Penyedia kepercayaan identitas pengguna untuk Akses Terverifikasi - AWS Akses Terverifikasi
IAMPusat IdentitasOIDCpenyedia kepercayaan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penyedia kepercayaan identitas pengguna untuk Akses Terverifikasi

Anda dapat memilih untuk menggunakan salah satu AWS IAM Identity Center atau penyedia kepercayaan identitas pengguna yang kompatibel dengan OpenID Connect.

Menggunakan IAM Identity Center sebagai penyedia kepercayaan

Anda dapat menggunakan AWS IAM Identity Center sebagai penyedia kepercayaan identitas pengguna Anda dengan Akses AWS Terverifikasi.

Prasyarat dan pertimbangan

  • Instance Pusat IAM Identitas Anda harus berupa sebuah AWS Organizations instance. Instance Pusat IAM Identitas AWS akun mandiri tidak akan berfungsi.

  • Instance Pusat IAM Identitas Anda harus diaktifkan di AWS Wilayah yang sama tempat Anda ingin membuat penyedia kepercayaan Akses Terverifikasi.

  • Akses Terverifikasi dapat menyediakan akses ke pengguna di Pusat IAM Identitas yang ditetapkan hingga 1.000 grup.

Lihat Mengelola instans organisasi dan akun Pusat IAM Identitas di Panduan AWS IAM Identity Center Pengguna untuk detail tentang berbagai jenis instans.

Buat penyedia kepercayaan Pusat IAM Identitas

Setelah Pusat IAM Identitas diaktifkan di AWS akun, Anda dapat menggunakan prosedur berikut untuk menyiapkan Pusat IAM Identitas sebagai penyedia kepercayaan untuk Akses Terverifikasi.

Untuk membuat penyedia kepercayaan Pusat IAM Identitas (AWS konsol)

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Penyedia kepercayaan Akses Terverifikasi, lalu Buat penyedia kepercayaan Akses Terverifikasi.

  3. (Opsional) Untuk tag Nama dan Deskripsi, masukkan nama dan deskripsi untuk penyedia kepercayaan.

  4. Untuk nama referensi Kebijakan, masukkan pengenal yang akan digunakan nanti saat bekerja dengan aturan kebijakan.

  5. Di bawah Jenis penyedia Trust, pilih Penyedia kepercayaan pengguna.

  6. Di bawah Jenis penyedia kepercayaan pengguna, pilih Pusat IAM Identitas.

  7. (Opsional) Untuk menambahkan tanda, pilih Tambahkan tanda baru dan masukkan kunci dan nilai tanda.

  8. Pilih Buat penyedia kepercayaan Akses Terverifikasi.

Untuk membuat penyedia kepercayaan Pusat IAM Identitas (AWS CLI)

Hapus penyedia kepercayaan Pusat IAM Identitas

Sebelum Anda dapat menghapus penyedia kepercayaan, Anda harus menghapus semua konfigurasi titik akhir dan grup dari instance yang dilampirkan penyedia kepercayaan.

Untuk menghapus penyedia kepercayaan Pusat IAM Identitas (AWS konsol)

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Penyedia kepercayaan Akses Terverifikasi, lalu pilih penyedia kepercayaan yang ingin Anda hapus di bawah Penyedia kepercayaan Akses Terverifikasi.

  3. Pilih Tindakan, lalu Hapus penyedia kepercayaan Akses Terverifikasi.

  4. Konfirmasikan penghapusan dengan memasukkan delete ke dalam kotak teks.

  5. Pilih Hapus.

Untuk menghapus penyedia kepercayaan Pusat IAM Identitas (AWS CLI)

Menggunakan penyedia kepercayaan OpenID Connect

Akses Terverifikasi AWS mendukung penyedia identitas yang menggunakan metode OpenID Connect (OIDC) standar. Anda dapat menggunakan penyedia yang OIDC kompatibel sebagai penyedia kepercayaan identitas pengguna dengan Akses Terverifikasi. Namun, karena beragam OIDC penyedia potensial, AWS tidak dapat menguji setiap OIDC integrasi dengan Akses Terverifikasi.

Akses Terverifikasi memperoleh data kepercayaan yang dievaluasi dari OIDC penyedia. UserInfo Endpoint ScopeParameter ini digunakan untuk menentukan kumpulan data kepercayaan mana yang akan diambil. Setelah data kepercayaan diterima, kebijakan Akses Terverifikasi dievaluasi terhadapnya.

catatan

Akses Terverifikasi tidak menggunakan data kepercayaan dari yang ID token dikirim oleh OIDC penyedia, saat mengevaluasi kebijakan Akses Terverifikasi. Hanya data kepercayaan dari yang UserInfo Endpoint dievaluasi terhadap kebijakan.

Prasyarat untuk menciptakan penyedia kepercayaan OIDC

Anda perlu mengumpulkan informasi berikut dari layanan penyedia kepercayaan Anda secara langsung:

  • Penerbit

  • Titik akhir otorisasi

  • Titik akhir token

  • UserInfo titik akhir

  • ID Klien

  • Rahasia klien

  • Cakupan

Buat penyedia OIDC kepercayaan

Gunakan prosedur berikut untuk membuat OIDC sebagai penyedia kepercayaan Anda.

Untuk membuat penyedia OIDC kepercayaan (AWS konsol)

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Penyedia kepercayaan Akses Terverifikasi, lalu Buat penyedia kepercayaan Akses Terverifikasi.

  3. (Opsional) Untuk tag Nama dan Deskripsi, masukkan nama dan deskripsi untuk penyedia kepercayaan.

  4. Untuk nama referensi Kebijakan, masukkan pengenal yang akan digunakan nanti saat bekerja dengan aturan kebijakan.

  5. Di bawah Jenis penyedia Trust, pilih Penyedia kepercayaan pengguna.

  6. Di bawah Jenis penyedia kepercayaan pengguna, pilih OIDC(OpenID Connect).

  7. Untuk Penerbit, masukkan pengidentifikasi penerbit. OIDC

  8. Untuk titik akhir Otorisasi, masukkan titik akhir URL otorisasi penuh.

  9. Untuk titik akhir Token, masukkan titik URL akhir token penuh.

  10. Untuk titik akhir Pengguna, masukkan titik URL akhir pengguna penuh.

  11. Masukkan pengenal klien OAuth 2.0 untuk ID Klien.

  12. Masukkan rahasia klien OAuth 2.0 untuk rahasia Klien.

  13. Masukkan daftar cakupan yang dibatasi spasi yang ditentukan dengan penyedia identitas Anda. Minimal, lingkup “openid” diperlukan untuk Lingkup.

  14. (Opsional) Untuk menambahkan tanda, pilih Tambahkan tanda baru dan masukkan kunci dan nilai tanda.

  15. Pilih Buat penyedia kepercayaan Akses Terverifikasi.

catatan

Anda perlu menambahkan pengalihan URI ke daftar izin OIDC penyedia Anda. Anda akan ingin menggunakan titik akhir Akses Terverifikasi untuk tujuan ini. ApplicationDomain Ini dapat ditemukan di AWS Management Console, di bawah tab Detail untuk titik akhir Akses Terverifikasi Anda atau dengan menggunakan AWS CLI untuk menggambarkan titik akhir. Tambahkan yang berikut ini ke daftar izin OIDC penyedia Anda: https://ApplicationDomain/oauth2/idpresponse

Untuk membuat penyedia OIDC kepercayaan (AWS CLI)

Memodifikasi penyedia OIDC kepercayaan

Setelah Anda membuat penyedia kepercayaan, Anda dapat memperbarui konfigurasinya.

Untuk memodifikasi penyedia OIDC kepercayaan (AWS konsol)

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Penyedia kepercayaan Akses Terverifikasi, lalu pilih penyedia kepercayaan yang ingin Anda ubah di bawah Penyedia kepercayaan Akses Terverifikasi.

  3. Pilih Tindakan, lalu Ubah penyedia kepercayaan Akses Terverifikasi.

  4. Ubah opsi yang ingin Anda ubah.

  5. Pilih Ubah penyedia kepercayaan Akses Terverifikasi.

Untuk memodifikasi penyedia OIDC kepercayaan (AWS CLI)

Hapus penyedia OIDC kepercayaan

Sebelum dapat menghapus penyedia kepercayaan pengguna, pertama-tama Anda harus menghapus semua konfigurasi titik akhir dan grup dari contoh penyedia kepercayaan yang dilampirkan.

Untuk menghapus penyedia OIDC kepercayaan (AWS konsol)

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Penyedia kepercayaan Akses Terverifikasi, lalu pilih penyedia kepercayaan yang ingin Anda hapus di bawah Penyedia kepercayaan Akses Terverifikasi.

  3. Pilih Tindakan, lalu Hapus penyedia kepercayaan Akses Terverifikasi.

  4. Konfirmasikan penghapusan dengan memasukkan delete ke dalam kotak teks.

  5. Pilih Hapus.

Untuk menghapus penyedia OIDC kepercayaan (AWS CLI)