Uso de aplicaciones con un emisor de tokens de confianza - AWS IAM Identity Center
Descripción general de los emisores de tokens de confianzaRequisitos previos y consideraciones para los emisores de tokens de confianzaJTIdetalles de la reclamación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de aplicaciones con un emisor de tokens de confianza

Los emisores de tokens confiables le permiten utilizar la propagación de identidades confiable con aplicaciones que se autentican fuera de AWS. Con emisores de tokens de confianza, puedes autorizar a estas aplicaciones a realizar solicitudes de acceso en nombre de sus usuarios AWS aplicaciones gestionadas.

En los siguientes temas se describe cómo funcionan los emisores de tokens de confianza y se proporcionan instrucciones de configuración.

Temas

Descripción general de los emisores de tokens de confianza

La propagación confiable de la identidad proporciona un mecanismo que permite a las aplicaciones autenticarse fuera de AWS para realizar solicitudes en nombre de sus usuarios mediante el uso de un emisor de tokens de confianza. Un emisor de tokens de confianza es un servidor de autorización OAuth 2.0 que crea tokens firmados. Estos tokens autorizan a las aplicaciones que inician solicitudes (solicitudes de solicitudes) de acceso a AWS servicios (recepción de solicitudes). Las aplicaciones solicitantes inician las solicitudes de acceso en nombre de los usuarios que el emisor de tokens de confianza autentica. Los usuarios son conocidos tanto por el emisor de los tokens de confianza como por IAM Identity Center.

AWS los servicios que reciben solicitudes gestionan la autorización detallada de sus recursos en función de sus usuarios y la pertenencia a grupos, tal como se representa en el directorio de Identity Center. AWS los servicios no pueden usar directamente los tokens del emisor externo del token.

Para solucionar este problema, IAM Identity Center proporciona una vía para la aplicación solicitante, o un AWS controlador que utiliza la aplicación solicitante para cambiar el token emitido por el emisor del token de confianza por un token generado por IAM Identity Center. El token que genera IAM Identity Center hace referencia al usuario de IAM Identity Center correspondiente. La aplicación solicitante, o el controlador, utiliza el nuevo token para iniciar una solicitud a la aplicación receptora. Como el nuevo token hace referencia al usuario correspondiente en IAM Identity Center, la aplicación receptora puede autorizar el acceso solicitado en función del usuario o de su grupo, tal como se representa en IAM Identity Center.

importante

La elección de un servidor de autorización OAuth 2.0 para añadirlo como emisor de token de confianza es una decisión de seguridad que debe estudiarse detenidamente. Seleccione únicamente emisores de tokens de confianza para realizar las siguientes tareas:

  • Autenticar al usuario especificado en el token.

  • Autorizar el acceso de ese usuario a la aplicación receptora.

  • Genere un token que IAM Identity Center pueda intercambiar por un token creado por IAM Identity Center.

Requisitos previos y consideraciones para los emisores de tokens de confianza

Antes de configurar un emisor de tokens de confianza, revise los siguientes requisitos previos y consideraciones.

  • Configuración de un emisor de tokens de confianza

    Debe configurar un servidor de autorización OAuth 2.0 (el emisor de token de confianza). Si bien el emisor del token de confianza suele ser el proveedor de identidad que se utiliza como fuente de IAM identidad para Identity Center, no tiene por qué serlo. Para obtener información sobre cómo configurar el emisor de token de confianza, consulte la documentación del proveedor de identidad correspondiente.

    nota

    Puede configurar hasta 10 emisores de tokens de confianza para usarlos con IAM Identity Center, siempre que asigne la identidad de cada usuario del emisor de token de confianza a un usuario correspondiente de Identity Center. IAM

  • El servidor de autorización OAuth 2.0 (el emisor del token de confianza) que crea el token debe tener un IAM punto final de descubrimiento OpenID OIDC Connect () que Identity Center pueda usar para obtener claves públicas para verificar las firmas del token. Para obtener más información, consulte OIDCDiscovery Endpoint URL (emisorURL).

  • Tokens emitidos por el emisor de token de confianza

    Los tokens del emisor de tokens de confianza deben cumplir los siguientes requisitos:

    • El token debe estar firmado y en formato JSONWeb Token (JWT) mediante el RS256 algoritmo.

    • El token debe contener las siguientes afirmaciones:

      • Emisor (es): la entidad que emitió el token. Este valor debe coincidir con el valor que está configurado en el punto final de OIDC detección (emisorURL) del emisor del token de confianza.

      • Asunto (sub): el usuario autenticado.

      • Público (aud): el destinatario previsto del token. Este es el AWS servicio al que se accederá después de cambiar el token por un token desde IAM Identity Center. Para obtener más información, consulte Notificación de audiencia.

      • Tiempo de caducidad (exp): tiempo después del cual caduca el token.

    • El token puede ser un token de identidad o un token de acceso.

    • El token debe tener un atributo que pueda asignarse de forma exclusiva a un usuario de IAM Identity Center.

  • Notificaciones opcionales

    IAMIdentity Center admite todas las afirmaciones opcionales que se definen en RFC 7523. Para obtener más información, consulte la sección 3: Requisitos de JWT formato y procesamiento de la misma. RFC

    Por ejemplo, el token puede contener una afirmación JTI (JWTID). Esta afirmación, cuando está presente, impide que los tokens que tienen el mismo valor JTI se reutilicen para intercambiarlos. Para obtener más información sobre JTI las reclamaciones, consulteJTIdetalles de la reclamación.

  • IAMConfiguración del Centro de Identidad para que funcione con un emisor de token de confianza

    También debe habilitar IAM Identity Center, configurar la fuente de identidad de IAM Identity Center y aprovisionar los usuarios que correspondan a los usuarios del directorio del emisor de tokens de confianza.

    Para ello, debe hacer una de las siguientes acciones:

    • Sincronice los usuarios en IAM Identity Center mediante el protocolo System for Cross-Domain Identity Management (SCIM) 2.0.

    • Cree los usuarios directamente en IAM Identity Center.

    nota

    Los emisores de tokens de confianza no son compatibles si utiliza Active Directory Domain Service como origen de identidad.

JTIdetalles de la reclamación

Si IAM Identity Center recibe una solicitud para intercambiar un token que IAM Identity Center ya ha intercambiado, se produce un error en la solicitud. Para detectar e impedir la reutilización de un token para su intercambio, puede incluir una JTI reclamación. IAMIdentity Center protege contra la reproducción de fichas en función de las afirmaciones que contienen.

No todos los servidores de autorización OAuth 2.0 añaden una JTI reclamación a los tokens. Es posible que algunos servidores de autorización OAuth 2.0 no te permitan añadir una JTI notificación personalizada. OAuthLos servidores de autorización 2.0 que admiten el uso de una JTI afirmación pueden añadir esta afirmación únicamente a los tokens de identidad, solo a los de acceso o a ambos. Para obtener más información, consulte la documentación de su servidor de autorización OAuth 2.0.

Para obtener información sobre la creación de aplicaciones que intercambien tokens, consulte la API documentación del Centro de IAM identidades. Para obtener información sobre cómo configurar una aplicación administrada por el cliente para obtener e intercambiar los tokens correctos, consulte la documentación de la aplicación.