Einen vertrauenswürdigen Token-Emittenten einrichten - AWS IAM Identity Center
Koordinierung der administrativen Rollen und ZuständigkeitenAufgaben zur Einrichtung eines vertrauenswürdigen Token-EmittentenWie füge ich einen vertrauenswürdigen Token-Aussteller zur IAM Identity Center-Konsole hinzuWie können Sie die Einstellungen für vertrauenswürdige Token-Aussteller in der IAM Identity Center-Konsole anzeigen oder bearbeitenEinrichtungsprozess und Anforderungsablauf für Anwendungen, die einen vertrauenswürdigen Token-Aussteller verwenden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einen vertrauenswürdigen Token-Emittenten einrichten

Um die Verbreitung vertrauenswürdiger Identitäten für eine Anwendung zu aktivieren, die sich extern bei IAM Identity Center authentifiziert, müssen ein oder mehrere Administratoren einen vertrauenswürdigen Token-Aussteller einrichten. Ein vertrauenswürdiger Token-Aussteller ist ein OAuth 2.0-Autorisierungsserver, der Tokens an Anwendungen ausgibt, die Anfragen initiieren (Anwendungen anfordern). Die Token autorisieren diese Anwendungen, im Namen ihrer Benutzer Anfragen an eine empfangende Anwendung (einen AWS Dienst) zu stellen.

Koordinierung der administrativen Rollen und Zuständigkeiten

In einigen Fällen kann ein einziger Administrator alle erforderlichen Aufgaben für die Einrichtung eines vertrauenswürdigen Token-Emittenten ausführen. Wenn mehrere Administratoren diese Aufgaben ausführen, ist eine enge Abstimmung erforderlich. In der folgenden Tabelle wird beschrieben, wie mehrere Administratoren gemeinsam einen vertrauenswürdigen Token-Aussteller einrichten und den AWS Dienst für dessen Verwendung konfigurieren können.

Anmerkung

Bei der Anwendung kann es sich um einen beliebigen AWS Dienst handeln, der in IAM Identity Center integriert ist und die Verbreitung vertrauenswürdiger Identitäten unterstützt.

Weitere Informationen finden Sie unter Aufgaben zur Einrichtung eines vertrauenswürdigen Token-Emittenten.

Rolle Führt diese Aufgaben aus Koordiniert mit
IAM Identity Center-Administrator

Fügt den externen IdP als vertrauenswürdigen Token-Aussteller zur IAM Identity Center-Konsole hinzu.

Hilft bei der Einrichtung der korrekten Attributzuordnung zwischen IAM Identity Center und dem externen IdP.

Benachrichtigt den AWS Dienstadministrator, wenn der vertrauenswürdige Token-Aussteller der IAM Identity Center-Konsole hinzugefügt wird.

Externer IdP-Administrator (vertrauenswürdiger Token-Aussteller)

AWS Dienstadministrator
Externer IdP-Administrator (vertrauenswürdiger Token-Aussteller)

Konfiguriert den externen IdP für die Ausgabe von Tokens.

Hilft bei der Einrichtung der korrekten Attributzuordnung zwischen IAM Identity Center und dem externen IdP.

Stellt dem Dienstadministrator den Namen der Zielgruppe (Aud-Anspruch) zur AWS Verfügung.

IAM Identity Center-Administrator

AWS Dienstadministrator
AWS Dienstadministrator

Sucht in der AWS Servicekonsole nach dem vertrauenswürdigen Token-Aussteller. Der vertrauenswürdige Token-Aussteller wird in der AWS Servicekonsole angezeigt, nachdem der IAM Identity Center-Administrator ihn der IAM Identity Center-Konsole hinzugefügt hat.

Konfiguriert den AWS Dienst für die Verwendung des vertrauenswürdigen Token-Ausstellers.

IAM Identity Center-Administrator

Externer IdP-Administrator (vertrauenswürdiger Token-Aussteller)

Aufgaben zur Einrichtung eines vertrauenswürdigen Token-Emittenten

Um einen vertrauenswürdigen Token-Aussteller einzurichten, müssen ein IAM Identity Center-Administrator, ein externer IdP-Administrator (vertrauenswürdiger Token-Aussteller) und ein Anwendungsadministrator die folgenden Aufgaben ausführen.

Anmerkung

Bei der Anwendung kann es sich um einen beliebigen AWS Dienst handeln, der in IAM Identity Center integriert ist und die Verbreitung vertrauenswürdiger Identitäten unterstützt.

  1. Den vertrauenswürdigen Token-Aussteller zu IAM Identity Center hinzufügen — Der IAM Identity Center-Administrator fügt den vertrauenswürdigen Token-Aussteller mithilfe der IAM Identity Center-Konsole hinzu oder. APIs Für diese Konfiguration müssen Sie Folgendes angeben:

    • Ein Name für den vertrauenswürdigen Token-Emittenten.

    • Die URL des OIDC-Discovery-Endpunkts (in der IAM Identity Center-Konsole wird diese URL als Aussteller-URL bezeichnet). Der Discovery-Endpunkt darf nur über die Ports 80 und 443 erreichbar sein.

    • Attributzuordnung für die Benutzersuche. Diese Attributzuordnung wird in einem Anspruch in dem Token verwendet, das vom vertrauenswürdigen Token-Emittenten generiert wird. Der Wert im Anspruch wird für die Suche im IAM Identity Center verwendet. Die Suche verwendet das angegebene Attribut, um einen einzelnen Benutzer in IAM Identity Center abzurufen.

  2. Connect AWS Dienst mit dem IAM Identity Center verbinden — Der AWS Dienstadministrator muss die Anwendung mit dem IAM Identity Center verbinden, indem er die Konsole für die Anwendung oder die Anwendung verwendet. APIs

    Nachdem der vertrauenswürdige Token-Aussteller der IAM Identity Center-Konsole hinzugefügt wurde, ist er auch in der AWS Servicekonsole sichtbar und kann vom Service-Administrator ausgewählt werden. AWS

  3. Konfigurieren Sie die Verwendung des Token-Austauschs — In der AWS Servicekonsole konfiguriert AWS der AWS Service-Administrator den Service so, dass er vom vertrauenswürdigen Token-Aussteller ausgegebene Token akzeptiert. Diese Token werden gegen vom IAM Identity Center generierte Token ausgetauscht. Dazu müssen Sie den Namen des vertrauenswürdigen Token-Ausstellers aus Schritt 1 und den Aud-Claim-Wert angeben, der AWS dem Service entspricht.

    Der vertrauenswürdige Token-Emittent fügt den Aud-Claim-Wert in das von ihm ausgegebene Token ein, um anzuzeigen, dass das Token für die Verwendung durch den AWS Dienst vorgesehen ist. Um diesen Wert zu erhalten, wenden Sie sich an den Administrator des vertrauenswürdigen Token-Ausstellers.

Wie füge ich einen vertrauenswürdigen Token-Aussteller zur IAM Identity Center-Konsole hinzu

In einer Organisation mit mehreren Administratoren wird diese Aufgabe von einem IAM Identity Center-Administrator ausgeführt. Wenn Sie der IAM Identity Center-Administrator sind, müssen Sie auswählen, welcher externe IdP als vertrauenswürdiger Token-Aussteller verwendet werden soll.

Um einen vertrauenswürdigen Token-Aussteller zur IAM Identity Center-Konsole hinzuzufügen

  1. Öffnen Sie die IAM-Identity-Center-Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Wählen Sie auf der Seite „Einstellungen“ die Registerkarte Authentifizierung aus.

  4. Wählen Sie unter Vertrauenswürdige Token-Aussteller die Option Vertrauenswürdigen Token-Aussteller erstellen aus.

  5. Gehen Sie auf der Seite Einen externen IdP für die Ausgabe vertrauenswürdiger Token einrichten unter Informationen zum vertrauenswürdigen Token-Emittenten wie folgt vor:

    • Geben Sie für Issuer URL die OIDC-Discovery-URL des externen IdP an, der Token für die Verbreitung vertrauenswürdiger Identitäten ausstellt. Sie müssen die URL des Discovery-Endpunkts bis und danach angeben. .well-known/openid-configuration Der Administrator des externen IdP kann diese URL bereitstellen.

      Anmerkung

      Hinweis: Diese URL muss mit der URL im Anspruch des Ausstellers (iss) in Tokens übereinstimmen, die für die Weitergabe vertrauenswürdiger Identitäten ausgegeben werden.

    • Geben Sie unter Name des vertrauenswürdigen Token-Ausstellers einen Namen ein, um diesen vertrauenswürdigen Token-Aussteller im IAM Identity Center und in der Anwendungskonsole zu identifizieren.

  6. Gehen Sie unter Attribute zuordnen wie folgt vor:

    • Wählen Sie unter Identity Provider-Attribut ein Attribut aus der Liste aus, das einem Attribut im IAM Identity Center-Identitätsspeicher zugeordnet werden soll.

    • Wählen Sie für das IAM Identity Center-Attribut das entsprechende Attribut für die Attributzuordnung aus.

  7. Wählen Sie unter Tags (optional) die Option Neues Tag hinzufügen aus, geben Sie einen Wert für Schlüssel und optional für Wert an.

    Informationen zu Tags siehe Tagging AWS IAM Identity Center Ressourcen.

  8. Wählen Sie Vertrauenswürdigen Token-Aussteller erstellen aus.

  9. Wenn Sie mit der Erstellung des vertrauenswürdigen Token-Ausstellers fertig sind, wenden Sie sich an den Anwendungsadministrator, um ihm den Namen des vertrauenswürdigen Token-Ausstellers mitzuteilen, damit er bestätigen kann, dass der vertrauenswürdige Token-Aussteller in der entsprechenden Konsole sichtbar ist.

  10. Der Anwendungsadministrator muss diesen vertrauenswürdigen Token-Aussteller in der entsprechenden Konsole auswählen, um Benutzern den Zugriff auf die Anwendung über Anwendungen zu ermöglichen, die für die Weitergabe vertrauenswürdiger Identitäten konfiguriert sind.

Wie können Sie die Einstellungen für vertrauenswürdige Token-Aussteller in der IAM Identity Center-Konsole anzeigen oder bearbeiten

Nachdem Sie der IAM Identity Center-Konsole einen vertrauenswürdigen Token-Aussteller hinzugefügt haben, können Sie die entsprechenden Einstellungen anzeigen und bearbeiten.

Wenn Sie beabsichtigen, die Einstellungen des vertrauenswürdigen Token-Ausstellers zu bearbeiten, denken Sie daran, dass Benutzer dadurch den Zugriff auf alle Anwendungen verlieren können, die für die Verwendung des vertrauenswürdigen Token-Ausstellers konfiguriert sind. Um eine Unterbrechung des Benutzerzugriffs zu vermeiden, empfehlen wir, dass Sie sich mit den Administratoren aller Anwendungen abstimmen, die für die Verwendung des vertrauenswürdigen Token-Ausstellers konfiguriert sind, bevor Sie die Einstellungen bearbeiten.

So können Sie die Einstellungen für vertrauenswürdige Token-Aussteller in der IAM Identity Center-Konsole anzeigen oder bearbeiten

  1. Öffnen Sie die IAM-Identity-Center-Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Wählen Sie auf der Seite „Einstellungen“ die Registerkarte Authentifizierung aus.

  4. Wählen Sie unter Vertrauenswürdige Token-Aussteller den vertrauenswürdigen Token-Aussteller aus, den Sie anzeigen oder bearbeiten möchten.

  5. Wählen Sie Actions und anschließend Bearbeiten.

  6. Auf der Seite Vertrauenswürdigen Token-Aussteller bearbeiten können Sie die Einstellungen nach Bedarf anzeigen oder bearbeiten. Sie können den Namen des vertrauenswürdigen Token-Ausstellers, die Attributzuordnungen und die Tags bearbeiten.

  7. Wählen Sie Änderungen speichern.

  8. Im Dialogfeld „Vertrauenswürdigen Token-Aussteller bearbeiten“ werden Sie aufgefordert, zu bestätigen, dass Sie Änderungen vornehmen möchten. Wählen Sie Bestätigen aus.

Einrichtungsprozess und Anforderungsablauf für Anwendungen, die einen vertrauenswürdigen Token-Aussteller verwenden

In diesem Abschnitt werden der Einrichtungsprozess und der Anforderungsablauf für Anwendungen beschrieben, die einen vertrauenswürdigen Token-Aussteller für die Weitergabe vertrauenswürdiger Identitäten verwenden. Das folgende Diagramm bietet einen Überblick über diesen Prozess.

Einrichtung von Prozess- und Anforderungsabläufen für Apps, die einen vertrauenswürdigen Token-Aussteller für die Verbreitung vertrauenswürdiger Identitäten verwenden

Die folgenden Schritte bieten zusätzliche Informationen zu diesem Prozess.

  1. Richten Sie das IAM Identity Center und die empfangende AWS verwaltete Anwendung so ein, dass sie einen vertrauenswürdigen Token-Aussteller verwenden. Weitere Informationen finden Sie unter Aufgaben zur Einrichtung eines vertrauenswürdigen Token-Emittenten.

  2. Der Anforderungsablauf beginnt, wenn ein Benutzer die anfordernde Anwendung öffnet.

  3. Die anfordernde Anwendung fordert vom vertrauenswürdigen Token-Aussteller ein Token an, um Anfragen an die empfangende AWS verwaltete Anwendung zu initiieren. Wenn sich der Benutzer noch nicht authentifiziert hat, löst dieser Prozess einen Authentifizierungsablauf aus. Das Token enthält die folgenden Informationen:

    • Der Betreff (Sub) des Benutzers.

    • Das Attribut, das IAM Identity Center verwendet, um den entsprechenden Benutzer in IAM Identity Center zu suchen.

    • Ein Zielgruppenanspruch (Aud), der einen Wert enthält, den der vertrauenswürdige Token-Aussteller der empfangenden AWS verwalteten Anwendung zuordnet. Wenn andere Ansprüche vorhanden sind, werden sie vom IAM Identity Center nicht verwendet.

  4. Die anfordernde Anwendung oder der von ihr verwendete AWS Treiber leitet das Token an IAM Identity Center weiter und fordert den Austausch des Tokens gegen ein von IAM Identity Center generiertes Token an. Wenn Sie einen AWS Treiber verwenden, müssen Sie den Treiber möglicherweise für diesen Anwendungsfall konfigurieren. Weitere Informationen finden Sie in der Dokumentation der entsprechenden AWS verwalteten Anwendung.

  5. IAM Identity Center verwendet den OIDC Discovery-Endpunkt, um den öffentlichen Schlüssel abzurufen, mit dem es die Authentizität des Tokens überprüfen kann. IAM Identity Center geht dann wie folgt vor:

    • Überprüft das Token.

    • Durchsucht das Identity Center-Verzeichnis. Zu diesem Zweck verwendet IAM Identity Center das zugeordnete Attribut, das im Token angegeben ist.

    • Überprüft, ob der Benutzer berechtigt ist, auf die empfangende Anwendung zuzugreifen. Wenn die AWS verwaltete Anwendung so konfiguriert ist, dass Zuweisungen an Benutzer und Gruppen erforderlich sind, muss der Benutzer über eine direkte oder gruppenbasierte Zuweisung zur Anwendung verfügen. Andernfalls wird die Anfrage abgelehnt. Wenn die AWS verwaltete Anwendung so konfiguriert ist, dass keine Benutzer- und Gruppenzuweisungen erforderlich sind, wird die Verarbeitung fortgesetzt.

      Anmerkung

      AWS Dienste verfügen über eine Standardeinstellungskonfiguration, die bestimmt, ob Zuweisungen für Benutzer und Gruppen erforderlich sind. Es wird empfohlen, die Einstellung „Zuweisungen erforderlich“ für diese Anwendungen nicht zu ändern, wenn Sie sie zusammen mit der Weitergabe vertrauenswürdiger Identitäten verwenden möchten. Selbst wenn Sie detaillierte Berechtigungen konfiguriert haben, die Benutzern den Zugriff auf bestimmte Anwendungsressourcen ermöglichen, kann eine Änderung der Einstellung „Zuweisungen erforderlich“ zu unerwartetem Verhalten führen, einschließlich einer Unterbrechung des Benutzerzugriffs auf diese Ressourcen.

    • Überprüft, ob die anfordernde Anwendung so konfiguriert ist, dass sie gültige Bereiche für die empfangende verwaltete Anwendung verwendet. AWS

  6. Wenn die vorherigen Überprüfungsschritte erfolgreich waren, erstellt IAM Identity Center ein neues Token. Das neue Token ist ein undurchsichtiges (verschlüsseltes) Token, das die Identität des entsprechenden Benutzers in IAM Identity Center, die Zielgruppe (Aud) der empfangenden AWS verwalteten Anwendung und die Bereiche enthält, die die anfordernde Anwendung verwenden kann, wenn sie Anfragen an die empfangende verwaltete Anwendung stellt. AWS

  7. Die anfordernde Anwendung oder der von ihr verwendete Treiber initiiert eine Ressourcenanforderung an die empfangende Anwendung und leitet das von IAM Identity Center generierte Token an die empfangende Anwendung weiter.

  8. Die empfangende Anwendung ruft das IAM Identity Center auf, um die Identität des Benutzers und die Bereiche zu ermitteln, die im Token kodiert sind. Es kann auch Anfragen zum Abrufen von Benutzerattributen oder Gruppenmitgliedschaften des Benutzers aus dem Identity Center-Verzeichnis stellen.

  9. Die empfangende Anwendung verwendet ihre Autorisierungskonfiguration, um festzustellen, ob der Benutzer berechtigt ist, auf die angeforderte Anwendungsressource zuzugreifen.

  10. Wenn der Benutzer berechtigt ist, auf die angeforderte Anwendungsressource zuzugreifen, beantwortet die empfangende Anwendung die Anfrage.

  11. Die Identität des Benutzers, die in seinem Namen ausgeführten Aktionen und andere Ereignisse, die in den Protokollen und CloudTrail Ereignissen der empfangenden Anwendung aufgezeichnet wurden. Die spezifische Art und Weise, wie diese Informationen protokolliert werden, ist je nach Anwendung unterschiedlich.