Menyiapkan penerbit token tepercaya - AWS IAM Identity Center
Mengkoordinasikan peran dan tanggung jawab administratifTugas untuk menyiapkan penerbit token tepercayaCara menambahkan penerbit token tepercaya ke konsol Pusat IAM IdentitasCara melihat atau mengedit pengaturan penerbit token tepercaya di konsol Pusat IAM IdentitasProses penyiapan dan alur permintaan untuk aplikasi yang menggunakan penerbit token tepercaya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan penerbit token tepercaya

Untuk mengaktifkan propagasi identitas tepercaya untuk aplikasi yang mengautentikasi secara eksternal ke Pusat IAM Identitas, satu atau beberapa administrator harus menyiapkan penerbit token tepercaya. Penerbit token tepercaya adalah server otorisasi OAuth 2.0 yang mengeluarkan token ke aplikasi yang memulai permintaan (meminta aplikasi). Token mengotorisasi aplikasi ini untuk memulai permintaan atas nama pengguna mereka ke aplikasi penerima ( AWS layanan).

Mengkoordinasikan peran dan tanggung jawab administratif

Dalam beberapa kasus, satu administrator mungkin melakukan semua tugas yang diperlukan untuk menyiapkan penerbit token tepercaya. Jika beberapa administrator melakukan tugas-tugas ini, koordinasi yang erat diperlukan. Tabel berikut menjelaskan bagaimana beberapa administrator dapat berkoordinasi untuk menyiapkan penerbit token tepercaya dan mengonfigurasi AWS layanan untuk menggunakannya.

catatan

Aplikasi ini dapat berupa AWS layanan apa pun yang terintegrasi dengan IAM Identity Center dan mendukung propagasi identitas tepercaya.

Untuk informasi selengkapnya, lihat Tugas untuk menyiapkan penerbit token tepercaya.

Peran Melakukan tugas-tugas ini Koordinat dengan
IAMAdministrator Pusat Identitas

Menambahkan iDP eksternal sebagai penerbit token tepercaya ke konsol Pusat IAM Identitas.

Membantu mengatur pemetaan atribut yang benar antara Pusat IAM Identitas dan IDP eksternal.

Memberi tahu administrator AWS layanan saat penerbit token tepercaya ditambahkan ke konsol Pusat IAM Identitas.

Administrator IDP eksternal (penerbit token tepercaya)

AWS administrator layanan
Administrator IDP eksternal (penerbit token tepercaya)

Mengkonfigurasi iDP eksternal untuk mengeluarkan token.

Membantu mengatur pemetaan atribut yang benar antara Pusat IAM Identitas dan IDP eksternal.

Memberikan nama audiens (klaim Aud) kepada administrator AWS layanan.

IAMAdministrator Pusat Identitas

AWS administrator layanan
AWS administrator layanan

Memeriksa konsol AWS layanan untuk penerbit token tepercaya. Penerbit token tepercaya akan terlihat di konsol AWS layanan setelah administrator Pusat IAM Identitas menambahkannya ke konsol Pusat IAM Identitas.

Mengkonfigurasi AWS layanan untuk menggunakan penerbit token tepercaya.

IAMAdministrator Pusat Identitas

Administrator IDP eksternal (penerbit token tepercaya)

Tugas untuk menyiapkan penerbit token tepercaya

Untuk menyiapkan penerbit token tepercaya, administrator Pusat IAM Identitas, administrator IDP eksternal (penerbit token tepercaya), dan administrator aplikasi harus menyelesaikan tugas-tugas berikut.

catatan

Aplikasi ini dapat berupa AWS layanan apa pun yang terintegrasi dengan IAM Identity Center dan mendukung propagasi identitas tepercaya.

  1. Tambahkan penerbit token tepercaya ke Pusat IAM Identitas — Administrator Pusat IAM Identitas menambahkan penerbit token tepercaya dengan menggunakan konsol Pusat IAM Identitas atau. APIs Konfigurasi ini membutuhkan penentuan yang berikut:

    • Nama untuk penerbit token tepercaya.

    • Titik akhir OIDC penemuan URL (di konsol Pusat IAM Identitas, ini URL disebut penerbit URL). Titik akhir penemuan harus dapat dicapai melalui port 80 dan 443 saja.

    • Pemetaan atribut untuk pencarian pengguna. Pemetaan atribut ini digunakan dalam klaim dalam token yang dihasilkan oleh penerbit token tepercaya. Nilai dalam klaim digunakan untuk mencari Pusat IAM Identitas. Pencarian menggunakan atribut yang ditentukan untuk mengambil satu pengguna di Pusat IAM Identitas.

  2. Connect the AWS service to IAM Identity Center — Administrator AWS layanan harus menghubungkan aplikasi ke IAM Identity Center dengan menggunakan konsol untuk aplikasi atau aplikasiAPIs.

    Setelah penerbit token tepercaya ditambahkan ke konsol Pusat IAM Identitas, itu juga terlihat di konsol AWS layanan dan tersedia untuk dipilih oleh administrator AWS layanan.

  3. Konfigurasikan penggunaan pertukaran token — Di konsol AWS layanan, administrator AWS layanan mengonfigurasi AWS layanan untuk menerima token yang dikeluarkan oleh penerbit token tepercaya. Token ini ditukar dengan token yang dihasilkan oleh IAM Identity Center. Ini memerlukan penentuan nama penerbit token tepercaya dari Langkah 1, dan nilai klaim Aud yang sesuai dengan layanan. AWS

    Penerbit token tepercaya menempatkan nilai klaim Aud dalam token yang dikeluarkannya untuk menunjukkan bahwa token dimaksudkan untuk digunakan oleh AWS layanan. Untuk mendapatkan nilai ini, hubungi administrator untuk penerbit token tepercaya.

Cara menambahkan penerbit token tepercaya ke konsol Pusat IAM Identitas

Dalam organisasi yang memiliki beberapa administrator, tugas ini dilakukan oleh administrator Pusat IAM Identitas. Jika Anda adalah administrator Pusat IAM Identitas, Anda harus memilih IDP eksternal mana yang akan digunakan sebagai penerbit token tepercaya.

Untuk menambahkan penerbit token tepercaya ke konsol Pusat IAM Identitas

  1. Buka konsol Pusat IAM Identitas.

  2. Pilih Pengaturan.

  3. Pada halaman Pengaturan, pilih tab Otentikasi.

  4. Di bawah Penerbit token tepercaya, pilih Buat penerbit token tepercaya.

  5. Pada halaman Siapkan IDP eksternal untuk menerbitkan token tepercaya, di bawah detail penerbit token tepercaya, lakukan hal berikut:

    • Untuk Penerbit URL, tentukan OIDC penemuan URL IDP eksternal yang akan mengeluarkan token untuk propagasi identitas tepercaya. Anda harus menentukan titik URL akhir penemuan hingga dan tanpa.well-known/openid-configuration. Administrator iDP eksternal dapat menyediakan ini. URL

      catatan

      Catatan Ini URL harus sesuai dengan klaim URL dalam Penerbit (iss) dalam token yang dikeluarkan untuk propagasi identitas tepercaya.

    • Untuk nama penerbit token Tepercaya, masukkan nama untuk mengidentifikasi penerbit token tepercaya ini di Pusat IAM Identitas dan di konsol aplikasi.

  6. Di bawah atribut Peta, lakukan hal berikut:

    • Untuk atribut Penyedia identitas, pilih atribut dari daftar untuk dipetakan ke atribut di penyimpanan IAM identitas Pusat Identitas.

    • Untuk atribut IAM Identity Center, pilih atribut yang sesuai untuk pemetaan atribut.

  7. Di bawah Tag (opsional), pilih Tambahkan tag baru, tentukan nilai untuk Kunci, dan opsional untuk Nilai.

    Untuk informasi tentang tanda, lihat Penandaan AWS IAM Identity Center sumber daya.

  8. Pilih Buat penerbit token tepercaya.

  9. Setelah Anda selesai membuat penerbit token tepercaya, hubungi administrator aplikasi untuk memberi tahu mereka nama penerbit token tepercaya, sehingga mereka dapat mengonfirmasi bahwa penerbit token tepercaya terlihat di konsol yang berlaku.

  10. Administrator aplikasi harus memilih penerbit token tepercaya ini di konsol yang berlaku untuk mengaktifkan akses pengguna ke aplikasi dari aplikasi yang dikonfigurasi untuk propagasi identitas tepercaya.

Cara melihat atau mengedit pengaturan penerbit token tepercaya di konsol Pusat IAM Identitas

Setelah menambahkan penerbit token tepercaya ke konsol Pusat IAM Identitas, Anda dapat melihat dan mengedit pengaturan yang relevan.

Jika Anda berencana untuk mengedit pengaturan penerbit token tepercaya, perlu diingat bahwa hal itu dapat menyebabkan pengguna kehilangan akses ke aplikasi apa pun yang dikonfigurasi untuk menggunakan penerbit token tepercaya. Untuk menghindari gangguan akses pengguna, sebaiknya Anda berkoordinasi dengan administrator untuk aplikasi apa pun yang dikonfigurasi untuk menggunakan penerbit token tepercaya sebelum Anda mengedit pengaturan.

Untuk melihat atau mengedit setelan penerbit token tepercaya di konsol Pusat IAM Identitas

  1. Buka konsol Pusat IAM Identitas.

  2. Pilih Pengaturan.

  3. Pada halaman Pengaturan, pilih tab Otentikasi.

  4. Di bawah Penerbit token tepercaya, pilih penerbit token tepercaya yang ingin Anda lihat atau edit.

  5. Pilih Tindakan, dan kemudian pilih Edit.

  6. Pada halaman Edit penerbit token tepercaya, lihat atau edit pengaturan sesuai kebutuhan. Anda dapat mengedit nama penerbit token tepercaya, pemetaan atribut, dan tag.

  7. Pilih Simpan perubahan.

  8. Di kotak dialog Edit penerbit token tepercaya, Anda diminta untuk mengonfirmasi bahwa Anda ingin melakukan perubahan. Pilih Konfirmasi.

Proses penyiapan dan alur permintaan untuk aplikasi yang menggunakan penerbit token tepercaya

Bagian ini menjelaskan proses penyiapan dan alur permintaan untuk aplikasi yang menggunakan penerbit token tepercaya untuk propagasi identitas tepercaya. Diagram berikut memberikan gambaran umum tentang proses ini.

Proses penyiapan dan alur permintaan untuk aplikasi menggunakan penerbit token tepercaya untuk propagasi identitas tepercaya

Langkah-langkah berikut memberikan informasi tambahan tentang proses ini.

  1. Siapkan Pusat IAM Identitas dan aplikasi AWS terkelola penerima untuk menggunakan penerbit token tepercaya. Untuk informasi, lihat Tugas untuk menyiapkan penerbit token tepercaya.

  2. Alur permintaan dimulai ketika pengguna membuka aplikasi yang meminta.

  3. Aplikasi yang meminta meminta token dari penerbit token tepercaya untuk memulai permintaan ke aplikasi terkelola penerima AWS . Jika pengguna belum mengautentikasi, proses ini memicu alur otentikasi. Token berisi informasi berikut:

    • Subjek (Sub) pengguna.

    • Atribut yang digunakan Pusat IAM Identitas untuk mencari pengguna yang sesuai di Pusat IAM Identitas.

    • Klaim audiens (Aud) yang berisi nilai yang dikaitkan dengan penerbit token tepercaya dengan aplikasi AWS terkelola penerima. Jika ada klaim lain, klaim tersebut tidak digunakan oleh IAM Identity Center.

  4. Aplikasi yang meminta, atau AWS driver yang digunakannya, meneruskan token ke Pusat IAM Identitas dan meminta agar token ditukar dengan token yang dihasilkan oleh Pusat IAM Identitas. Jika Anda menggunakan AWS driver, Anda mungkin perlu mengkonfigurasi driver untuk kasus penggunaan ini. Untuk informasi selengkapnya, lihat dokumentasi untuk aplikasi AWS terkelola yang relevan.

  5. IAMIdentity Center menggunakan titik akhir OIDC Discovery untuk mendapatkan kunci publik yang dapat digunakan untuk memverifikasi keaslian token. IAMIdentity Center kemudian melakukan hal berikut:

    • Memverifikasi token.

    • Mencari direktori Pusat Identitas. Untuk melakukan ini, Pusat IAM Identitas menggunakan atribut yang dipetakan yang ditentukan dalam token.

    • Memverifikasi bahwa pengguna berwenang untuk mengakses aplikasi penerima. Jika aplikasi AWS terkelola dikonfigurasi untuk meminta penugasan kepada pengguna dan grup, pengguna harus memiliki penugasan langsung atau berbasis grup ke aplikasi; jika tidak, permintaan ditolak. Jika aplikasi AWS terkelola dikonfigurasi agar tidak memerlukan penugasan pengguna dan grup, pemrosesan dilanjutkan.

      catatan

      AWS layanan memiliki konfigurasi pengaturan default yang menentukan apakah penugasan diperlukan untuk pengguna dan grup. Kami menyarankan Anda untuk tidak mengubah pengaturan Memerlukan tugas untuk aplikasi ini jika Anda berencana untuk menggunakannya dengan propagasi identitas tepercaya. Meskipun Anda telah mengonfigurasi izin berbutir halus yang memungkinkan pengguna mengakses sumber daya aplikasi tertentu, mengubah setelan Memerlukan penetapan dapat mengakibatkan perilaku yang tidak terduga, termasuk akses pengguna yang terganggu ke sumber daya ini.

    • Memverifikasi bahwa aplikasi yang meminta dikonfigurasi untuk menggunakan cakupan yang valid untuk aplikasi terkelola penerima AWS .

  6. Jika langkah verifikasi sebelumnya berhasil, Pusat IAM Identitas membuat token baru. Token baru adalah token buram (terenkripsi) yang mencakup identitas pengguna yang sesuai di Pusat IAM Identitas, audiens (Aud) dari aplikasi AWS terkelola penerima, dan cakupan yang dapat digunakan aplikasi yang meminta saat membuat permintaan ke aplikasi terkelola penerima. AWS

  7. Aplikasi yang meminta, atau driver yang digunakannya, memulai permintaan sumber daya ke aplikasi penerima dan meneruskan token yang dihasilkan IAM Identity Center ke aplikasi penerima.

  8. Aplikasi penerima melakukan panggilan ke Pusat IAM Identitas untuk mendapatkan identitas pengguna dan cakupan yang dikodekan dalam token. Mungkin juga membuat permintaan untuk mendapatkan atribut pengguna atau keanggotaan grup pengguna dari direktori Pusat Identitas.

  9. Aplikasi penerima menggunakan konfigurasi otorisasi untuk menentukan apakah pengguna berwenang untuk mengakses sumber daya aplikasi yang diminta.

  10. Jika pengguna berwenang untuk mengakses sumber daya aplikasi yang diminta, aplikasi penerima menanggapi permintaan tersebut.

  11. Identitas pengguna, tindakan yang dilakukan atas nama mereka, dan peristiwa lain yang dicatat dalam log dan CloudTrail peristiwa aplikasi penerima. Cara spesifik di mana informasi ini dicatat bervariasi berdasarkan aplikasi.