Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# IAM Identity Center-Anmeldeinformationsanbieter
**Anmerkung**
Hilfe zum Verständnis des Layouts von Einstellungsseiten oder zur Interpretation der **nachfolgenden Tabelle Support by AWS SDKs und Tools** finden Sie unter[Die Einstellungsseiten dieses Handbuchs verstehen](settings-reference.md#settingsPages).
Dieser Authentifizierungsmechanismus wird verwendet AWS IAM Identity Center , um Single Sign-On (SSO) -Zugriff auf Ihren Code AWS-Services zu erhalten.
**Anmerkung**
In der AWS SDK-API-Dokumentation wird der IAM Identity Center-Anmeldeinformationsanbieter als SSO-Anmeldeinformationsanbieter bezeichnet.
Nachdem Sie IAM Identity Center aktiviert haben, definieren Sie ein Profil für die zugehörigen Einstellungen in Ihrer geteilten Datei. AWS `config` Dieses Profil wird verwendet, um eine Verbindung zum IAM Identity Center-Zugriffsportal herzustellen. Wenn sich ein Benutzer erfolgreich bei IAM Identity Center authentifiziert hat, gibt das Portal kurzfristige Anmeldeinformationen für die diesem Benutzer zugeordnete IAM-Rolle zurück. Informationen darüber, wie das SDK temporäre Anmeldeinformationen aus der Konfiguration erhält und sie für AWS-Service Anfragen verwendet, finden Sie unter. [Wie die IAM Identity Center-Authentifizierung gelöst wird AWS SDKs und welche Tools](understanding-sso.md)
Es gibt zwei Möglichkeiten, IAM Identity Center über die `config` Datei zu konfigurieren:
+ **(Empfohlen) Konfiguration des SSO-Token-Anbieters** — Verlängerte Sitzungsdauer. Beinhaltet Unterstützung für benutzerdefinierte Sitzungsdauern.
+ **Legacy-Konfiguration, die nicht aktualisiert werden kann** — Verwendet eine feste, achtstündige Sitzung.
In beiden Konfigurationen müssen Sie sich erneut anmelden, wenn Ihre Sitzung abläuft.
Die folgenden beiden Leitfäden enthalten zusätzliche Informationen zu IAM Identity Center:
+ [AWS IAM Identity Center Benutzerhandbuch](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
+ [AWS IAM Identity Center Referenz zur Portal-API](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/Welcome.html)
Ausführliche Informationen darüber, wie die Tools SDKs und die Anmeldeinformationen mithilfe dieser Konfiguration verwenden und aktualisieren, finden Sie unter[Wie die IAM Identity Center-Authentifizierung gelöst wird AWS SDKs und welche Tools](understanding-sso.md).
## Voraussetzungen
Sie müssen zuerst IAM Identity Center aktivieren. Einzelheiten zur Aktivierung der IAM Identity Center-Authentifizierung finden Sie unter [Aktivieren AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html) im *AWS IAM Identity Center Benutzerhandbuch*.
**Anmerkung**
Alternativ finden Sie die vollständigen Voraussetzungen **und** die erforderliche Konfiguration für gemeinsam genutzte `config` Dateien, die auf dieser Seite detailliert beschrieben werden, in der Anleitung zur Einrichtung[Verwenden von IAM Identity Center zur Authentifizierung von AWS SDK und Tools](access-sso.md).
## Konfiguration des SSO-Token-Anbieters
Wenn Sie die Konfiguration des SSO-Token-Anbieters verwenden, aktualisiert Ihr AWS SDK oder Tool Ihre Sitzung automatisch bis zu Ihrem verlängerten Sitzungszeitraum. Weitere Informationen zur Sitzungsdauer und Höchstdauer finden Sie im Benutzerhandbuch unter [Konfiguration der Sitzungsdauer des AWS Zugriffsportals und der integrierten IAM Identity *AWS IAM Identity Center Center-Anwendungen*](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-user-session.html).
Der `sso-session` Abschnitt der `config` Datei wird verwendet, um Konfigurationsvariablen für den Erwerb von SSO-Zugriffstoken zu gruppieren, die dann zum Abrufen von AWS Anmeldeinformationen verwendet werden können. Weitere Informationen zu diesem Abschnitt innerhalb einer `config` Datei finden Sie unter[Format der Konfigurationsdatei](file-format.md#file-format-config).
Im folgenden Beispiel für eine gemeinsam genutzte `config` Datei wird das SDK oder das Tool mithilfe eines `dev` Profils konfiguriert, um IAM Identity Center-Anmeldeinformationen anzufordern.
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```
Die vorherigen Beispiele zeigen, dass Sie einen `sso-session` Abschnitt definieren und ihn einem Profil zuordnen. In `sso_account_id` der Regel `sso_role_name` muss dies in dem `profile` Abschnitt festgelegt werden, damit das SDK AWS Anmeldeinformationen anfordern kann. `sso_region``sso_start_url`, und `sso_registration_scopes` muss innerhalb des `sso-session` Abschnitts festgelegt werden.
`sso_account_id`und `sso_role_name` sind nicht für alle Szenarien der SSO-Token-Konfiguration erforderlich. Wenn Ihre Anwendung nur AWS-Services diese Unterstützung für die Trägerauthentifizierung verwendet, sind herkömmliche AWS Anmeldeinformationen nicht erforderlich. Bei der Bearer-Authentifizierung handelt es sich um ein HTTP-Authentifizierungsschema, das Sicherheitstoken, sogenannte Bearer-Token, verwendet. In diesem Szenario sind `sso_account_id` und `sso_role_name` nicht erforderlich. In der jeweiligen AWS-Service Anleitung erfahren Sie, ob der Dienst die Bearer-Token-Autorisierung unterstützt.
Registrierungsbereiche werden als Teil eines konfiguriert. `sso-session` Der Geltungsbereich ist ein MechanismusOAuth 2.0, mit dem der Zugriff einer Anwendung auf das Konto eines Benutzers beschränkt wird. Im vorherigen Beispiel wird der erforderliche `sso_registration_scopes` Zugriff für die Auflistung von Konten und Rollen bereitgestellt.
Das folgende Beispiel zeigt, wie Sie dieselbe `sso-session` Konfiguration für mehrere Profile wiederverwenden können.
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```
Das Authentifizierungstoken wird auf der Festplatte unter dem `~/.aws/sso/cache` Verzeichnis zwischengespeichert, wobei der Dateiname auf dem Sitzungsnamen basiert.
## Nicht aktualisierbare Legacy-Konfiguration
Die automatisierte Token-Aktualisierung wird bei Verwendung der nicht aktualisierbaren Legacy-Konfiguration nicht unterstützt. Wir empfehlen, [Konfiguration des SSO-Token-Anbieters](#sso-token-config) stattdessen das zu verwenden.
Um die alte, nicht aktualisierbare Konfiguration zu verwenden, müssen Sie die folgenden Einstellungen in Ihrem Profil angeben:
+ `sso_start_url`
+ `sso_region`
+ `sso_account_id`
+ `sso_role_name`
Sie geben das Benutzerportal für ein Profil mit den Einstellungen `sso_start_url` und `sso_region` an. Sie geben Berechtigungen mit den `sso_role_name` Einstellungen `sso_account_id` und an.
Im folgenden Beispiel werden die vier erforderlichen Werte in der `config` Datei festgelegt.
```
[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
```
Das Authentifizierungstoken wird auf der Festplatte unter dem `~/.aws/sso/cache` Verzeichnis zwischengespeichert, dessen Dateiname auf dem `sso_start_url` basiert.
## Einstellungen des IAM Identity Center-Anmeldeinformationsanbieters
Konfigurieren Sie diese Funktionalität wie folgt:
**`sso_start_url`- Einstellung für gemeinsam genutzte AWS `config` Dateien**
Die URL, die auf die IAM Identity Center-Aussteller-URL oder die URL des Zugriffsportals Ihrer Organisation verweist. Weitere Informationen finden Sie im *AWS IAM Identity Center Benutzerhandbuch* unter [Verwenden des AWS Zugriffsportals](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-the-portal.html).
Um diesen Wert zu finden, öffnen Sie die [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon), sehen Sie sich das **Dashboard** an und suchen Sie nach der **URL des AWS Zugriffsportals**.
+ **Alternativ können Sie ab Version **2.22.0** von stattdessen den AWS CLI Wert für AWS die Aussteller-URL verwenden.**
**`sso_region`- Einstellung für gemeinsam genutzte Dateien AWS `config`**
Die AWS-Region , die Ihren IAM Identity Center-Portalhost enthält, d. h. die Region, die Sie vor der Aktivierung von IAM Identity Center ausgewählt haben. Dies ist unabhängig von Ihrer AWS Standardregion und kann unterschiedlich sein.
Eine vollständige Liste der AWS-Regionen und ihrer Codes finden Sie unter [Regionale Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints) in der *Allgemeine Amazon Web Services-Referenz*. **Um diesen Wert zu finden, öffnen Sie die [IAM Identity Center-Konsole, rufen](https://console.aws.amazon.com/singlesignon) Sie das **Dashboard** auf und suchen Sie nach Region.**
**`sso_account_id`- Einstellung für gemeinsam genutzte AWS `config` Dateien**
Die numerische ID AWS-Konto , die über den AWS Organizations Dienst hinzugefügt wurde, um sie für die Authentifizierung zu verwenden.
Um die Liste der verfügbaren Konten zu sehen, gehen Sie zur [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) und öffnen Sie die **AWS-Konten**Seite. Die Liste der verfügbaren Konten, die die [ListAccounts](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_ListAccounts.html)API-Methode verwenden, finden Sie auch in der *AWS IAM Identity Center Portal-API-Referenz.* Sie können beispielsweise die AWS CLI Methode [list-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso/list-accounts.html) aufrufen.
**`sso_role_name`- Einstellung für gemeinsam genutzte Dateien AWS `config`**
Der Name eines als IAM-Rolle bereitgestellten Berechtigungssatzes, der die daraus resultierenden Berechtigungen des Benutzers definiert. Die Rolle muss in dem von AWS-Konto angegebenen Namen existieren. `sso_account_id` Verwenden Sie den Rollennamen, nicht den Amazon Resource Name (ARN) der Rolle.
Mit den Berechtigungssätzen sind IAM-Richtlinien und benutzerdefinierte Berechtigungsrichtlinien verknüpft. Sie definieren die Zugriffsebene, die Benutzer auf die ihnen zugewiesenen AWS-Konten Rechte haben.
Um die Liste der verfügbaren Berechtigungssätze pro zu sehen AWS-Konto, gehen Sie zur [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) und öffnen Sie die **AWS-Konten**Seite. Wählen Sie den richtigen Namen für den Berechtigungssatz aus, der in der AWS-Konten Tabelle aufgeführt ist. Die Liste der verfügbaren Berechtigungssätze, die die [ListAccountRoles](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_ListAccountRoles.html)API-Methode verwenden, finden Sie auch in der *AWS IAM Identity Center Portal-API-Referenz*. Sie können die AWS CLI Methode beispielsweise aufrufen [list-account-roles](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso/list-account-roles.html).
**`sso_registration_scopes`- Einstellung für gemeinsam genutzte AWS `config` Dateien**
Eine durch Kommas getrennte Liste gültiger Bereichszeichenfolgen, für die autorisiert werden sollen. `sso-session` Eine Anwendung kann einen oder mehrere Bereiche anfordern und das an die Anwendung ausgegebene Zugriffstoken ist auf die gewährten Bereiche beschränkt. Ein Mindestbereich von `sso:account:access` muss gewährt werden, um ein Aktualisierungstoken vom IAM Identity Center-Dienst zurückzuerhalten. Eine Liste der verfügbaren Optionen für den Zugriffsbereich finden Sie im *AWS IAM Identity Center Benutzerhandbuch* unter [Zugriffsbereiche](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept).
Diese Bereiche definieren die Berechtigungen, die für die Autorisierung für den registrierten OIDC-Client angefordert werden, und die vom Client abgerufenen Zugriffstoken. Bereiche autorisieren den Zugriff auf über IAM-Identity-Center-Bearer-Token autorisierte Endpunkte.
Diese Einstellung gilt nicht für die Legacy-Konfiguration, die nicht aktualisiert werden kann. Token, die mit der Legacy-Konfiguration ausgegeben wurden, sind implizit auf den Gültigkeitsbereich `sso:account:access` beschränkt.
## Support von AWS SDKs und Tools
Im Folgenden werden die in diesem Thema beschriebenen Funktionen und Einstellungen SDKs unterstützt. Alle teilweisen Ausnahmen werden vermerkt. Alle Einstellungen für JVM-Systemeigenschaften werden AWS SDK für Kotlin nur von AWS SDK für Java und vom unterstützt.
| SDK | Unterstützt | Hinweise oder weitere Informationen |
| --- | --- | --- |
| [AWS CLI ](https://docs.aws.amazon.com/cli/latest/userguide/) v2 | Ja | |
| [SDK for C\$1\$1](https://docs.aws.amazon.com/sdk-for-cpp/latest/developer-guide/) | Ja | |
| [SDK for Go V2 (1.x)](https://docs.aws.amazon.com/sdk-for-go/v2/developer-guide/) | Ja | |
| [SDK for Go 1.x (V1)](https://docs.aws.amazon.com/sdk-for-go/latest/developer-guide/) | Ja | Um die Einstellungen für gemeinsam genutzte config Dateien zu verwenden, müssen Sie das Laden aus der Konfigurationsdatei aktivieren. Weitere Informationen finden Sie unter [Sessions](https://docs.aws.amazon.com/sdk-for-go/api/aws/session/). |
| [SDK for Java 2.x](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/) | Ja | Konfigurationswerte werden auch in der credentials Datei unterstützt. |
| [SDK for Java 1.x](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/) | Nein | |
| [SDK für 3.x JavaScript ](https://docs.aws.amazon.com/sdk-for-javascript/latest/developer-guide/) | Ja | |
| [SDK für 2.x JavaScript ](https://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/) | Ja | |
| [SDK für Kotlin](https://docs.aws.amazon.com/sdk-for-kotlin/latest/developer-guide/) | Ja | |
| [SDK for .NET 4.x](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/) | Ja | |
| [SDK for .NET 3.x](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/) | Ja | |
| [SDK for PHP 3.x](https://docs.aws.amazon.com/sdk-for-php/latest/developer-guide/) | Ja | |
| [SDK for Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html) | Ja | |
| [SDK for Ruby 3.x](https://docs.aws.amazon.com/sdk-for-ruby/latest/developer-guide/) | Ja | |
| [SDK für Rust](https://docs.aws.amazon.com/sdk-for-rust/latest/dg/) | Teilweise | Nur ältere, nicht aktualisierbare Konfiguration. |
| [SDK für Swift](https://docs.aws.amazon.com/sdk-for-swift/latest/developer-guide/) | Ja | |
| [Tools für PowerShell V5](https://docs.aws.amazon.com/powershell/latest/userguide/) | Ja | |
| [Tools für V4 PowerShell ](https://docs.aws.amazon.com/powershell/v4/userguide/) | Ja | |