Utilisation d'applications dotées d'un émetteur de jetons fiable - AWS IAM Identity Center
Vue d'ensemble des émetteurs de jetons fiablesConditions préalables et considérations pour les émetteurs de jetons fiablesJTIdétails de la réclamation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'applications dotées d'un émetteur de jetons fiable

Les émetteurs de jetons fiables vous permettent d'utiliser la propagation d'identité fiable avec des applications qui s'authentifient en dehors de. AWS Avec des émetteurs de jetons fiables, vous pouvez autoriser ces applications à faire des demandes d'accès aux applications AWS gérées au nom de leurs utilisateurs.

Les rubriques suivantes décrivent le fonctionnement des émetteurs de jetons fiables et fournissent des conseils de configuration.

Rubriques

Vue d'ensemble des émetteurs de jetons fiables

La propagation d'identités fiables fournit un mécanisme qui permet aux applications qui s'authentifient AWS à l'extérieur de faire des demandes au nom de leurs utilisateurs à l'aide d'un émetteur de jetons fiable. Un émetteur de jetons de confiance est un serveur d'autorisation OAuth 2.0 qui crée des jetons signés. Ces jetons autorisent les applications qui lancent des demandes (demandes d'applications) pour accéder aux AWS services (réception d'applications). Les applications demandeuses lancent des demandes d'accès au nom des utilisateurs authentifiés par l'émetteur de jetons de confiance. Les utilisateurs sont connus à la fois de l'émetteur de jetons de confiance et IAM d'Identity Center.

AWS les services qui reçoivent des demandes gèrent l'autorisation précise de leurs ressources en fonction de leurs utilisateurs et de leur appartenance au groupe, comme indiqué dans le répertoire Identity Center. AWS les services ne peuvent pas utiliser directement les jetons provenant de l'émetteur de jetons externe.

Pour résoudre ce problème, IAM Identity Center fournit à l'application demandeuse, ou à un AWS pilote utilisé par l'application demandeuse, un moyen d'échanger le jeton émis par l'émetteur du jeton de confiance contre un jeton généré par IAM Identity Center. Le jeton généré par IAM Identity Center fait référence à l'utilisateur IAM Identity Center correspondant. L'application demandeuse, ou le pilote, utilise le nouveau jeton pour lancer une demande à l'application réceptrice. Étant donné que le nouveau jeton fait référence à l'utilisateur correspondant dans IAM Identity Center, l'application réceptrice peut autoriser l'accès demandé en fonction de l'utilisateur ou de son appartenance au groupe, comme indiqué dans IAM Identity Center.

Important

Le choix d'un serveur d'autorisation OAuth 2.0 à ajouter en tant qu'émetteur de jetons de confiance est une décision de sécurité qui nécessite un examen attentif. Choisissez uniquement des émetteurs de jetons fiables en qui vous avez confiance pour effectuer les tâches suivantes :

  • Authentifiez l'utilisateur indiqué dans le jeton.

  • Autorisez l'accès de cet utilisateur à l'application réceptrice.

  • Générez un jeton qu'IAMIdentity Center peut échanger contre un jeton créé par IAM Identity Center.

Conditions préalables et considérations pour les émetteurs de jetons fiables

Avant de configurer un émetteur de jetons fiable, passez en revue les conditions préalables et les considérations suivantes.

  • Configuration d'un émetteur de jetons fiable

    Vous devez configurer un serveur d'autorisation OAuth 2.0 (l'émetteur de jetons de confiance). Bien que l'émetteur de jetons de confiance soit généralement le fournisseur d'identité que vous utilisez comme source d'IAMidentité pour Identity Center, il n'est pas nécessaire que ce soit le cas. Pour plus d'informations sur la configuration de l'émetteur de jetons de confiance, consultez la documentation du fournisseur d'identité concerné.

    Note

    Vous pouvez configurer jusqu'à 10 émetteurs de jetons fiables à utiliser avec IAM Identity Center, à condition de mapper l'identité de chaque utilisateur de l'émetteur de jetons de confiance à un utilisateur correspondant dans IAM Identity Center.

  • Le serveur d'autorisation OAuth 2.0 (l'émetteur de jetons de confiance) qui crée le jeton doit disposer d'un point de IAM terminaison de découverte OpenID OIDC Connect () qu'Identity Center peut utiliser pour obtenir des clés publiques afin de vérifier les signatures des jetons. Pour de plus amples informations, veuillez consulter OIDCpoint de terminaison de découverte URL (émetteurURL).

  • Tokens émis par l'émetteur de jetons de confiance

    Les jetons émis par l'émetteur de jetons de confiance doivent répondre aux exigences suivantes :

    • Le jeton doit être signé et au format JSONWeb Token (JWT) à l'aide de l'RS256algorithme.

    • Le jeton doit contenir les allégations suivantes :

      • Émetteur (iss) — Entité qui a émis le jeton. Cette valeur doit correspondre à la valeur configurée dans le point de terminaison de OIDC découverte (émetteurURL) de l'émetteur de jetons de confiance.

      • Sujet (sous) — L'utilisateur authentifié.

      • Audience (aud) — Destinataire prévu du jeton. Il s'agit du AWS service qui sera accessible une fois le jeton échangé contre un jeton auprès d'IAMIdentity Center. Pour de plus amples informations, veuillez consulter Réclamation d'aide.

      • Délai d'expiration (exp) : délai après lequel le jeton expire.

    • Le jeton peut être un jeton d'identité ou un jeton d'accès.

    • Le jeton doit avoir un attribut qui peut être mappé de manière unique à un utilisateur IAM d'Identity Center.

  • Réclamations facultatives

    IAMIdentity Center prend en charge toutes les demandes facultatives définies dans le RFC 7523. Pour plus d'informations, consultez la section 3 : Exigences relatives JWT au format et au traitement de ce documentRFC.

    Par exemple, le jeton peut contenir une réclamation JTI (JWTID). Cette réclamation, lorsqu'elle est présente, empêche la réutilisation des jetons contenant le même JTI jeton pour des échanges de jetons. Pour plus d'informations sur JTI les réclamations, consultezJTIdétails de la réclamation.

  • IAMConfiguration d'Identity Center pour fonctionner avec un émetteur de jetons de confiance

    Vous devez également activer IAM Identity Center, configurer la source d'IAMidentité pour Identity Center et configurer les utilisateurs correspondant aux utilisateurs figurant dans le répertoire de l'émetteur de jetons de confiance.

    Pour ce faire, vous devez effectuer l'une des opérations suivantes :

    • Synchronisez les utilisateurs dans IAM Identity Center à l'aide du protocole System for Cross-Domain Identity Management (SCIM) 2.0.

    • Créez les utilisateurs directement dans IAM Identity Center.

    Note

    Les émetteurs de jetons fiables ne sont pas pris en charge si vous utilisez le service de domaine Active Directory comme source d'identité.

JTIdétails de la réclamation

Si IAM Identity Center reçoit une demande d'échange d'un jeton qu'IAMIdentity Center a déjà échangé, la demande échoue. Pour détecter et empêcher la réutilisation d'un jeton à des fins d'échange de jetons, vous pouvez inclure une JTI réclamation. IAMIdentity Center protège contre la réédition de jetons en fonction des revendications contenues dans le jeton.

Les serveurs d'autorisation OAuth 2.0 ne JTI revendiquent pas tous les jetons. Certains serveurs d'autorisation OAuth 2.0 peuvent ne pas vous autoriser à ajouter une JTI demande personnalisée. OAuthLes serveurs d'autorisation 2.0 qui prennent en charge l'utilisation d'une JTI réclamation peuvent ajouter cette réclamation uniquement aux jetons d'identité, aux jetons d'accès uniquement, ou aux deux. Pour plus d'informations, consultez la documentation de votre serveur d'autorisation OAuth 2.0.

Pour plus d'informations sur la création d'applications qui échangent des jetons, consultez la API documentation IAM d'Identity Center. Pour plus d'informations sur la configuration d'une application gérée par le client afin d'obtenir et d'échanger les jetons appropriés, consultez la documentation de l'application.