Auto-sync: 2026-04-18 20:02

wiki/concepts/Federated-User.md

@@ -0,0 +1,27 @@
+---
+title: "Federated User"
+type: concept
+tags:
+  - aws
+  - security
+  - identity
+sources: [ctp-topic-1-gruntwork-landing-zone-architecture]
+last_updated: 2026-04-18
+---
+
+## Summary
+通过 AD 组映射到 IAM 角色的联邦身份访问机制，替代传统 IAM 用户实现安全账户管理。
+
+## Definition
+Federated User（联邦用户）是基于身份提供商（IdP）的访问方式，用户通过企业 Active Directory（AD）进行身份验证，然后通过 SAML 或 OIDC 映射到 AWS IAM 角色获取访问权限。
+
+## Advantages
+- **集中管理**：用户凭据由企业 AD 集中管理，无需在 AWS 中单独创建 IAM 用户
+- **自动生命周期**：员工离职后自动失去 AWS 访问权限
+- **最小权限原则**：通过 AD 组精确控制用户获得的 IAM 角色和权限
+- **审计合规**：所有访问通过企业身份系统记录和审计
+
+## Connections
+- [[IAM]] ← accepts ← [[Federated-User]]
+- [[Active-Directory]] ← authenticates ← [[Federated-User]]
+- [[Gruntwork-Landing-Zone]] ← uses ← [[Federated-User]]