Richten Sie vom Kunden verwaltete OAuth 2.0-Anwendungen für die Verbreitung vertrauenswürdiger Identitäten ein - AWS IAM Identity Center
Wählen Sie den AnwendungstypSchritt 2: Geben Sie die Anwendungsdetails anSchritt 3: Geben Sie die Authentifizierungseinstellungen anSchritt 4: Geben Sie die Anmeldeinformationen für die Anwendung anSchritt 5: Überprüfen und konfigurieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie vom Kunden verwaltete OAuth 2.0-Anwendungen für die Verbreitung vertrauenswürdiger Identitäten ein

Um eine vom Kunden verwaltete OAuth 2.0-Anwendung für die Verbreitung vertrauenswürdiger Identitäten einzurichten, müssen Sie sie zunächst zu IAM Identity Center hinzufügen. Gehen Sie wie folgt vor, um Ihre Anwendung zu IAM Identity Center hinzuzufügen.

Schritt 1: Wählen Sie den Anwendungstyp

  1. Öffnen Sie die IAMIdentity Center-Konsole.

  2. Wählen Sie Applications (Anwendungen).

  3. Wählen Sie die Registerkarte Vom Kunden verwaltet.

  4. Wählen Sie Anwendung hinzufügen.

  5. Wählen Sie auf der Seite Anwendungstyp auswählen unter Setup-Einstellungen die Option Ich habe eine Anwendung, die ich einrichten möchte aus.

  6. Wählen Sie unter Anwendungstyp die Option OAuth2.0 aus.

  7. Wählen Sie Weiter, um zur nächsten Seite zu gelangenSchritt 2: Geben Sie die Anwendungsdetails an.

Schritt 2: Geben Sie die Anwendungsdetails an

  1. Geben Sie auf der Seite Anwendungsdetails angeben unter Anwendungsname und Beschreibung einen Anzeigenamen für die Anwendung ein, z. MyApp B. Geben Sie dann eine Beschreibung ein.

  2. Wählen Sie unter Zuweisungsmethode für Benutzer und Gruppen eine der folgenden Optionen aus:

    • Zuweisungen erforderlich — Erlauben Sie nur IAM Identity Center-Benutzern und Gruppen, die dieser Anwendung zugewiesen sind, auf die Anwendung zuzugreifen.

      Sichtbarkeit der Anwendungskachel — Nur Benutzer, die der Anwendung direkt oder über eine Gruppenzuweisung zugewiesen wurden, können die Anwendungskachel im AWS Access Portal anzeigen, sofern die Sichtbarkeit der Anwendung im AWS Access Portal auf Sichtbar gesetzt ist.

    • Keine Zuweisungen erforderlich — Erlauben Sie allen autorisierten IAM Identity Center-Benutzern und -Gruppen den Zugriff auf diese Anwendung.

      Sichtbarkeit der Anwendungskachel — Die Anwendungskachel ist für alle Benutzer sichtbar, die sich beim AWS Zugriffsportal anmelden, sofern die Anwendungssichtbarkeit im AWS Zugriffsportal nicht auf Nicht sichtbar gesetzt ist.

  3. Geben Sie unter AWS Zugriffsportal an, URL wo Benutzer auf die Anwendung zugreifen können, und geben Sie an, ob die Anwendungskachel im AWS Zugriffsportal sichtbar oder nicht sichtbar sein soll. Wenn Sie Nicht sichtbar wählen, können nicht einmal zugewiesene Benutzer die Anwendungskachel sehen.

  4. Wählen Sie unter Tags (optional) die Option Neues Tag hinzufügen aus und geben Sie dann Werte für Schlüssel und Wert an (optional).

    Informationen zu Tags siehe Tagging AWS IAM Identity Center Ressourcen.

  5. Wählen Sie Weiter und fahren Sie mit der nächsten Seite fortSchritt 3: Geben Sie die Authentifizierungseinstellungen an.

Schritt 3: Geben Sie die Authentifizierungseinstellungen an

Um IAM Identity Center eine vom Kunden verwaltete Anwendung hinzuzufügen, die OAuth 2.0 unterstützt, müssen Sie einen vertrauenswürdigen Token-Aussteller angeben. Ein vertrauenswürdiger Token-Aussteller ist ein OAuth 2.0-Autorisierungsserver, der signierte Token erstellt. Diese Token autorisieren Anwendungen, die Anfragen (Anträge anfordern) für den Zugriff auf AWS verwaltete Anwendungen (Empfangen von Anwendungen) initiieren.

  1. Führen Sie auf der Seite Authentifizierungseinstellungen angeben unter Vertrauenswürdige Token-Aussteller einen der folgenden Schritte aus:

    • So verwenden Sie einen vorhandenen vertrauenswürdigen Token-Aussteller:

      Aktivieren Sie das Kontrollkästchen neben dem Namen des vertrauenswürdigen Token-Ausstellers, den Sie verwenden möchten.

    • Um einen neuen vertrauenswürdigen Token-Emittenten hinzuzufügen:

      1. Wählen Sie Vertrauenswürdigen Token-Aussteller erstellen aus.

      2. Ein neuer Browser-Tab wird geöffnet. Folgen Sie den Schritten 5 bis 8 inWie füge ich einen vertrauenswürdigen Token-Aussteller zur IAM Identity Center-Konsole hinzu.

      3. Nachdem Sie diese Schritte abgeschlossen haben, kehren Sie zu dem Browserfenster zurück, das Sie für die Einrichtung Ihrer Anwendung verwenden, und wählen Sie den vertrauenswürdigen Token-Aussteller aus, den Sie gerade hinzugefügt haben.

      4. Aktivieren Sie in der Liste der vertrauenswürdigen Token-Emittenten das Kontrollkästchen neben dem Namen des vertrauenswürdigen Token-Ausstellers, den Sie gerade hinzugefügt haben.

        Nachdem Sie einen vertrauenswürdigen Token-Aussteller ausgewählt haben, wird der Abschnitt Ausgewählte vertrauenswürdige Token-Aussteller konfigurieren angezeigt.

  2. Geben Sie unter Ausgewählte vertrauenswürdige Token-Emittenten konfigurieren den Aud-Anspruch ein. Der Aud-Anspruch identifiziert die Zielgruppe (Empfänger) für das Token, das vom vertrauenswürdigen Token-Emittenten generiert wurde. Weitere Informationen finden Sie unter Ein Anspruch erheben.

  3. Um zu verhindern, dass sich Ihre Benutzer erneut authentifizieren müssen, wenn sie diese Anwendung verwenden, wählen Sie „Aktualisierungstokengewährung aktivieren“ aus. Wenn diese Option ausgewählt ist, aktualisiert sie das Zugriffstoken für die Sitzung alle 60 Minuten, bis die Sitzung abläuft oder der Benutzer die Sitzung beendet.

  4. Wählen Sie Weiter und fahren Sie mit der nächsten Seite fort. Schritt 4: Geben Sie die Anmeldeinformationen für die Anwendung an

Schritt 4: Geben Sie die Anmeldeinformationen für die Anwendung an

Führen Sie die Schritte in diesem Verfahren aus, um die Anmeldeinformationen anzugeben, die Ihre Anwendung verwendet, um Token-Austauschaktionen mit vertrauenswürdigen Anwendungen durchzuführen. Diese Anmeldeinformationen werden in einer ressourcenbasierten Richtlinie verwendet. Die Richtlinie erfordert, dass Sie einen Prinzipal angeben, der berechtigt ist, die in der Richtlinie angegebenen Aktionen auszuführen. Sie müssen einen Prinzipal angeben, auch wenn sich die vertrauenswürdigen Anwendungen in derselben befinden AWS-Konto.

Anmerkung

Wenn Sie Berechtigungen mit Richtlinien festlegen, gewähren Sie nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen.

Diese Richtlinie erfordert die sso-oauth:CreateTokenWithIAM Aktion.

  1. Führen Sie auf der Seite „Anmeldeinformationen für die Anwendung angeben“ einen der folgenden Schritte aus:

    • So geben Sie schnell eine oder mehrere IAM Rollen an:

      1. Wählen Sie Eine oder mehrere IAM Rollen eingeben aus.

      2. Geben Sie unter IAM Rollen eingeben den Amazon-Ressourcennamen (ARN) einer vorhandenen IAM Rolle an. Verwenden Sie zur ARN Angabe von die folgende Syntax. Der Teil Region von ARN ist leer, da es sich bei den IAM Ressourcen um globale Ressourcen handelt. 

          arn:aws:iam::account:role/role-name-with-path

        Weitere Informationen finden Sie unter Kontoübergreifender Zugriff mithilfe ressourcenbasierter Richtlinien und IAMARNsim AWS Identity and Access Management Benutzerhandbuch.

    • Um die Richtlinie manuell zu bearbeiten (erforderlich, wenn Sie keine Anmeldeinformationen angeben):AWS

      1. Wählen Sie Anwendungsrichtlinie bearbeiten aus.

      2. Ändern Sie Ihre Richtlinie, indem Sie Text in das JSON Textfeld eingeben oder einfügen.

      3. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinienüberprüfung generiert wurden. Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter IAMRichtlinien validieren.

  2. Wählen Sie Weiter und fahren Sie mit der nächsten Seite fort,Schritt 5: Überprüfen und konfigurieren.

Schritt 5: Überprüfen und konfigurieren

  1. Überprüfen Sie auf der Seite Überprüfen und konfigurieren die von Ihnen getroffenen Entscheidungen. Um Änderungen vorzunehmen, wählen Sie den gewünschten Konfigurationsabschnitt aus, wählen Sie Bearbeiten und nehmen Sie dann die erforderlichen Änderungen vor.

  2. Wenn Sie fertig sind, wählen Sie Anwendung hinzufügen.

  3. Die von Ihnen hinzugefügte Anwendung wird in der Liste der vom Kunden verwalteten Anwendungen angezeigt.

  4. Nachdem Sie Ihre vom Kunden verwaltete Anwendung in IAM Identity Center eingerichtet haben, müssen Sie einen oder mehrere AWS Dienste oder vertrauenswürdige Anwendungen für die Identitätsweitergabe angeben. Auf diese Weise können sich Benutzer bei Ihrer vom Kunden verwalteten Anwendung anmelden und auf Daten in der vertrauenswürdigen Anwendung zugreifen.

    Weitere Informationen finden Sie unter Geben Sie vertrauenswürdige Anwendungen an .