Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verstehen Sie die IAM Identity Center-Authentifizierung
Relevante IAM Identity Center-Bedingungen
Die folgenden Begriffe helfen Ihnen, den Prozess und die Konfiguration dahinter AWS IAM Identity Center zu verstehen. In der Dokumentation für AWS SDK-APIs werden für einige dieser Authentifizierungskonzepte andere Namen als für IAM Identity Center verwendet. Es ist hilfreich, beide Namen zu kennen.
Die folgende Tabelle zeigt, in welcher Beziehung alternative Namen zueinander stehen.
Name des IAM Identity Center | SDK-API-Name | Beschreibung |
---|---|---|
Identitätszentrum | sso
|
Obwohl AWS Single Sign-On umbenannt wurde, behalten die sso API-Namespaces aus Gründen der Abwärtskompatibilität ihren ursprünglichen Namen. Weitere Informationen finden Sie unter Umbenennung von IAM Identity Center im Benutzerhandbuch. AWS IAM Identity Center |
IAM Identity Center-Konsole Administrationskonsole |
Die Konsole, mit der Sie Single Sign-On konfigurieren. | |
AWSauf die Portal-URL zugreifen | Eine eindeutige URL für Ihr IAM Identity Center-Konto, wiehttps:// . Sie melden sich mit Ihren IAM Identity Center-Anmeldeinformationen bei diesem Portal an. |
|
Sitzung des IAM Identity Center-Zugriffsportals | Authentifizierungssitzung | Stellt dem Anrufer ein Bearer-Zugriffstoken zur Verfügung. |
Sitzung mit Berechtigungssatz | Die IAM-Sitzung, die das SDK intern für die AWS-Service Aufrufe verwendet. In informellen Diskussionen wird dies möglicherweise fälschlicherweise als „Rollensitzung“ bezeichnet. | |
Anmeldeinformationen für den Berechtigungssatz | AWS-Anmeldeinformationen Sigv4-Anmeldeinformationen |
Die Anmeldeinformationen, die das SDK tatsächlich für die meisten AWS-Service Aufrufe verwendet (insbesondere für alle AWS-Service Sigv4-Aufrufe). In informellen Diskussionen werden Sie möglicherweise feststellen, dass dies fälschlicherweise als „Rollenanmeldedaten“ bezeichnet wird. |
Anbieter von IAM Identity Center-Anmeldeinformationen | Anbieter von SSO-Anmeldeinformationen | Wie Sie die Anmeldeinformationen erhalten, z. B. die Klasse oder das Modul, das die Funktionalität bereitstellt. |
Erfahren Sie mehr über die Auflösung von SDK-Anmeldeinformationen für AWS-Services
Die IAM Identity Center-API tauscht Inhaber-Token-Anmeldeinformationen gegen Sigv4-Anmeldeinformationen aus. Bei den meisten AWS-Services handelt es sich um Sigv4-APIs, mit einigen Ausnahmen wie und. Amazon CodeWhisperer Amazon CodeCatalyst Im Folgenden wird der Prozess zur Auflösung von Anmeldeinformationen beschrieben, mit dem die meisten AWS-Service Aufrufe für Ihren Anwendungscode unterstützt werden. AWS IAM Identity Center
Starten einer AWS-Zugriffsportalsitzung
-
Starten Sie den Vorgang, indem Sie sich mit Ihren Anmeldeinformationen bei der Sitzung anmelden.
-
Verwenden Sie den
aws sso login
Befehl in der AWS Command Line Interface (AWS CLI). Dadurch wird eine neue IAM Identity Center-Sitzung gestartet, falls Sie noch keine aktive Sitzung haben.
-
-
Wenn Sie eine neue Sitzung starten, erhalten Sie vom IAM Identity Center ein Aktualisierungs- und Zugriffstoken. AWS CLIAußerdem wird eine SSO-Cache-JSON-Datei mit einem neuen Zugriffstoken und einem Aktualisierungstoken aktualisiert und für die Verwendung durch SDKs verfügbar gemacht.
-
Wenn Sie bereits eine aktive Sitzung haben, verwendet der AWS CLI Befehl die bestehende Sitzung erneut und läuft ab, sobald die bestehende Sitzung abläuft. Informationen zum Einstellen der Länge einer IAM Identity Center-Sitzung finden Sie im Benutzerhandbuch unter Konfigurieren der Dauer der AWS Access-Portal-Sitzungen Ihrer AWS IAM Identity CenterBenutzer.
-
Die maximale Sitzungsdauer wurde auf 90 Tage verlängert, um die Notwendigkeit häufiger Anmeldungen zu reduzieren.
-
Wie erhält das SDK Anmeldeinformationen für Anrufe AWS-Service
SDKs bieten Zugriff darauf, AWS-Services wenn Sie ein Client-Objekt pro Dienst instanziieren. Wenn das ausgewählte Profil der gemeinsam genutzten AWS config
Datei für die Auflösung von IAM Identity Center-Anmeldeinformationen konfiguriert ist, wird IAM Identity Center zur Auflösung der Anmeldeinformationen für Ihre Anwendung verwendet.
-
Der Prozess zur Auflösung der Anmeldeinformationen wird während der Laufzeit abgeschlossen, wenn ein Client erstellt wird.
Um Anmeldeinformationen für Sigv4-APIs mithilfe von IAM Identity Center Single Sign-On abzurufen, verwendet das SDK das IAM Identity Center-Zugriffstoken, um eine IAM-Sitzung zu starten. Diese IAM-Sitzung wird als Berechtigungssatz-Sitzung bezeichnet und ermöglicht den AWS Zugriff auf das SDK, indem sie eine IAM-Rolle übernimmt.
-
Die Sitzungsdauer des Berechtigungssatzes wird unabhängig von der Dauer der IAM Identity Center-Sitzung festgelegt.
-
Informationen zum Einstellen der Sitzungsdauer mit dem Berechtigungssatz finden Sie unter Sitzungsdauer festlegen im AWS IAM Identity CenterBenutzerhandbuch.
-
-
Beachten Sie, dass die Berechtigungssatz-Anmeldeinformationen in den meisten AWS SDK-API-Dokumentationen auch als AWSAnmeldeinformationen und Sigv4-Anmeldeinformationen bezeichnet werden.
Die Anmeldeinformationen für den Berechtigungssatz werden bei einem Aufruf getRoleCredentialsder IAM Identity Center-API an das SDK zurückgegeben. Das Client-Objekt des SDK verwendet diese angenommene IAM-Rolle, um Aufrufe an das zu tätigenAWS-Service, z. B. Amazon S3 aufzufordern, die Buckets in Ihrem Konto aufzulisten. Das Client-Objekt kann mit diesen Berechtigungssatz-Anmeldeinformationen weiterarbeiten, bis die Berechtigungssatz-Sitzung abläuft.
Ablauf und Aktualisierung der Sitzung
Bei Verwendung von wird das SSOKonfiguration des Token-Anbieters vom IAM Identity Center abgerufene stündliche Zugriffstoken automatisch mit dem Aktualisierungstoken aktualisiert.
-
Wenn das Zugriffstoken abgelaufen ist, wenn das SDK versucht, es zu verwenden, verwendet das SDK das Aktualisierungstoken, um zu versuchen, ein neues Zugriffstoken abzurufen. Das IAM Identity Center vergleicht das Aktualisierungstoken mit der Sitzungsdauer Ihres IAM Identity Center-Zugriffsportals. Wenn das Aktualisierungstoken nicht abgelaufen ist, antwortet das IAM Identity Center mit einem anderen Zugriffstoken.
-
Dieses Zugriffstoken kann entweder verwendet werden, um die Berechtigungssatz-Sitzung vorhandener Clients zu aktualisieren oder um Anmeldeinformationen für neue Clients aufzulösen.
Wenn die Sitzung des IAM Identity Center-Zugriffsportals jedoch abgelaufen ist, wird kein neues Zugriffstoken gewährt. Daher kann die Dauer des Berechtigungssatzes nicht verlängert werden. Sie läuft ab (und der Zugriff geht verloren), wenn die Dauer der zwischengespeicherten Berechtigungssatz-Sitzung für bestehende Clients überschritten wird.
Bei jedem Code, der einen neuen Client erstellt, schlägt die Authentifizierung fehl, sobald die IAM Identity Center-Sitzung abläuft. Das liegt daran, dass die Anmeldeinformationen für den Berechtigungssatz nicht zwischengespeichert werden. Ihr Code kann erst dann einen neuen Client erstellen und die Auflösung der Anmeldeinformationen abschließen, wenn Sie über ein gültiges Zugriffstoken verfügen.
Um es noch einmal zusammenzufassen: Wenn das SDK neue Berechtigungssatz-Anmeldeinformationen benötigt, sucht das SDK zunächst nach gültigen, vorhandenen Anmeldeinformationen und verwendet diese. Dies gilt unabhängig davon, ob die Anmeldeinformationen für einen neuen Client oder für einen vorhandenen Client mit abgelaufenen Anmeldeinformationen bestimmt sind. Wenn Anmeldeinformationen nicht gefunden werden oder sie nicht gültig sind, ruft das SDK die IAM Identity Center-API auf, um neue Anmeldeinformationen abzurufen. Um die API aufzurufen, benötigt sie das Zugriffstoken. Wenn das Zugriffstoken abgelaufen ist, verwendet das SDK das Aktualisierungstoken, um ein neues Zugriffstoken vom IAM Identity Center-Dienst abzurufen. Dieses Token wird gewährt, wenn Ihre IAM Identity Center-Zugriffsportalsitzung nicht abgelaufen ist.