-cognito/
당신이 신뢰를 만들 수 있습니다, 또는 다음은 AD FS를위한 문서에 대한 링크입니다 직접 연결/VPN을 통한 온 - 프레미스 광고에 대한 관계 그런 다음 AD 자격 증명을 가져 와서 LDAP (VPC와 함께 사용하도록 구성된 람다 기능)를 통해 사용자를 인증 한 서비스를 만들 수 있습니다. 마지막으로 후속 호출을 위해 토큰의 유효성을 검사하고 적절한 IAM 정책을 반환하는 사용자 지정 권한 부여 프로그램을 만들 수 있습니다.