Akses masuk tunggal ke aplikasi SAML 2.0 dan OAuth 2.0 - AWS IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses masuk tunggal ke aplikasi SAML 2.0 dan OAuth 2.0

IAMIdentity Center memungkinkan Anda untuk menyediakan pengguna Anda dengan akses masuk tunggal ke aplikasi SAML 2.0 atau OAuth 2.0. Topik berikut memberikan gambaran tingkat tinggi SAML 2.0 dan OAuth 2.0.

SAML 2.0

SAML2.0 adalah standar industri yang digunakan untuk bertukar SAML pernyataan dengan aman yang menyampaikan informasi tentang pengguna antara SAML otoritas (disebut penyedia identitas atau IDP), dan konsumen SAML 2.0 (disebut penyedia layanan atau SP). IAMIdentity Center menggunakan informasi ini untuk menyediakan akses masuk tunggal federasi bagi pengguna yang berwenang untuk menggunakan aplikasi dalam portal akses. AWS

OAuth 2.0

OAuth2.0 adalah protokol yang memungkinkan aplikasi untuk mengakses dan berbagi data pengguna dengan aman tanpa berbagi kata sandi. Kemampuan ini menyediakan cara yang aman dan terstandarisasi bagi pengguna untuk memungkinkan aplikasi mengakses sumber daya mereka. Akses difasilitasi oleh aliran hibah OAuth 2.0 yang berbeda.

IAMIdentity Center memungkinkan aplikasi yang berjalan pada klien publik untuk mengambil kredensyal sementara untuk mengakses Akun AWS dan layanan secara terprogram atas nama pengguna mereka. Klien publik biasanya desktop, laptop, atau perangkat seluler lainnya yang digunakan untuk menjalankan aplikasi secara lokal. Contoh AWS aplikasi yang berjalan pada klien publik termasuk AWS Command Line Interface (AWS CLI), AWS Toolkit, dan Kit Pengembangan AWS Perangkat Lunak (SDKs). Untuk mengaktifkan aplikasi ini untuk mendapatkan kredensi, IAM Identity Center mendukung bagian dari alur OAuth 2.0 berikut:

catatan

Jenis hibah ini hanya dapat digunakan dengan Layanan AWS mendukung kemampuan ini. Layanan ini mungkin tidak mendukung jenis hibah ini secara keseluruhan Wilayah AWS. Lihat dokumentasi yang relevan Layanan AWS untuk perbedaan regional.

OpenID Connect (OIDC) adalah protokol otentikasi yang didasarkan pada 2.0 Framework. OAuth OIDCmenentukan bagaimana menggunakan OAuth 2.0 untuk otentikasi. Melalui OIDClayanan Pusat IAM Identitas APIs, aplikasi mendaftarkan klien OAuth 2.0 dan menggunakan salah satu aliran ini untuk mendapatkan token akses yang memberikan izin ke Pusat IAM Identitas yang dilindungi. APIs Aplikasi menentukan cakupan akses untuk mendeklarasikan pengguna yang dituju. API Setelah Anda, sebagai administrator Pusat IAM Identitas, mengonfigurasi sumber identitas Anda, pengguna akhir aplikasi Anda harus menyelesaikan proses masuk, jika mereka belum melakukannya. Pengguna akhir Anda kemudian harus memberikan persetujuan mereka untuk mengizinkan aplikasi melakukan API panggilan. APIPanggilan ini dilakukan menggunakan izin pengguna. Sebagai tanggapan, Pusat IAM Identitas mengembalikan token akses ke aplikasi yang berisi cakupan akses yang disetujui pengguna.

Menggunakan alur hibah OAuth 2.0

OAuthAliran hibah 2.0 hanya tersedia melalui aplikasi AWS terkelola yang mendukung arus. Untuk menggunakan alur OAuth 2.0, instance Pusat IAM Identitas dan aplikasi AWS terkelola yang didukung yang Anda gunakan harus disebarkan dalam satu Wilayah AWS. Lihat dokumentasi untuk masing-masing Layanan AWS untuk menentukan ketersediaan regional aplikasi AWS terkelola dan contoh Pusat IAM Identitas yang ingin Anda gunakan.

Untuk menggunakan aplikasi yang menggunakan aliran OAuth 2.0, pengguna akhir harus memasukkan URL tempat aplikasi akan terhubung dan mendaftar dengan instance Pusat IAM Identitas Anda. Bergantung pada aplikasi, sebagai administrator, Anda harus memberi pengguna Anda portal AWS akses URL atau Penerbit instance Pusat URL IAM Identitas Anda. Anda dapat menemukan dua pengaturan ini di halaman Pengaturan konsol Pusat IAM Identitas. Untuk informasi tambahan tentang mengkonfigurasi aplikasi klien, lihat dokumentasi aplikasi tersebut.

Pengalaman pengguna akhir untuk masuk ke aplikasi dan memberikan persetujuan tergantung pada apakah aplikasi menggunakan Hibah Kode Otorisasi dengan PKCE atauHibah Otorisasi Perangkat.

Hibah Kode Otorisasi dengan PKCE

Aliran ini digunakan oleh aplikasi yang berjalan pada perangkat yang memiliki browser.

  1. Jendela browser terbuka.

  2. Jika pengguna belum diautentikasi, browser akan mengarahkan mereka untuk menyelesaikan otentikasi pengguna.

  3. Setelah otentikasi, pengguna disajikan dengan layar persetujuan yang menampilkan informasi berikut:

    • Nama aplikasi

    • Cakupan akses yang meminta persetujuan aplikasi untuk digunakan

  4. Pengguna dapat membatalkan proses persetujuan atau mereka dapat memberikan persetujuan mereka dan aplikasi melanjutkan dengan akses berdasarkan izin pengguna.

Hibah Otorisasi Perangkat

Aliran ini dapat digunakan oleh aplikasi yang berjalan pada perangkat dengan atau tanpa browser. Saat aplikasi memulai alur, aplikasi menyajikan URL dan kode pengguna yang harus diverifikasi pengguna nanti dalam alur. Kode pengguna diperlukan karena aplikasi yang memulai alur mungkin berjalan pada perangkat yang berbeda dari perangkat tempat pengguna memberikan persetujuan. Kode memastikan bahwa pengguna menyetujui aliran yang mereka mulai di perangkat lain.

  1. Ketika aliran dimulai dari perangkat dengan browser, jendela browser terbuka. Ketika aliran dimulai dari perangkat tanpa browser, pengguna harus membuka browser pada perangkat yang berbeda dan pergi ke aplikasi URL yang disajikan.

  2. Dalam kedua kasus, jika pengguna belum diautentikasi, browser mengarahkan mereka untuk menyelesaikan otentikasi pengguna.

  3. Setelah otentikasi, pengguna disajikan dengan layar persetujuan yang menampilkan informasi berikut:

    • Nama aplikasi

    • Cakupan akses yang meminta persetujuan aplikasi untuk digunakan

    • Kode pengguna yang disajikan aplikasi kepada pengguna

  4. Pengguna dapat membatalkan proses persetujuan atau mereka dapat memberikan persetujuan mereka dan aplikasi melanjutkan dengan akses berdasarkan izin pengguna.

Cakupan akses

Lingkup mendefinisikan akses untuk layanan yang dapat diakses melalui aliran OAuth 2.0. Cakupan adalah cara untuk layanan, juga disebut server sumber daya, untuk mengelompokkan izin yang terkait dengan tindakan dan sumber daya layanan, dan mereka menentukan operasi kasar yang dapat diminta klien 2.0. OAuth Ketika klien OAuth 2.0 mendaftar dengan OIDClayanan Pusat IAM Identitas, klien menentukan cakupan untuk mendeklarasikan tindakan yang dimaksudkan, di mana pengguna harus memberikan persetujuan.

OAuthKlien 2.0 menggunakan scope nilai seperti yang didefinisikan dalam bagian 3.3 dari OAuth 2.0 (RFC6749) untuk menentukan izin apa yang diminta untuk token akses. Klien dapat menentukan maksimal 25 cakupan saat meminta token akses. Ketika pengguna memberikan persetujuan selama Pemberian Kode Otorisasi dengan PKCE atau alur Pemberian Otorisasi Perangkat, Pusat IAM Identitas mengkodekan cakupan ke dalam token akses yang dikembalikan.

AWS menambahkan cakupan ke Pusat IAM Identitas untuk didukung Layanan AWS. Tabel berikut mencantumkan cakupan yang didukung oleh OIDC layanan Pusat IAM Identitas saat Anda mendaftarkan klien publik.

Cakupan akses yang didukung oleh OIDC layanan Pusat IAM Identitas saat mendaftarkan klien publik

Cakupan Deskripsi Layanan yang didukung oleh
sso:account:access Access IAM Identity Center mengelola akun dan set izin. IAMPusat Identitas
codewhisperer:analysis Aktifkan akses ke analisis kode Pengembang Amazon Q. ID AWS Builder dan Pusat IAM Identitas
codewhisperer:completions Aktifkan akses ke saran kode sebaris Amazon Q. ID AWS Builder dan Pusat IAM Identitas
codewhisperer:conversations Aktifkan akses ke obrolan Amazon Q. ID AWS Builder dan Pusat IAM Identitas
codewhisperer:taskassist Aktifkan akses ke Amazon Q Developer Agent untuk pengembangan perangkat lunak. ID AWS Builder dan Pusat IAM Identitas
codewhisperer:transformations Aktifkan akses ke Agen Pengembang Amazon Q untuk transformasi kode. ID AWS Builder dan Pusat IAM Identitas
codecatalyst:read_write Baca dan tulis ke CodeCatalyst sumber daya Amazon Anda, memungkinkan akses ke semua sumber daya yang ada. ID AWS Builder dan Pusat IAM Identitas