Verwenden Sie Anwendungen mit einem vertrauenswürdigen Token-Emittenten - AWS IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie Anwendungen mit einem vertrauenswürdigen Token-Emittenten

Vertrauenswürdige Token-Emittenten ermöglichen es Ihnen, Trusted Identity Propagation mit Anwendungen zu verwenden, die sich außerhalb von authentifizieren. AWS Mit vertrauenswürdigen Token-Emittenten können Sie diese Anwendungen autorisieren, im Namen ihrer Benutzer Anfragen für den Zugriff auf verwaltete Anwendungen zu stellen. AWS

Die folgenden Themen beschreiben, wie vertrauenswürdige Token-Emittenten funktionieren, und bieten Anleitungen zur Einrichtung.

Überblick über vertrauenswürdige Token-Emittenten

Die Verbreitung vertrauenswürdiger Identitäten bietet einen Mechanismus, mit dem Anwendungen, die AWS sich außerhalb von authentifizieren, mithilfe eines vertrauenswürdigen Token-Ausstellers Anfragen im Namen ihrer Benutzer stellen können. Ein vertrauenswürdiger Token-Aussteller ist ein OAuth 2.0-Autorisierungsserver, der signierte Token erstellt. Diese Token autorisieren Anwendungen, die Anfragen (Anträge anfordern) für den Zugriff auf AWS Dienste (Empfangen von Anwendungen) initiieren. Anfordernde Anwendungen initiieren Zugriffsanfragen im Namen von Benutzern, die vom vertrauenswürdigen Token-Aussteller authentifiziert werden. Die Benutzer sind sowohl dem vertrauenswürdigen Token-Aussteller als auch Identity Center bekannt. IAM

AWS Dienste, die Anfragen erhalten, verwalten eine detaillierte Autorisierung ihrer Ressourcen auf der Grundlage ihrer Benutzer und Gruppenzugehörigkeit, wie sie im Identity Center-Verzeichnis dargestellt sind. AWS Dienste können die Token des externen Token-Ausstellers nicht direkt verwenden.

Um dieses Problem zu lösen, bietet IAM Identity Center der anfordernden Anwendung oder einem AWS Treiber, den die anfordernde Anwendung verwendet, die Möglichkeit, das vom vertrauenswürdigen Token-Aussteller ausgegebene Token gegen ein von IAM Identity Center generiertes Token auszutauschen. Das von IAM Identity Center generierte Token bezieht sich auf den entsprechenden IAM Identity Center-Benutzer. Die anfordernde Anwendung oder der Treiber verwendet das neue Token, um eine Anfrage an die empfangende Anwendung zu initiieren. Da das neue Token auf den entsprechenden Benutzer in IAM Identity Center verweist, kann die empfangende Anwendung den angeforderten Zugriff auf der Grundlage der Benutzer- oder Gruppenmitgliedschaft, wie sie in IAM Identity Center dargestellt ist, autorisieren.

Wichtig

Die Auswahl eines OAuth 2.0-Autorisierungsservers, der als vertrauenswürdiger Token-Aussteller hinzugefügt werden soll, ist eine Sicherheitsentscheidung, die sorgfältig geprüft werden muss. Wählen Sie nur vertrauenswürdige Token-Emittenten aus, denen Sie vertrauen, dass sie die folgenden Aufgaben ausführen:

  • Authentifizieren Sie den Benutzer, der im Token angegeben ist.

  • Autorisieren Sie den Zugriff dieses Benutzers auf die empfangende Anwendung.

  • Generieren Sie ein Token, das IAM Identity Center gegen ein von IAM Identity Center erstelltes Token eintauschen kann.

Voraussetzungen und Überlegungen für vertrauenswürdige Token-Emittenten

Bevor Sie einen vertrauenswürdigen Token-Emittenten einrichten, sollten Sie sich mit den folgenden Voraussetzungen und Überlegungen vertraut machen.

  • Konfiguration eines vertrauenswürdigen Token-Ausstellers

    Sie müssen einen OAuth 2.0-Autorisierungsserver (den vertrauenswürdigen Token-Aussteller) konfigurieren. Obwohl der vertrauenswürdige Token-Aussteller in der Regel der Identitätsanbieter ist, den Sie als Identitätsquelle für IAM Identity Center verwenden, muss dies nicht der Fall sein. Informationen zur Einrichtung des vertrauenswürdigen Token-Ausstellers finden Sie in der Dokumentation des jeweiligen Identitätsanbieters.

    Anmerkung

    Sie können bis zu 10 vertrauenswürdige Token-Aussteller für die Verwendung mit IAM Identity Center konfigurieren, sofern Sie die Identität jedes Benutzers im vertrauenswürdigen Token-Aussteller einem entsprechenden Benutzer in IAM Identity Center zuordnen.

  • Der OAuth 2.0-Autorisierungsserver (der vertrauenswürdige Token-Aussteller), der das Token erstellt, muss über einen OpenID Connect (OIDC) -Discovery-Endpunkt verfügen, über den IAM Identity Center öffentliche Schlüssel zur Überprüfung der Tokensignaturen abrufen kann. Weitere Informationen finden Sie unter OIDCErkennungsendpunkt URL (EmittentURL).

  • Vom vertrauenswürdigen Token-Emittenten ausgegebene Token

    Token des vertrauenswürdigen Token-Emittenten müssen die folgenden Anforderungen erfüllen:

    • Das Token muss signiert und im JSONWeb Token (JWT) -Format sein, wobei der RS256 Algorithmus verwendet wird.

    • Das Token muss die folgenden Ansprüche enthalten:

      • Issuer (iss) — Die Entität, die das Token ausgestellt hat. Dieser Wert muss mit dem Wert übereinstimmen, der am OIDC Erkennungsendpunkt (AusstellerURL) des vertrauenswürdigen Token-Ausstellers konfiguriert ist.

      • Betreff (Sub) — Der authentifizierte Benutzer.

      • Zielgruppe (aud) — Der beabsichtigte Empfänger des Tokens. Dies ist der AWS Dienst, auf den zugegriffen wird, nachdem das Token gegen ein Token von IAM Identity Center eingetauscht wurde. Weitere Informationen finden Sie unter Ein Anspruch erheben.

      • Ablaufzeit (exp) — Die Zeit, nach der das Token abläuft.

    • Das Token kann ein Identitätstoken oder ein Zugriffstoken sein.

    • Das Token muss über ein Attribut verfügen, das eindeutig einem IAM Identity Center-Benutzer zugeordnet werden kann.

  • Optionale Ansprüche

    IAMIdentity Center unterstützt alle optionalen Ansprüche, die in RFC 7523 definiert sind. Weitere Informationen finden Sie in Abschnitt 3: JWT Format- und Verarbeitungsanforderungen. RFC

    Das Token kann beispielsweise einen JTI(JWTID-) Anspruch enthalten. Dieser Anspruch, sofern vorhanden, verhindert, dass Token, die denselben Wert haben, für den Austausch JTI von Tokens wiederverwendet werden. Weitere Informationen zu JTI Ansprüchen finden Sie unterJTIEinzelheiten zum Anspruch.

  • IAMIdentity Center-Konfiguration für die Zusammenarbeit mit einem vertrauenswürdigen Token-Aussteller

    Sie müssen außerdem IAM Identity Center aktivieren, die Identitätsquelle für IAM Identity Center konfigurieren und Benutzer bereitstellen, die den Benutzern im Verzeichnis des vertrauenswürdigen Token-Ausstellers entsprechen.

    Dazu müssen Sie einen der folgenden Schritte ausführen:

    • Synchronisieren Sie Benutzer mit IAM Identity Center, indem Sie das System for Cross-Domain Identity Management (SCIM) 2.0-Protokoll verwenden.

    • Erstellen Sie die Benutzer direkt in IAM Identity Center.

    Anmerkung

    Vertrauenswürdige Token-Aussteller werden nicht unterstützt, wenn Sie den Active Directory-Domänendienst als Identitätsquelle verwenden.

JTIEinzelheiten zum Anspruch

Wenn IAM Identity Center eine Anfrage zum Austausch eines Tokens erhält, das IAM Identity Center bereits ausgetauscht hat, schlägt die Anfrage fehl. Um die Wiederverwendung eines Tokens für den Token-Austausch zu erkennen und zu verhindern, können Sie einen JTI Antrag stellen. IAMIdentity Center schützt vor der Wiederholung von Tokens, die auf den Ansprüchen im Token basieren.

Nicht alle OAuth 2.0-Autorisierungsserver fügen Tokens einen JTI Anspruch hinzu. Bei einigen OAuth 2.0-Autorisierungsservern können Sie einen Anspruch möglicherweise nicht JTI als benutzerdefinierten Anspruch hinzufügen. OAuth2.0-Autorisierungsserver, die die Verwendung eines JTI Anspruchs unterstützen, fügen diesen Anspruch möglicherweise nur zu Identitätstoken, nur Zugriffstoken oder beiden hinzu. Weitere Informationen finden Sie in der Dokumentation zu Ihrem OAuth 2.0-Autorisierungsserver.

Informationen zum Erstellen von Anwendungen, die Token austauschen, finden Sie in der IAM Identity API Center-Dokumentation. Informationen zur Konfiguration einer vom Kunden verwalteten Anwendung zum Abrufen und Austauschen der richtigen Token finden Sie in der Dokumentation zur Anwendung.