Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden Sie Anwendungen mit einem vertrauenswürdigen Token-Emittenten
Vertrauenswürdige Token-Emittenten ermöglichen es Ihnen, Trusted Identity Propagation mit Anwendungen zu verwenden, die sich außerhalb von authentifizieren AWS. Bei vertrauenswürdigen Token-Emittenten können Sie diese Anwendungen autorisieren, im Namen ihrer Benutzer Zugriffsanfragen zu stellen AWS verwaltete Anwendungen.
Die folgenden Themen beschreiben, wie vertrauenswürdige Token-Emittenten funktionieren, und bieten Anleitungen zur Einrichtung.
Themen
Überblick über vertrauenswürdige Token-Emittenten
Die Verbreitung vertrauenswürdiger Identitäten bietet einen Mechanismus, der es Anwendungen ermöglicht, sich außerhalb von zu authentifizieren AWS um Anfragen im Namen ihrer Benutzer mithilfe eines vertrauenswürdigen Token-Emittenten zu stellen. Ein vertrauenswürdiger Token-Aussteller ist ein OAuth 2.0-Autorisierungsserver, der signierte Token erstellt. Diese Token autorisieren Anwendungen, die Anfragen (anfordernde Anwendungen) für den Zugriff auf initiieren AWS Dienste (Empfangen von Anwendungen). Anfordernde Anwendungen initiieren Zugriffsanfragen im Namen von Benutzern, die vom vertrauenswürdigen Token-Aussteller authentifiziert werden. Die Benutzer sind sowohl dem vertrauenswürdigen Token-Aussteller als auch Identity Center bekannt. IAM
AWS Dienste, die Anfragen erhalten, verwalten eine detaillierte Autorisierung ihrer Ressourcen auf der Grundlage ihrer Benutzer und Gruppenzugehörigkeit, wie sie im Identity Center-Verzeichnis dargestellt sind. AWS Dienste können die Token des externen Token-Ausstellers nicht direkt verwenden.
Um dieses Problem zu lösen, bietet IAM Identity Center eine Möglichkeit für die anfordernde Anwendung, oder AWS Treiber, den die anfordernde Anwendung verwendet, um das vom vertrauenswürdigen Token-Aussteller ausgegebene Token gegen ein von IAM Identity Center generiertes Token auszutauschen. Das von IAM Identity Center generierte Token bezieht sich auf den entsprechenden IAM Identity Center-Benutzer. Die anfordernde Anwendung oder der Treiber verwendet das neue Token, um eine Anfrage an die empfangende Anwendung zu initiieren. Da das neue Token auf den entsprechenden Benutzer in IAM Identity Center verweist, kann die empfangende Anwendung den angeforderten Zugriff auf der Grundlage der Benutzer- oder Gruppenmitgliedschaft, wie sie in IAM Identity Center dargestellt ist, autorisieren.
Wichtig
Die Auswahl eines OAuth 2.0-Autorisierungsservers, der als vertrauenswürdiger Token-Aussteller hinzugefügt werden soll, ist eine Sicherheitsentscheidung, die sorgfältig geprüft werden muss. Wählen Sie nur vertrauenswürdige Token-Emittenten aus, denen Sie vertrauen, dass sie die folgenden Aufgaben ausführen:
-
Authentifizieren Sie den Benutzer, der im Token angegeben ist.
-
Autorisieren Sie den Zugriff dieses Benutzers auf die empfangende Anwendung.
-
Generieren Sie ein Token, das IAM Identity Center gegen ein von IAM Identity Center erstelltes Token eintauschen kann.
Voraussetzungen und Überlegungen für vertrauenswürdige Token-Emittenten
Bevor Sie einen vertrauenswürdigen Token-Emittenten einrichten, sollten Sie sich mit den folgenden Voraussetzungen und Überlegungen vertraut machen.
-
Konfiguration eines vertrauenswürdigen Token-Ausstellers
Sie müssen einen OAuth 2.0-Autorisierungsserver (den vertrauenswürdigen Token-Aussteller) konfigurieren. Obwohl der vertrauenswürdige Token-Aussteller in der Regel der Identitätsanbieter ist, den Sie als Identitätsquelle für IAM Identity Center verwenden, muss dies nicht der Fall sein. Informationen zur Einrichtung des vertrauenswürdigen Token-Ausstellers finden Sie in der Dokumentation des jeweiligen Identitätsanbieters.
Anmerkung
Sie können bis zu 10 vertrauenswürdige Token-Aussteller für die Verwendung mit IAM Identity Center konfigurieren, sofern Sie die Identität jedes Benutzers im vertrauenswürdigen Token-Aussteller einem entsprechenden Benutzer in IAM Identity Center zuordnen.
-
Der OAuth 2.0-Autorisierungsserver (der vertrauenswürdige Token-Aussteller), der das Token erstellt, muss über einen OpenID Connect (OIDC)
-Erkennungsendpunkt verfügen, über den IAM Identity Center öffentliche Schlüssel zur Überprüfung der Tokensignaturen abrufen kann. Weitere Informationen finden Sie unter OIDCErkennungsendpunkt URL (EmittentURL). -
Vom vertrauenswürdigen Token-Emittenten ausgegebene Token
Token des vertrauenswürdigen Token-Emittenten müssen die folgenden Anforderungen erfüllen:
-
Das Token muss signiert und im JSONWeb Token (JWT)
-Format sein, wobei der RS256 Algorithmus verwendet wird. -
Das Token muss die folgenden Ansprüche enthalten:
-
Issuer
(iss) — Die Entität, die das Token ausgestellt hat. Dieser Wert muss mit dem Wert übereinstimmen, der am OIDC Erkennungsendpunkt (AusstellerURL) des vertrauenswürdigen Token-Ausstellers konfiguriert ist. -
Betreff
(Sub) — Der authentifizierte Benutzer. -
Zielgruppe
(aud) — Der beabsichtigte Empfänger des Tokens. Das ist der AWS Dienst, auf den zugegriffen wird, nachdem das Token gegen ein Token von IAM Identity Center ausgetauscht wurde. Weitere Informationen finden Sie unter Ein Anspruch geltend machen. -
Ablaufzeit
(exp) — Die Zeit, nach der das Token abläuft.
-
-
Das Token kann ein Identitätstoken oder ein Zugriffstoken sein.
-
Das Token muss über ein Attribut verfügen, das eindeutig einem IAM Identity Center-Benutzer zugeordnet werden kann.
-
-
Optionale Ansprüche
IAMIdentity Center unterstützt alle optionalen Ansprüche, die in RFC 7523 definiert sind. Weitere Informationen finden Sie in Abschnitt 3: JWT Format- und Verarbeitungsanforderungen
. RFC Das Token kann beispielsweise einen JTI(JWTID-) Anspruch
enthalten. Dieser Anspruch, sofern vorhanden, verhindert, dass Token, die denselben Wert haben, für den Austausch JTI von Tokens wiederverwendet werden. Weitere Informationen zu JTI Ansprüchen finden Sie unterJTIEinzelheiten des Anspruchs. -
IAMIdentity Center-Konfiguration für die Zusammenarbeit mit einem vertrauenswürdigen Token-Aussteller
Sie müssen außerdem IAM Identity Center aktivieren, die Identitätsquelle für IAM Identity Center konfigurieren und Benutzer bereitstellen, die den Benutzern im Verzeichnis des vertrauenswürdigen Token-Ausstellers entsprechen.
Dazu müssen Sie einen der folgenden Schritte ausführen:
-
Synchronisieren Sie Benutzer mit IAM Identity Center, indem Sie das System for Cross-Domain Identity Management (SCIM) 2.0-Protokoll verwenden.
-
Erstellen Sie die Benutzer direkt in IAM Identity Center.
Anmerkung
Vertrauenswürdige Token-Aussteller werden nicht unterstützt, wenn Sie den Active Directory-Domänendienst als Identitätsquelle verwenden.
-
JTIEinzelheiten des Anspruchs
Wenn IAM Identity Center eine Anfrage zum Austausch eines Tokens erhält, das IAM Identity Center bereits ausgetauscht hat, schlägt die Anfrage fehl. Um die Wiederverwendung eines Tokens für den Token-Austausch zu erkennen und zu verhindern, können Sie einen JTI Antrag stellen. IAMIdentity Center schützt vor der Wiederholung von Tokens, die auf den Ansprüchen im Token basieren.
Nicht alle OAuth 2.0-Autorisierungsserver fügen Tokens einen JTI Anspruch hinzu. Bei einigen OAuth 2.0-Autorisierungsservern können Sie einen Anspruch möglicherweise nicht JTI als benutzerdefinierten Anspruch hinzufügen. OAuth2.0-Autorisierungsserver, die die Verwendung eines JTI Anspruchs unterstützen, fügen diesen Anspruch möglicherweise nur zu Identitätstoken, nur Zugriffstoken oder beiden hinzu. Weitere Informationen finden Sie in der Dokumentation zu Ihrem OAuth 2.0-Autorisierungsserver.
Informationen zum Erstellen von Anwendungen, die Token austauschen, finden Sie in der IAM Identity API Center-Dokumentation. Informationen zur Konfiguration einer vom Kunden verwalteten Anwendung zum Abrufen und Austauschen der richtigen Token finden Sie in der Dokumentation zur Anwendung.
