Vertrauenswürdige Anbieter von Benutzeridentitäten für verifizierten Zugriff - AWS Verifizierter Zugriff
IAM Identity CenterOIDC-Vertrauensanbieter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Vertrauenswürdige Anbieter von Benutzeridentitäten für verifizierten Zugriff

Sie können wählen, ob Sie AWS IAM Identity Center entweder einen OpenID Connect-kompatiblen Vertrauensanbieter für Benutzeridentitäten verwenden möchten.

Verwenden Sie IAM Identity Center als Vertrauensanbieter

Sie können es AWS IAM Identity Center als Vertrauensanbieter für Benutzeridentitäten mit AWS verifiziertem Zugriff verwenden.

Voraussetzungen und Überlegungen

  • Ihre IAM Identity Center-Instanz muss eine Instanz AWS Organizations sein. Eine IAM Identity Center-Instanz mit einem eigenständigen AWS Konto funktioniert nicht.

  • Ihre IAM Identity Center-Instanz muss in derselben AWS Region aktiviert sein, in der Sie den Verified Access Trust Provider erstellen möchten.

  • Verified Access kann Benutzern im IAM Identity Center, die bis zu 1.000 Gruppen zugewiesen sind, Zugriff gewähren.

Einzelheiten zu den verschiedenen Instanztypen finden Sie im AWS IAM Identity Center Benutzerhandbuch unter Organisations- und Kontoinstanzen von IAM Identity Center verwalten.

Erstellen Sie einen IAM Identity Center Trust Provider

Nachdem IAM Identity Center für Ihr AWS Konto aktiviert wurde, können Sie das folgende Verfahren verwenden, um IAM Identity Center als Ihren Vertrauensanbieter für verifizierten Zugriff einzurichten.

So erstellen Sie einen IAM Identity Center Trust Provider (Konsole)AWS

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Verified Access Trust Provider und dann Create Verified Access Trust Provider aus.

  3. (Optional) Geben Sie unter Namenstag und Beschreibung einen Namen und eine Beschreibung für den Vertrauensanbieter ein.

  4. Geben Sie als Referenzname für die Richtlinie einen Bezeichner ein, der später bei der Arbeit mit Richtlinienregeln verwendet werden soll.

  5. Wählen Sie unter Vertrauensanbietertyp die Option Benutzervertrauensdienstanbieter aus.

  6. Wählen Sie unter Benutzer-Trust-Provider-Typ die Option IAM Identity Center aus.

  7. (Optional) Sie fügen ein Tag hinzu, indem Sie neues Tag hinzufügen auswählen und den Schlüssel und den Wert für das Tag eingeben.

  8. Wählen Sie Create Verified Access Trust Provider aus.

So erstellen Sie einen IAM Identity Center Trust Provider (AWS CLI)

Löschen Sie einen IAM Identity Center-Vertrauensanbieter

Bevor Sie einen Trust Provider löschen können, müssen Sie die gesamte Endpoint- und Gruppenkonfiguration aus der Instance entfernen, an die der Trust Provider angehängt ist.

Um einen IAM Identity Center Trust Provider (AWS Konsole) zu löschen

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Verified Access Trust Provider und dann unter Verified Access Trust Providers den Trust Provider aus, den Sie löschen möchten.

  3. Wählen Sie Aktionen und dann Vertrauensanbieter mit verifiziertem Zugriff löschen aus.

  4. Bestätigen Sie das Löschen, indem Sie es delete in das Textfeld eingeben.

  5. Wählen Sie Löschen.

So löschen Sie einen IAM Identity Center Trust Provider (AWS CLI)

Verwenden Sie einen OpenID Connect-Vertrauensanbieter

AWS Verified Access unterstützt Identitätsanbieter, die Standardmethoden OpenID Connect (OIDC) verwenden. Sie können OIDC-kompatible Anbieter als Vertrauensanbieter für Benutzeridentitäten mit verifiziertem Zugriff verwenden. Aufgrund der Vielzahl potenzieller OIDC-Anbieter AWS ist es jedoch nicht möglich, jede OIDC-Integration mit Verified Access zu testen.

Verified Access bezieht die Vertrauensdaten, die es auswertet, von den OIDC-Anbietern. UserInfo Endpoint Der Scope Parameter wird verwendet, um zu bestimmen, welche Vertrauensdatensätze abgerufen werden. Nachdem die Vertrauensdaten empfangen wurden, wird die Verified Access-Richtlinie anhand dieser Daten bewertet.

Anmerkung

Verified Access verwendet bei der Bewertung der Verified Access-Richtlinie keine Vertrauensdaten aus den vom OIDC-Anbieter ID token gesendeten Daten. Nur vertrauenswürdige Daten von werden anhand UserInfo Endpoint der Richtlinie bewertet.

Voraussetzungen für die Erstellung eines OIDC-Vertrauensanbieters

Sie müssen die folgenden Informationen direkt von Ihrem Trust Provider-Dienst einholen:

  • Aussteller

  • Endpunkt der Autorisierung

  • Token-Endpunkt

  • UserInfo Endpunkt

  • Client-ID

  • Clientschlüssel

  • Scope

Erstellen Sie einen OIDC-Vertrauensanbieter

Gehen Sie wie folgt vor, um einen OIDC als Ihren Vertrauensanbieter zu erstellen.

So erstellen Sie einen OIDC-Vertrauensanbieter (Konsole)AWS

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Vertrauensanbieter mit verifiziertem Zugriff und dann Vertrauensanbieter mit verifiziertem Zugriff erstellen aus.

  3. (Optional) Geben Sie unter Namenstag und Beschreibung einen Namen und eine Beschreibung für den Vertrauensanbieter ein.

  4. Geben Sie als Referenzname für die Richtlinie einen Bezeichner ein, der später bei der Arbeit mit Richtlinienregeln verwendet werden soll.

  5. Wählen Sie unter Vertrauensanbietertyp die Option Benutzervertrauensdienstanbieter aus.

  6. Wählen Sie unter Benutzervertrauensanbietertyp die Option OIDC (OpenID Connect) aus.

  7. Wählen Sie für OIDC (OpenID Connect) den Vertrauensanbieter aus.

  8. Geben Sie für Issuer die ID des OIDC-Emittenten ein.

  9. Geben Sie für Autorisierungsendpunkt die vollständige URL des Autorisierungsendpunkts ein.

  10. Geben Sie für Token-Endpunkt die vollständige URL des Token-Endpunkts ein.

  11. Geben Sie für Benutzerendpunkt die vollständige URL des Benutzerendpunkts ein.

  12. (Native Application OIDC) Geben Sie für die URL des öffentlichen Signaturschlüssels die vollständige URL des Endpunkts mit dem öffentlichen Signaturschlüssel ein.

  13. Geben Sie die OAuth 2.0-Client-ID als Client-ID ein.

  14. Geben Sie für Client Secret den OAuth 2.0-Client-Schlüssel ein.

  15. Geben Sie eine durch Leerzeichen getrennte Liste von Bereichen ein, die mit Ihrem Identitätsanbieter definiert wurden. Zumindest die openid Scope ist für Scope erforderlich.

  16. (Optional) Sie fügen ein Tag hinzu, indem Sie neues Tag hinzufügen auswählen und den Schlüssel und den Wert für das Tag eingeben.

  17. Wählen Sie Create Verified Access Trust Provider aus.

  18. Sie müssen der Zulassungsliste für Ihren OIDC-Anbieter eine Weiterleitungs-URI hinzufügen.

    • HTTP-Anwendungen — Verwenden Sie den folgenden URI:. https://application_domain/oauth2/idpresponse In der Konsole finden Sie die Anwendungsdomäne auf der Registerkarte Details für den Verified Access-Endpunkt. Wenn Sie das AWS CLI oder ein AWS SDK verwenden, ist die Anwendungsdomäne in der Ausgabe enthalten, wenn Sie den Verified Access-Endpunkt beschreiben.

    • TCP-Anwendungen — Verwenden Sie den folgenden URI:http://localhost:8000.

So erstellen Sie einen OIDC Trust Provider (CLI)AWS

Ändern Sie einen OIDC-Vertrauensanbieter

Nachdem Sie einen Vertrauensanbieter erstellt haben, können Sie dessen Konfiguration aktualisieren.

Um einen OIDC-Vertrauensanbieter (AWS Konsole) zu ändern

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich die Option Verified Access Trust Providers aus, und wählen Sie dann unter Verified Access Trust Providers den Vertrauensanbieter aus, den Sie ändern möchten.

  3. Wählen Sie Aktionen und dann Vertrauensanbieter mit verifiziertem Zugriff ändern aus.

  4. Ändern Sie die Optionen, die Sie ändern möchten.

  5. Wählen Sie Vertrauensanbieter mit verifiziertem Zugriff ändern aus.

So ändern Sie einen OIDC-Vertrauensanbieter (CLI)AWS

Löschen Sie einen OIDC-Vertrauensanbieter

Bevor Sie einen Benutzer-Vertrauensanbieter löschen können, müssen Sie zunächst die gesamte Endpunkt- und Gruppenkonfiguration aus der Instanz entfernen, an die der Trust Provider angehängt ist.

Um einen OIDC-Vertrauensanbieter (AWS Konsole) zu löschen

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich die Option Verified Access Trust Providers aus, und wählen Sie dann unter Verified Access Trust Providers den Vertrauensanbieter aus, den Sie löschen möchten.

  3. Wählen Sie Aktionen und dann Vertrauensanbieter mit verifiziertem Zugriff löschen aus.

  4. Bestätigen Sie das Löschen, indem Sie es delete in das Textfeld eingeben.

  5. Wählen Sie Löschen.

So löschen Sie einen OIDC-Vertrauensanbieter (CLI)AWS