Erstellen Sie einen OpenID Connect (OIDC) -Identitätsanbieter in IAM - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie einen OpenID Connect (OIDC) -Identitätsanbieter in IAM

IAMOIDCIdentitätsanbieter sind EntitätenIAM, die einen externen Identitätsanbieter (IdP) beschreiben, der den OpenID Connect (OIDC) -Standard unterstützt, wie Google oder Salesforce. Sie verwenden einen IAM OIDC Identitätsanbieter, wenn Sie eine Vertrauensstellung zwischen einem OIDC -kompatiblen IdP und Ihrem herstellen möchten. AWS-Konto Dies ist nützlich, wenn Sie eine mobile App oder Webanwendung erstellen, die Zugriff auf AWS Ressourcen benötigt, Sie aber keinen benutzerdefinierten Anmeldecode erstellen oder Ihre eigenen Benutzeridentitäten verwalten möchten. Weitere Informationen zu diesem Szenario finden Sie unter OIDCföderation.

Sie können einen IAM OIDC Identitätsanbieter mithilfe der AWS Management Console, der AWS Command Line Interface, der Tools für Windows oder der erstellen PowerShell und verwalten. IAM API

Nachdem Sie einen IAM OIDC Identitätsanbieter erstellt haben, müssen Sie eine oder mehrere IAM Rollen erstellen. Eine Rolle ist eine Identität AWS , die keine eigenen Anmeldeinformationen hat (wie dies bei einem Benutzer der Fall ist). Aber in diesem Kontext ist eine Rolle dynamisch einem Verbundbenutzer zugewiesen, der vom Identitätsanbieter der Organisation authentifiziert wird. Die Rolle ermöglicht es dem Identitätsanbieter Ihres Unternehmens, temporäre Sicherheitsanmeldeinformationen für den Zugriff auf AWS anzufordern. Die der Rolle zugewiesenen Richtlinien legen fest, was die Verbundbenutzer tun dürfen. AWS Informationen zum Erstellen einer Rolle für einen Drittanbieter-Identitätsanbieter finden Sie unter Eine Rolle für einen externen Identitätsanbieter (Federation) erstellen.

Wichtig

Wenn Sie identitätsbasierte Richtlinien für Aktionen konfigurieren, die oidc-provider Ressourcen unterstützen, IAM bewertet es den vollständigen OIDC IdentitätsanbieterURL, einschließlich aller angegebenen Pfade. Wenn Ihr OIDC Identitätsanbieter URL über einen Pfad verfügt, müssen Sie diesen Pfad in den Wert oidc-provider ARN als Resource Element aufnehmen. Sie haben auch die Möglichkeit, einen Schrägstrich und einen Platzhalter (/*) an die URL Domain anzuhängen oder an einer beliebigen Stelle im Pfad Platzhalterzeichen (*und?) zu verwenden. URL Wenn der OIDC Identitätsanbieter URL in der Anfrage nicht mit dem Wert übereinstimmt, der im Resource Element der Richtlinie festgelegt ist, schlägt die Anfrage fehl.

Informationen zur Behebung häufiger Probleme mit dem IAM OIDC Verbund finden Sie unter Beheben von Fehlern im Zusammenhang mit OIDC auf AWS re:POST.

Voraussetzungen: Bestätigen Sie die Konfiguration Ihres Identitätsanbieters

Bevor Sie einen IAM OIDC Identitätsanbieter erstellen können, benötigen Sie die folgenden Informationen von Ihrem IdP. Weitere Informationen zum Abrufen von Informationen zur OIDC Anbieterkonfiguration finden Sie in der Dokumentation zu Ihrem IdP.

  1. Stellen Sie fest, dass Ihr OIDC Identitätsanbieter öffentlich verfügbar URL ist. Sie URL müssen mit einem Zeichen https://. Per the OIDC standard, path com beginnen, sind zulässig, Abfrageparameter jedoch nicht. In der Regel URL besteht der nur aus einem Hostnamen, wie. https://server.example.org or https://example.com Der URL sollte keine Portnummer enthalten.

  2. Fügen Sie /.well-known/openid-configuration am Ende der Daten Ihres OIDC Identitätsanbieters hinzu, um das öffentlich verfügbare Konfigurationsdokument und die Metadaten des Anbieters URL zu sehen. Sie benötigen ein Discovery-Dokument im JSON Format mit dem Konfigurationsdokument und den Metadaten des Anbieters, das vom OpenID Connect-Provider-Discovery-Endpunkt URL abgerufen werden kann.

  3. Vergewissern Sie sich, dass die folgenden Werte in den Konfigurationsinformationen Ihres Anbieters enthalten sind. Wenn in Ihrer Openid-Konfiguration eines dieser Felder fehlt, müssen Sie Ihr Discovery-Dokument aktualisieren. Dieser Vorgang kann je nach Ihrem Identitätsanbieter variieren. Folgen Sie daher der Dokumentation Ihres IdP, um diese Aufgabe abzuschließen.

    • Emittent: Der URL für Ihre Domain.

    • jwks_uri: Der JSON Web Key Set (JWKS) -Endpunkt, an IAM den Ihre öffentlichen Schlüssel gesendet werden. Ihr Identitätsanbieter muss einen JSON Web Key Set (JWKS) -Endpunkt in die OpenID-Konfiguration aufnehmen. Dies URI definiert, wo Sie Ihre öffentlichen Schlüssel, die zur Überprüfung der signierten Token verwendet werden, von Ihrem Identitätsanbieter erhalten.

    • claims_supported: Informationen über den Benutzer, anhand derer Sie sicherstellen können, dass die OIDC Authentifizierungsantworten Ihres IdP die erforderlichen Attribute enthalten, die in IAM Richtlinien zur Überprüfung von Berechtigungen für Verbundbenutzer AWS verwendet werden. Eine Liste der IAM Bedingungsschlüssel, die für Ansprüche verwendet werden können, finden Sie unter. Verfügbare Schlüssel für den AWS OIDC Verbund

      • aud: Sie müssen den Zielgruppenwert, den Ihre IdP-Probleme geltend machen, in JSON Web Tokens (JWTs) ermitteln. Der Zielgruppenanspruch (aud) ist anwendungsspezifisch und identifiziert die beabsichtigten Empfänger des Tokens. Wenn Sie eine Mobil- oder Web-App bei einem OpenID Connect-Anbieter registrieren, richtet dieser eine Client-ID ein, die die Anwendung identifiziert. Die Client-ID ist eine eindeutige Kennung für Ihre App, die im Aud-Authentifizierungsantrag übergeben wird. Der Aud-Anspruch muss mit dem Wert Audience übereinstimmen, den Sie bei der Erstellung Ihres IAM OIDC Identitätsanbieters angegeben haben.

      • iat: Anträge müssen einen Wert enthalten, der den Zeitpunkt iat angibt, zu dem das ID-Token ausgestellt wurde.

      • iss: Der URL des Identitätsanbieters. Die Angabe, die mit einem https:// and should correspond to the Provider URL provided to IAM. Per the OIDC standard, path com Zeichen beginnen URL muss, ist zulässig, Abfrageparameter jedoch nicht. In der Regel URL besteht der nur aus einem Hostnamen, wie. https://server.example.org or https://example.com Der URL sollte keine Portnummer enthalten.

    • response_types_supported: id_token

    • subject_types_supported: öffentlich

    • id_token_signing_alg_values_supported: RS256

    Anmerkung

    Sie können zusätzliche Ansprüche wie benutzerdefinierte in das folgende Beispiel aufnehmen; der Anspruch wird jedoch ignoriert. AWS STS

    { "issuer": "https://example-domain.com", "jwks_uri": "https://example-domain.com/jwks/keys", "claims_supported": [ "aud", "iat", "iss", "name", "sub", "custom" ], "response_types_supported": [ "id_token" ], "id_token_signing_alg_values_supported": [ "RS256" ], "subject_types_supported": [ "public" ] }

Einen OIDC Anbieter erstellen und verwalten (Konsole)

Folgen Sie diesen Anweisungen, um einen IAM OIDC Identitätsanbieter in der zu erstellen und zu verwalten AWS Management Console.

Wichtig

Wenn Sie einen OIDC Identitätsanbieter von Google, Facebook oder Amazon Cognito verwenden, erstellen Sie mit diesem Verfahren keinen separaten IAM Identitätsanbieter. Diese OIDC Identitätsanbieter sind bereits in sie integriert AWS und stehen Ihnen zur Verfügung. Folgen Sie stattdessen den Schritten zum Erstellen neuer Rollen für Ihren Identitätsanbieter, siehe Eine Rolle für den OpenID Connect-Verbund erstellen (Konsole).

So erstellen Sie einen IAM OIDC Identitätsanbieter (Konsole)
  1. Bevor Sie einen IAM OIDC Identitätsanbieter erstellen, müssen Sie Ihre Anwendung beim IdP registrieren, um eine Client-ID zu erhalten. Die Client-ID (auch als Zielgruppe bezeichnet) ist ein eindeutiger Bezeichner für Ihre App, der ausgestellt wird, wenn Sie Ihre App beim Identitätsanbieter registrieren. Weitere Informationen über den Erhalt einer Client-ID finden Sie in der Dokumentation Ihres Identitätsanbieters.

    Anmerkung

    AWS sichert die Kommunikation mit OIDC Identitätsanbietern (IdPs) mithilfe unserer Bibliothek vertrauenswürdiger Stammzertifizierungsstellen (CAs), um das Zertifikat des JSON Web Key Set (JWKS) -Endpunkts TLS zu verifizieren. Wenn Ihr OIDC IdP auf ein Zertifikat angewiesen ist, das nicht von einem dieser vertrauenswürdigen Unternehmen signiert istCAs, sichern wir die Kommunikation nur dann mit den in der IdP-Konfiguration festgelegten Fingerabdrücken. AWS greift auf die Überprüfung per Fingerabdruck zurück, falls wir das TLS Zertifikat nicht abrufen können oder Version 1.3 erforderlich ist. TLS

  2. Öffnen Sie die Konsole unterIAM. https://console.aws.amazon.com/iam/

  3. Wählen Sie im Navigationsbereich Identitätsanbieter und dann Anbieter hinzufügen.

  4. Wählen Sie für Anbieter konfigurieren die Option OpenID Connect.

  5. Geben Sie für Provider URL den URL des IdP ein. Sie URL müssen die folgenden Einschränkungen einhalten:

    • Bei URL wird zwischen Groß- und Kleinschreibung unterschieden.

    • Das URL muss mit https:// beginnen.

    • Der URL sollte keine Portnummer enthalten.

    • Innerhalb Ihres AWS-Konto muss jeder IAM OIDC Identitätsanbieter eine eindeutige verwendenURL. Wenn Sie versuchen, eine einzureichenURL, die bereits für einen OpenID Connect-Anbieter in der verwendet wurde AWS-Konto, erhalten Sie eine Fehlermeldung.

  6. Geben Sie für Audience die Client-ID der Anwendung ein, die Sie beim IdP registriert und in Schritt 1 der Sie empfangen haben und an AWS die Sie Anfragen stellen. Wenn Sie zusätzliche Kunden IDs (auch Zielgruppen genannt) für diesen IdP haben, können Sie diese später auf der Anbieter-Detailseite hinzufügen.

    Anmerkung

    Wenn Ihr JWT IdP-Token den azp Anspruch enthält, geben Sie diesen Wert als Zielgruppenwert ein.

    Wenn Ihr OIDC Identitätsanbieter aud sowohl als auch azp Ansprüche im Token festlegt, AWS STS verwendet er den Wert im azp Anspruch als aud Anspruch.

  7. (Optional) Für Tags hinzufügen können Sie Schlüssel-Wert-Paare hinzufügen, um Ihre zu identifizieren und zu organisieren. IdPs Sie können auch Tags verwenden, um den Zugriff auf AWS -Ressourcen zu steuern. Weitere Informationen zum Kennzeichnen von IAM OIDC Identitätsanbietern finden Sie unter. Tag: OpenID Connect (OIDC) -Identitätsanbieter Wählen Sie Add tag. Geben Sie Werte für jedes Tag-Schlüsselwertpaar ein.

  8. Verifizieren Sie die angegebenen Informationen. Wenn Sie fertig sind, wählen Sie Anbieter hinzufügen. IAMversucht, den obersten CA-Fingerabdruck des OIDC IdP-Serverzertifikats abzurufen und zu verwenden, um den Identitätsanbieter zu erstellen. IAM OIDC

    Anmerkung

    Die Zertifikatskette des OIDC Identitätsanbieters muss mit der Domain oder dem Aussteller beginnenURL, dann mit dem Zwischenzertifikat und mit dem Stammzertifikat enden. Wenn die Reihenfolge der Zertifikatskette unterschiedlich ist oder doppelte oder zusätzliche Zertifikate enthält, erhalten Sie einen Signaturfehler und das JSON Web-Token () STS JWT kann nicht validiert werden. Korrigieren Sie die Reihenfolge der Zertifikate in der vom Server zurückgegebenen Kette, um den Fehler zu beheben. Weitere Informationen zu den Standards für die Zertifikatskette finden Sie unter certificate_list in RFC 5246 auf der Series-Website. RFC

  9. Weisen Sie Ihrem Identitätsanbieter eine IAM Rolle zu, um externen Benutzeridentitäten, die von Ihrem Identitätsanbieter verwaltet werden, Zugriff auf Ressourcen in Ihrem Konto zu gewähren AWS . Weitere Informationen zum Erstellen von Rollen für den Identitätsverbund finden Sie unter Eine Rolle für einen externen Identitätsanbieter (Federation) erstellen.

    Anmerkung

    OIDC IdPs Die in einer Rolle verwendete Vertrauensrichtlinie muss sich in demselben Konto befinden wie die Rolle, die ihr vertraut.

Um einen Fingerabdruck für einen IAM OIDC Identitätsanbieter hinzuzufügen oder zu entfernen (Konsole)
Anmerkung

AWS sichert die Kommunikation mit OIDC Identitätsanbietern (IdPs) mithilfe unserer Bibliothek vertrauenswürdiger Stammzertifizierungsstellen (CAs), um das Zertifikat des JSON Web Key Set (JWKS) -Endpunkts zu verifizieren. TLS Wenn Ihr OIDC IdP auf ein Zertifikat angewiesen ist, das nicht von einem dieser vertrauenswürdigen Unternehmen signiert istCAs, sichern wir die Kommunikation nur dann mit den in der IdP-Konfiguration festgelegten Fingerabdrücken. AWS greift auf die Überprüfung per Fingerabdruck zurück, falls wir das TLS Zertifikat nicht abrufen können oder Version 1.3 erforderlich ist. TLS

  1. Öffnen Sie die Konsole unterIAM. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Identitätsanbieter. Wählen Sie dann den Namen des IAM Identitätsanbieters aus, den Sie aktualisieren möchten.

  3. Wählen Sie die Registerkarte Endpunktverifizierung und dann im Abschnitt Fingerabdrücke die Option Verwalten aus. Um einen neuen Fingerabdruck einzugeben, wählen Sie Fingerabdruck hinzufügen. Wählen Sie zum Entfernen eines Fingerabdrucks neben dem Fingerabdruck, den Sie entfernen möchten, Entfernen.

    Anmerkung

    Ein IAM OIDC Identitätsanbieter muss mindestens einen Fingerabdruck haben und kann maximal fünf Fingerabdrücke haben.

    Wählen Sie abschließend Änderungen speichern.

Um eine Zielgruppe für einen IAM OIDC Identitätsanbieter hinzuzufügen (Konsole)
  1. Wählen Sie im Navigationsbereich Identitätsanbieter und dann den Namen des IAM Identitätsanbieters aus, den Sie aktualisieren möchten.

  2. Wählen Sie im Abschnitt Zielgruppen die Option Aktionen und wählen Sie Zielgruppe hinzufügen.

  3. Geben Sie die Client-ID der Anwendung ein, die Sie beim IdP registriert und in Schritt 1 der Sie empfangen haben und an AWS die Anfragen gestellt werden. Wählen Sie dann Zielgruppen hinzufügen.

    Anmerkung

    Ein IAM OIDC Identitätsanbieter muss mindestens eine haben und kann maximal 100 Zielgruppen haben.

Um eine Zielgruppe für einen IAM OIDC Identitätsanbieter (Konsole) zu entfernen
  1. Wählen Sie im Navigationsbereich Identitätsanbieter und dann den Namen des IAM Identitätsanbieters aus, den Sie aktualisieren möchten.

  2. Wählen Sie im Abschnitt Zielgruppen das Optionsfeld neben der Zielgruppe aus, die Sie entfernen möchten, und wählen Sie dann Aktionen.

  3. Wählen Sie Zielgruppe entfernen. Ein neues Fenster wird geöffnet.

  4. Wenn Sie eine Zielgruppe entfernen, können Identitäten, die mit der Zielgruppe verbunden sind, keine mit der Zielgruppe verbundenen Rollen annehmen. Lesen Sie im Fenster die Warnung und bestätigen Sie, dass Sie die Zielgruppe entfernen möchten, indem Sie das Wort remove in das Feld eingeben.

  5. Wählen Sie Entfernen, um die Zielgruppe zu entfernen.

Um einen IAM OIDC Identitätsanbieter zu löschen (Konsole)
  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Identitätsanbieter.

  3. Aktivieren Sie das Kontrollkästchen neben dem IAM Identitätsanbieter, den Sie löschen möchten. Ein neues Fenster wird geöffnet.

  4. Bestätigen Sie, dass Sie den Anbieter löschen möchten, indem Sie das Wort delete in das Feld eingeben. Wählen Sie dann Löschen.

Einen IAM OIDC Identitätsanbieter erstellen und verwalten (AWS CLI)

Sie können die folgenden AWS CLI Befehle verwenden, um IAM OIDC Identitätsanbieter zu erstellen und zu verwalten.

Um einen IAM OIDC Identitätsanbieter zu erstellen (AWS CLI)
  1. (Optional) Führen Sie den folgenden Befehl aus, um eine Liste aller IAM OIDC Identitätsanbieter in Ihrem AWS Konto abzurufen:

  2. Führen Sie den folgenden Befehl aus, um einen neuen IAM OIDC Identitätsanbieter zu erstellen:

Um die Liste der Fingerabdrücke von Serverzertifikaten für einen vorhandenen IAM OIDC Identitätsanbieter zu aktualisieren ()AWS CLI
Um einen vorhandenen IAM OIDC Identitätsanbieter zu taggen ()AWS CLI
Um Tags für einen vorhandenen IAM OIDC Identitätsanbieter aufzulisten (AWS CLI)
Um Tags auf einem IAM OIDC Identitätsanbieter zu entfernen (AWS CLI)
Um eine Client-ID zu einem vorhandenen IAM OIDC Identitätsanbieter hinzuzufügen oder zu entfernen (AWS CLI)
  1. (Optional) Führen Sie den folgenden Befehl aus, um eine Liste aller IAM OIDC Identitätsanbieter in Ihrem AWS Konto abzurufen:

  2. (Optional) Um detaillierte Informationen zu einem IAM OIDC Identitätsanbieter zu erhalten, führen Sie den folgenden Befehl aus:

  3. Führen Sie den folgenden Befehl aus, um einem vorhandenen IAM OIDC Identitätsanbieter eine neue Client-ID hinzuzufügen:

  4. Führen Sie den folgenden Befehl aus, um einen Client von einem vorhandenen IAM OIDC Identitätsanbieter zu entfernen:

Um einen IAM OIDC Identitätsanbieter zu löschen (AWS CLI)
  1. (Optional) Führen Sie den folgenden Befehl aus, um eine Liste aller IAM OIDC Identitätsanbieter in Ihrem AWS Konto abzurufen:

  2. (Optional) Um detaillierte Informationen zu einem IAM OIDC Identitätsanbieter zu erhalten, führen Sie den folgenden Befehl aus:

  3. Führen Sie den folgenden Befehl aus, um einen IAM OIDC Identitätsanbieter zu löschen:

Einen OIDC Identity Provider erstellen und verwalten (AWS API)

Sie können die folgenden IAM API Befehle verwenden, um OIDC Anbieter zu erstellen und zu verwalten.

Um einen IAM OIDC Identitätsanbieter zu erstellen (AWS API)
  1. (Optional) Rufen Sie den folgenden Vorgang auf, um eine Liste aller IAM OIDC Identitätsanbieter in Ihrem AWS Konto abzurufen:

  2. Rufen Sie den folgenden Vorgang auf, um einen neuen IAM OIDC Identitätsanbieter zu erstellen:

Um die Liste der Fingerabdrücke von Serverzertifikaten für einen vorhandenen IAM OIDC Identitätsanbieter zu aktualisieren ()AWS API
  • Rufen Sie den folgenden Vorgang auf, um die Liste der Fingerabdrücke von Serverzertifikaten für einen IAM OIDC Identitätsanbieter zu aktualisieren:

Um einen vorhandenen IAM OIDC Identitätsanbieter zu taggen ()AWS API
  • Rufen Sie den folgenden Vorgang auf, um einen vorhandenen IAM OIDC Identitätsanbieter zu kennzeichnen:

Um Tags für einen vorhandenen IAM OIDC Identitätsanbieter aufzulisten (AWS API)
Um Tags von einem vorhandenen IAM OIDC Identitätsanbieter zu entfernen (AWS API)
  • Rufen Sie den folgenden Vorgang auf, um Tags auf einem vorhandenen IAM OIDC Identitätsanbieter zu entfernen:

Um eine Client-ID zu einem vorhandenen IAM OIDC Identitätsanbieter hinzuzufügen oder zu entfernen (AWS API)
  1. (Optional) Rufen Sie den folgenden Vorgang auf, um eine Liste aller IAM OIDC Identitätsanbieter in Ihrem AWS Konto abzurufen:

  2. (Optional) Rufen Sie den folgenden Vorgang auf, um detaillierte Informationen zu einem IAM OIDC Identitätsanbieter zu erhalten:

  3. Rufen Sie den folgenden Vorgang auf, um einem vorhandenen IAM OIDC Identitätsanbieter eine neue Client-ID hinzuzufügen:

  4. Rufen Sie den folgenden Vorgang auf, um eine Client-ID aus einem vorhandenen IAM OIDC Identitätsanbieter zu entfernen:

Um einen IAM OIDC Identitätsanbieter zu löschen (AWS API)
  1. (Optional) Rufen Sie den folgenden Vorgang auf, um eine Liste aller IAM OIDC Identitätsanbieter in Ihrem AWS Konto abzurufen:

  2. (Optional) Rufen Sie den folgenden Vorgang auf, um detaillierte Informationen zu einem IAM OIDC Identitätsanbieter zu erhalten:

  3. Rufen Sie den folgenden Vorgang auf, um einen IAM OIDC Identitätsanbieter zu löschen: