Prasyarat Membuat dan mengelola OIDC penyedia (konsol)Membuat dan mengelola penyedia IAM OIDC identitas (AWS CLI)Membuat dan mengelola Penyedia OIDC Identitas (AWS API)

Buat penyedia identitas OpenID Connect (OIDC) di IAM

IAMOIDCpenyedia identitas adalah entitas IAM yang mendeskripsikan layanan penyedia identitas eksternal (iDP) yang mendukung standar OpenID Connect (OIDC), seperti Google atau Salesforce. Anda menggunakan penyedia IAM OIDC identitas ketika Anda ingin membangun kepercayaan antara iDP OIDC -kompatibel dan Anda. Akun AWS Ini berguna saat membuat aplikasi seluler atau aplikasi web yang memerlukan akses ke AWS sumber daya, tetapi Anda tidak ingin membuat kode masuk khusus atau mengelola identitas pengguna Anda sendiri. Untuk informasi selengkapnya tentang skenario ini, lihat OIDCfederasi.

Anda dapat membuat dan mengelola penyedia IAM OIDC identitas menggunakan AWS Management Console, AWS Command Line Interface, Alat untuk Windows PowerShell, atau IAMAPI.

Setelah Anda membuat penyedia IAM OIDC identitas, Anda harus membuat satu atau beberapa IAM peran. Peran adalah identitas AWS yang tidak memiliki kredensialnya sendiri (seperti yang dilakukan pengguna). Namun dalam konteks ini, peran ditetapkan secara dinamis ke pengguna gabungan yang diautentikasi oleh IdP organisasi Anda. Peran mengizinkan IdP organisasi Anda meminta kredensial keamanan sementara untuk akses ke AWS. Kebijakan yang ditetapkan untuk peran menentukan apa yang diizinkan dilakukan oleh pengguna federasi. AWS Untuk membuat peran bagi penyedia identitas pihak ketiga, lihat Buat peran untuk penyedia identitas pihak ketiga (federasi).

penting

Saat Anda mengonfigurasi kebijakan berbasis identitas untuk tindakan yang mendukung oidc-provider sumber daya, IAM evaluasi penyedia OIDC identitas lengkapURL, termasuk jalur yang ditentukan. Jika penyedia OIDC identitas Anda URL memiliki jalur, Anda harus menyertakan jalur itu dalam nilai oidc-provider ARN sebagai Resource elemen. Anda juga memiliki opsi untuk menambahkan garis miring ke depan dan wildcard (/*) ke URL domain atau menggunakan karakter wildcard (*dan?) di titik mana pun di jalur. URL Jika penyedia OIDC identitas URL dalam permintaan tidak cocok dengan nilai yang ditetapkan dalam Resource elemen kebijakan, permintaan gagal.

Untuk memecahkan masalah umum dengan IAM OIDC federasi, lihat Menyelesaikan kesalahan yang terkait dengan OIDC pada AWS re:Post.

Topik

Prasyarat: Validasi konfigurasi penyedia identitas Anda
Membuat dan mengelola OIDC penyedia (konsol)
Membuat dan mengelola penyedia IAM OIDC identitas (AWS CLI)
Membuat dan mengelola Penyedia OIDC Identitas (AWS API)

Prasyarat: Validasi konfigurasi penyedia identitas Anda

Sebelum Anda dapat membuat penyedia IAM OIDC identitas, Anda harus memiliki informasi berikut dari IDP Anda. Untuk informasi selengkapnya tentang mendapatkan Informasi konfigurasi OIDC penyedia, lihat dokumentasi untuk IDP Anda.

Tentukan penyedia OIDC identitas Anda yang tersedia URL untuk umum. URLHarus dimulai dengan https://. Per the OIDC standard, path com ponent diperbolehkan tetapi parameter kueri tidak. Biasanya, hanya URL terdiri dari nama host, seperti https://server.example.org or https://example.com. URLSeharusnya tidak berisi nomor port.
Tambahkan /.well-known/openid-configuration ke akhir penyedia OIDC identitas Anda untuk melihat dokumen konfigurasi dan metadata penyedia yang tersedia URL untuk umum. Anda harus memiliki dokumen penemuan dalam JSON format dengan dokumen konfigurasi penyedia dan metadata yang dapat diambil dari titik akhir penemuan penyedia OpenID Connect. URL
Konfirmasikan bahwa nilai berikut disertakan dalam informasi konfigurasi penyedia Anda. Jika konfigurasi terbuka Anda tidak memiliki salah satu bidang ini, Anda harus memperbarui dokumen penemuan Anda. Proses ini dapat bervariasi berdasarkan penyedia identitas Anda, jadi ikuti dokumentasi IDP Anda untuk menyelesaikan tugas ini.
- penerbit: URL Untuk domain Anda.
- jwks_uri: Titik akhir JSON Web Key Set (JWKS) tempat IAM mendapatkan kunci publik Anda. Penyedia identitas Anda harus menyertakan titik akhir JSON Web Key Set (JWKS) dalam konfigurasi openid. Ini URI menentukan di mana mendapatkan kunci publik Anda yang digunakan untuk memverifikasi token yang ditandatangani dari penyedia identitas Anda.
- claims_supported: Informasi tentang pengguna yang membantu Anda memastikan respons OIDC autentikasi dari IDP berisi atribut wajib yang AWS digunakan dalam IAM kebijakan untuk memeriksa izin bagi pengguna federasi. Untuk daftar kunci IAM kondisi yang dapat digunakan untuk klaim, lihatKunci yang tersedia untuk AWS OIDC federasi.
  - aud: Anda harus menentukan nilai klaim audiens masalah IDP Anda di JSON Web Tokens ()JWTs. Klaim audiens (aud) adalah aplikasi khusus dan mengidentifikasi penerima token yang dituju. Saat Anda mendaftarkan aplikasi seluler atau web dengan penyedia OpenID Connect, mereka membuat ID klien yang mengidentifikasi aplikasi. ID klien adalah pengenal unik untuk aplikasi Anda yang diteruskan dalam klaim aud untuk autentikasi. Klaim aud harus sesuai dengan nilai Audiens saat membuat penyedia IAM OIDC identitas Anda.
  - iat: Klaim harus menyertakan nilai untuk iat yang mewakili waktu token ID dikeluarkan.
  - iss: URL Penyedia identitas. URLHarus dimulai dengan https:// and should correspond to the Provider URL provided to IAM. Per the OIDC standard, path com ponent diperbolehkan tetapi parameter kueri tidak. Biasanya, hanya URL terdiri dari nama host, seperti https://server.example.org or https://example.com. URLSeharusnya tidak berisi nomor port.
- response_types_supported: id_token
- subject_types_supported: publik
- id_token_signing_alg_values_supported: RS256
catatan
Anda dapat menyertakan klaim tambahan seperti kustom dalam contoh di bawah ini; namun, AWS STS akan mengabaikan klaim tersebut.
```
{
  "issuer": "https://example-domain.com",
  "jwks_uri": "https://example-domain.com/jwks/keys",
  "claims_supported": [
    "aud",
    "iat",
    "iss",
    "name",
    "sub",
    "custom"
  ],
  "response_types_supported": [
    "id_token"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "subject_types_supported": [
    "public"
  ]
}
```

Membuat dan mengelola OIDC penyedia (konsol)

Ikuti petunjuk ini untuk membuat dan mengelola penyedia IAM OIDC identitas di AWS Management Console.

penting

Jika Anda menggunakan penyedia OIDC identitas dari Google, Facebook, atau Amazon Cognito, jangan membuat penyedia IAM identitas terpisah menggunakan prosedur ini. Penyedia OIDC identitas ini sudah terpasang AWS dan tersedia untuk Anda gunakan. Alih-alih, ikuti langkah-langkah untuk membuat peran baru bagi penyedia identitas Anda, lihat Buat peran untuk federasi OpenID Connect (konsol).

Untuk membuat penyedia IAM OIDC identitas (konsol)

Sebelum Anda membuat penyedia IAM OIDC identitas, Anda harus mendaftarkan aplikasi Anda dengan IDP untuk menerima ID klien. ID klien (juga dikenal sebagai audiens) adalah pengenal unik untuk aplikasi yang diberikan kepada Anda saat mendaftarkan aplikasi dengan IdP. Untuk informasi lebih lanjut tentang mendapatkan ID klien, lihat dokumentasi untuk IdP.

catatan
AWS mengamankan komunikasi dengan penyedia OIDC identitas (IdPs) menggunakan pustaka otoritas sertifikat root tepercaya (CAs) kami untuk memverifikasi sertifikat titik akhir JSON Web Key Set (JWKS). TLS Jika OIDC IDP Anda bergantung pada sertifikat yang tidak ditandatangani oleh salah satu dari tepercaya iniCAs, maka kami mengamankan komunikasi menggunakan cap jempol yang diatur dalam konfigurasi iDP. AWS akan kembali ke verifikasi sidik jari jika kami tidak dapat mengambil TLS sertifikat atau jika TLS v1.3 diperlukan.
Buka IAM konsol di https://console.aws.amazon.com/iam/.
Di panel navigasi, pilih Penyedia identitas, lalu pilih Tambahkan penyedia.
Untuk Konfigurasi penyedia, pilih OpenID Connect.
Untuk Provider URL, URL ketik IDP. URLHarus mematuhi batasan ini:
- URLIni peka huruf besar/kecil.
- URLHarus dimulai denganhttps://.
- URLSeharusnya tidak berisi nomor port.
- Di dalam Anda Akun AWS, setiap penyedia IAM OIDC identitas harus menggunakan yang unikURL. Jika Anda mencoba mengirimkan URL yang telah digunakan untuk penyedia OpenID Connect di Akun AWS, Anda akan mendapatkan kesalahan.
Untuk Audiens, ketikkan ID klien dari aplikasi yang Anda daftarkan dengan IDP dan terimaTahap 1, dan yang membuat permintaan. AWS Jika Anda memiliki klien tambahan IDs (juga dikenal sebagai audiens) untuk IDP ini, Anda dapat menambahkannya nanti di halaman detail penyedia.

catatan
Jika JWT token IDP Anda menyertakan azp klaim, masukkan nilai ini sebagai nilai Audiens.
Jika penyedia OIDC identitas Anda menetapkan keduanya aud dan azp klaim dalam token, AWS STS akan menggunakan nilai dalam azp klaim sebagai aud klaim.
(Opsional) Untuk Menambahkan tag, Anda dapat menambahkan pasangan kunci-nilai untuk membantu Anda mengidentifikasi dan mengatur. IdPs Anda juga dapat menggunakan tanda untuk mengontrol akses ke sumber daya AWS . Untuk mempelajari lebih lanjut tentang menandai penyedia IAM OIDC identitas, lihatTandai OpenID Connect (OIDC) penyedia identitas. Pilih Tambahkan tanda. Masukkan nilai untuk setiap pasangan nilai-kunci tanda.
Verifikasi informasi yang telah Anda berikan. Setelah selesai, pilih Tambahkan penyedia. IAMakan mencoba mengambil dan menggunakan cap jempol CA perantara teratas dari sertifikat server iDP OIDC untuk membuat penyedia identitas. IAM OIDC

catatan
Rantai sertifikat penyedia OIDC identitas harus dimulai dengan domain atau penerbitURL, kemudian sertifikat perantara, dan diakhiri dengan sertifikat root. Jika urutan rantai sertifikat berbeda atau menyertakan duplikat atau sertifikat tambahan, maka Anda menerima kesalahan ketidakcocokan tanda tangan dan STS gagal memvalidasi Token JSON Web (). JWT Perbaiki urutan sertifikat dalam rantai yang dikembalikan dari server untuk menyelesaikan kesalahan. Untuk informasi selengkapnya tentang standar rantai sertifikat, lihat certificate_list di RFC 5246 di situs web Seri. RFC
Tetapkan IAM peran ke penyedia identitas Anda untuk memberikan identitas pengguna eksternal yang dikelola oleh izin penyedia identitas Anda untuk mengakses AWS sumber daya di akun Anda. Untuk mempelajari lebih lanjut tentang menciptakan peran untuk federasi identitas, lihat Buat peran untuk penyedia identitas pihak ketiga (federasi).

catatan
OIDC IdPs digunakan dalam kebijakan kepercayaan peran harus dalam akun yang sama dengan peran yang mempercayainya.

Untuk menambah atau menghapus sidik jari untuk penyedia IAM OIDC identitas (konsol)

catatan

AWS mengamankan komunikasi dengan penyedia OIDC identitas (IdPs) menggunakan pustaka otoritas sertifikat root tepercaya (CAs) kami untuk memverifikasi sertifikat titik akhir JSON Web Key Set (JWKS). TLS Jika OIDC IDP Anda bergantung pada sertifikat yang tidak ditandatangani oleh salah satu dari tepercaya iniCAs, maka kami mengamankan komunikasi menggunakan cap jempol yang diatur dalam konfigurasi iDP. AWS akan kembali ke verifikasi sidik jari jika kami tidak dapat mengambil TLS sertifikat atau jika TLS v1.3 diperlukan.

Buka IAM konsol di https://console.aws.amazon.com/iam/.
Pada panel navigasi, silakan pilih Penyedia identitas. Kemudian pilih nama penyedia IAM identitas yang ingin Anda perbarui.
Pilih tab Verifikasi titik akhir, lalu di bagian Cetak Jempol, pilih Kelola. Untuk memasukkan nilai sidik jari baru, pilih Tambahkan sidik jari. Untuk menghapus sidik jari, pilih Hapus di samping sidik jari yang ingin Anda hapus.

catatan
Penyedia IAM OIDC identitas harus memiliki setidaknya satu dan dapat memiliki maksimal lima sidik jari.

Setelah selesai, pilih Simpan perubahan.

Untuk menambahkan audiens untuk penyedia IAM OIDC identitas (konsol)

Di panel navigasi, pilih Penyedia identitas, lalu pilih nama penyedia IAM identitas yang ingin Anda perbarui.
Di bagian Audiens, pilih Tindakan dan pilih Tambahkan audiens.
Ketik ID klien dari aplikasi yang Anda daftarkan dengan IDP dan diterimaTahap 1, dan itu akan membuat permintaan untuk. AWS Lalu, pilih Tambahkan audiens.

catatan
Penyedia IAM OIDC identitas harus memiliki setidaknya satu dan dapat memiliki maksimal 100 pemirsa.

Untuk menghapus audiens untuk penyedia IAM OIDC identitas (konsol)

Di panel navigasi, pilih Penyedia identitas, lalu pilih nama penyedia IAM identitas yang ingin Anda perbarui.
Di bagian Audiens, pilih tombol radio di samping audiens yang ingin Anda hapus, lalu pilih Tindakan.
Pilih Hapus audiens. Jendela baru terbuka.
Jika Anda menghapus audiens, identitas yang bergabung dengan audiens tidak dapat mengambil peran yang terkait dengan audiens. Di jendela, baca peringatan dan konfirmasikan bahwa Anda ingin menghapus audiens dengan mengetikkan kata remove di bidangnya.
Pilih Hapus untuk menghapus audiens.

Untuk menghapus penyedia IAM OIDC identitas (konsol)

Buka IAM konsol di https://console.aws.amazon.com/iam/.
Pada panel navigasi, silakan pilih Penyedia identitas.
Pilih kotak centang di samping penyedia IAM identitas yang ingin Anda hapus. Jendela baru terbuka.
Konfirmasikan bahwa Anda ingin menghapus penyedia dengan mengetik kata delete di bidangnya. Lalu, pilih Hapus.

Membuat dan mengelola penyedia IAM OIDC identitas (AWS CLI)

Anda dapat menggunakan AWS CLI perintah berikut untuk membuat dan mengelola penyedia IAM OIDC identitas.

Untuk membuat penyedia IAM OIDC identitas (AWS CLI)

(Opsional) Untuk mendapatkan daftar semua penyedia IAM OIDC identitas di AWS akun Anda, jalankan perintah berikut:
- aws iam list-open-id-connect-providers
Untuk membuat penyedia IAM OIDC identitas baru, jalankan perintah berikut:
- aws iam create-open-id-connect-provider

Untuk memperbarui daftar cap jempol sertifikat server untuk penyedia IAM OIDC identitas yang ada ()AWS CLI

Untuk memperbarui daftar cap jempol sertifikat server untuk penyedia IAM OIDC identitas, jalankan perintah berikut:
- aws iam update-open-id-connect-provider-thumbprint

Untuk menandai penyedia IAM OIDC identitas yang ada (AWS CLI)

Untuk menandai penyedia IAM OIDC identitas yang ada, jalankan perintah berikut:
- aws iam tag-open-id-connect-provider

Untuk mencantumkan tag untuk penyedia IAM OIDC identitas yang ada (AWS CLI)

Untuk membuat daftar tag untuk penyedia IAM OIDC identitas yang ada, jalankan perintah berikut:
- aws iam list-open-id-connect-provider-tags

Untuk menghapus tag pada penyedia IAM OIDC identitas (AWS CLI)

Untuk menghapus tag pada penyedia IAM OIDC identitas yang ada, jalankan perintah berikut:
- aws iam untag-open-id-connect-provider

Untuk menambah atau menghapus ID klien dari penyedia IAM OIDC identitas yang ada (AWS CLI)

(Opsional) Untuk mendapatkan daftar semua penyedia IAM OIDC identitas di AWS akun Anda, jalankan perintah berikut:
- aws iam list-open-id-connect-providers
(Opsional) Untuk mendapatkan informasi rinci tentang penyedia IAM OIDC identitas, jalankan perintah berikut:
- aws iam get-open-id-connect-provider
Untuk menambahkan ID klien baru ke penyedia IAM OIDC identitas yang ada, jalankan perintah berikut:
- aws iam add-client-id-to-open-id-connect-provider
Untuk menghapus klien dari penyedia IAM OIDC identitas yang ada, jalankan perintah berikut:
- aws iam remove-client-id-from-open-id-connect-provider

Untuk menghapus penyedia IAM OIDC identitas (AWS CLI)

(Opsional) Untuk mendapatkan daftar semua penyedia IAM OIDC identitas di AWS akun Anda, jalankan perintah berikut:
- aws iam list-open-id-connect-providers
(Opsional) Untuk mendapatkan informasi rinci tentang penyedia IAM OIDC identitas, jalankan perintah berikut:
- aws iam get-open-id-connect-provider
Untuk menghapus penyedia IAM OIDC identitas, jalankan perintah berikut:
- aws iam delete-open-id-connect-provider

Membuat dan mengelola Penyedia OIDC Identitas (AWS API)

Anda dapat menggunakan IAM API perintah berikut untuk membuat dan mengelola OIDC penyedia.

Untuk membuat penyedia IAM OIDC identitas (AWS API)

(Opsional) Untuk mendapatkan daftar semua penyedia IAM OIDC identitas di AWS akun Anda, hubungi operasi berikut:
- ListOpenIDConnectProviders
Untuk membuat penyedia IAM OIDC identitas baru, hubungi operasi berikut:
- CreateOpenIDConnectProvider

Untuk memperbarui daftar cap jempol sertifikat server untuk penyedia IAM OIDC identitas yang ada ()AWS API

Untuk memperbarui daftar cap jempol sertifikat server untuk penyedia IAM OIDC identitas, hubungi operasi berikut:
- UpdateOpenIDConnectProviderThumbprint

Untuk menandai penyedia IAM OIDC identitas yang ada (AWS API)

Untuk menandai penyedia IAM OIDC identitas yang ada, hubungi operasi berikut:
- TagOpenIDConnectProvider

Untuk mencantumkan tag untuk penyedia IAM OIDC identitas yang ada (AWS API)

Untuk mencantumkan tag untuk penyedia IAM OIDC identitas yang ada, panggil operasi berikut:
- ListOpenIDConnectProviderTags

Untuk menghapus tag pada penyedia IAM OIDC identitas yang ada (AWS API)

Untuk menghapus tag pada penyedia IAM OIDC identitas yang ada, panggil operasi berikut:
- UntagOpenIDConnectProvider

Untuk menambah atau menghapus ID klien dari penyedia IAM OIDC identitas yang ada (AWS API)

(Opsional) Untuk mendapatkan daftar semua penyedia IAM OIDC identitas di AWS akun Anda, hubungi operasi berikut:
- ListOpenIDConnectProviders
(Opsional) Untuk mendapatkan informasi rinci tentang penyedia IAM OIDC identitas, hubungi operasi berikut:
- GetOpenIDConnectProvider
Untuk menambahkan ID klien baru ke penyedia IAM OIDC identitas yang ada, panggil operasi berikut ini:
- AddClientIDToOpenIDConnectProvider
Untuk menghapus ID klien dari penyedia IAM OIDC identitas yang ada, panggil operasi berikut:
- RemoveClientIDFromOpenIDConnectProvider

Untuk menghapus penyedia IAM OIDC identitas (AWS API)

(Opsional) Untuk mendapatkan daftar semua penyedia IAM OIDC identitas di AWS akun Anda, hubungi operasi berikut:
- ListOpenIDConnectProviders
(Opsional) Untuk mendapatkan informasi rinci tentang penyedia IAM OIDC identitas, hubungi operasi berikut:
- GetOpenIDConnectProvider
Untuk menghapus penyedia IAM OIDC identitas, hubungi operasi berikut:
- DeleteOpenIDConnectProvider

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

OIDCfederasi

Dapatkan cap jempol untuk penyedia OIDC