Scenari comuni - AWS Identity and Access Management
Amazon Cognito per applicazioni per dispositivi mobiliOIDCfederazione per app mobili

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scenari comuni

Nota

Ti consigliamo di richiedere agli utenti umani di utilizzare credenziali temporanee per l'accesso AWS. Hai preso in considerazione l'utilizzo AWS IAM Identity Center? Puoi utilizzare IAM Identity Center per gestire centralmente l'accesso a più account Account AWS e fornire agli utenti un accesso Single Sign-On MFA protetto a tutti gli account assegnati da un'unica posizione. Con IAM Identity Center, puoi creare e gestire le identità degli utenti in IAM Identity Center o connetterti facilmente al tuo provider di identità compatibile con la SAML versione 2.0 esistente. Per ulteriori informazioni, vedi Cos'è IAM Identity Center? nella Guida AWS IAM Identity Center per l'utente.

Puoi utilizzare un provider di identità esterno (IdP) per gestire le identità degli utenti all'esterno AWS e all'IdP esterno. Un IdP esterno può fornire informazioni sull'identità AWS utilizzando OpenID Connect (OIDC) o Security Assertion Markup Language (). SAML OIDCviene comunemente utilizzato quando un'applicazione che non funziona richiede l'accesso AWS alle risorse. AWS

Quando si desidera configurare la federazione con un IdP esterno, si crea un provider di IAM identità per informare AWS sull'IdP esterno e sulla sua configurazione. In questo modo si instaura un rapporto di fiducia tra il tuo Account AWS e l'IdP esterno. I seguenti argomenti forniscono scenari comuni per l'utilizzo dei provider di IAM identità.

Amazon Cognito per applicazioni per dispositivi mobili

Il modo preferito per utilizzare la OIDC federazione è usare Amazon Cognito. Ad esempio, Adele sta sviluppando un gioco per un dispositivo mobile in cui i dati dell'utente, quali punteggi e profili, vengono memorizzati in Amazon S3 e Amazon DynamoDB. Adele potrebbe archiviare questi dati anche in locale sul dispositivo e utilizzare Amazon Cognito per mantenerli sincronizzati su tutti i dispositivi. Tuttavia, Adele è consapevole che, per motivi di sicurezza e manutenzione, le credenziali di sicurezza AWS a lungo termine non dovrebbero essere distribuite con il gioco. Adele sa anche che il gioco potrebbe avere un gran numero di utenti. Per tutti questi motivi, non desidera creare nuove identità utente in IAM per ciascun giocatore. Invece, crea il gioco in modo che gli utenti possano accedere utilizzando un'identità che hanno già stabilito con un noto provider di identità esterno (IdP), come Login with Amazon, Facebook , Google o qualsiasi IdP compatibile con OpenID Connect OIDC (). Il suo gioco può sfruttare il meccanismo di autenticazione di uno di questi provider per convalidare l'identità dell'utente.

Per consentire all'app mobile di accedere alle sue AWS risorse, Adele deve innanzitutto registrare un ID sviluppatore con il nome che ha scelto. IdPs Configura anche l'applicazione con ciascuno di questi provider. Nella cartella Account AWS che contiene il bucket Amazon S3 e la tabella DynamoDB per il gioco, Adele utilizza Amazon Cognito per creare IAM ruoli che definiscono con precisione le autorizzazioni di cui il gioco ha bisogno. Se utilizza un OIDC IdP, crea anche un'entità provider di IAM OIDC identità per stabilire un rapporto di fiducia tra il pool di identità di Amazon Cognito che possiede Account AWS e l'IdP.

Nel codice dell'app, Adele chiama l'interfaccia di accesso per il provider di identità che ha configurato in precedenza. L'IdP gestisce tutti i dettagli relativi all'accesso dell'utente e l'app riceve un token di OAuth accesso o un token OIDC ID dal provider. L'app di Adele può scambiare queste informazioni di autenticazione con una serie di credenziali di sicurezza temporanee costituite da un ID della chiave di AWS accesso, una chiave di accesso segreta e un token di sessione. L'app può quindi utilizzare queste credenziali per accedere ai servizi web offerti da. AWS L'app è limitata alle autorizzazioni definite nel ruolo che assume.

La figura riportata di seguito mostra un flusso semplificato su come questo processo potrebbe funzionare, usando Login with Amazon come provider di identità. Per la Fase 2, l'app può utilizzare anche Facebook, Google o qualsiasi IdP OIDC compatibile, ma questo non è mostrato qui.

Esempio di flusso di lavoro con utilizzo di Amazon Cognito per effettuare la federazione degli utenti per un'applicazione per dispositivi mobili

  1. Un cliente avvia l'app su un dispositivo mobile. L'app richiede all'utente di effettuare l'accesso.

  2. L'app utilizza il login con le risorse di Login with Amazon per accettare le credenziali dell'utente.

  3. L'app utilizza le API operazioni di Amazon Cognito GetId e GetCredentialsForIdentity scambia il token Login with Amazon ID con un token Amazon Cognito. Amazon Cognito, che è stato configurato per rendere attendibile il tuo progetto Login with Amazon, genera un token che scambia con credenziali di sessione temporanee per AWS STS.

  4. L'app riceve le credenziali di sicurezza temporanee da Amazon Cognito. La tua app può anche utilizzare il flusso di lavoro Basic (Classic) in Amazon Cognito per recuperare i token da utilizzare. AWS STS AssumeRoleWithWebIdentity Per ulteriori informazioni, consulta Flusso di autenticazione dei pool di identità (identità federate) nella Guida per gli sviluppatori di Amazon Cognito.

  5. Le credenziali di sicurezza temporanee possono essere utilizzate dall'app per accedere alle risorse AWS richieste dall'applicazione per funzionare. Il ruolo associato alle credenziali di sicurezza temporanee e alle relative policy assegnate determina a quali elementi è possibile accedere.

Utilizza la seguente procedura per configurare la tua app in modo che utilizzi Amazon Cognito per autenticare gli utenti e consentire all'app di accedere alle risorse. AWS Per le operazioni specifiche per realizzare questo scenario, consulta la documentazione di Amazon Cognito.

  1. (Facoltativo) Registrati come sviluppatore con Login with Amazon, Facebook, Google o qualsiasi altro IdP compatibile con OpenID Connect (OIDC) e configura una o più app con il provider. Questa fase è facoltativa poiché Amazon Cognito supporta anche l'accesso non autenticato (guest) per gli utenti.

  2. Vai ad Amazon Cognito in. AWS Management Console Utilizza la procedura guidata di Amazon Cognito per creare un pool di identità, ovvero un container che Amazon Cognito utilizza per mantenere le identità degli utenti finali organizzate per le app. Puoi condividere i pool di identità tra le app. Quando configuri un pool di identità, Amazon Cognito crea uno o due IAM ruoli (uno per le identità autenticate e uno per le identità «guest» non autenticate) che definiscono le autorizzazioni per gli utenti di Amazon Cognito.

  3. Integra AWSAmplify con l'app e importa i file necessari per utilizzare Amazon Cognito.

  4. Crea un'istanza del provider di credenziali Amazon Cognito, passando l'ID del pool di identità, il tuo Account AWS numero e l'Amazon Resource Name (ARN) dei ruoli che hai associato al pool di identità. La procedura guidata di Amazon Cognito AWS Management Console fornisce un codice di esempio per aiutarti a iniziare.

  5. Quando l'app accede a una AWS risorsa, passa l'istanza del provider di credenziali all'oggetto client, che passa le credenziali di sicurezza temporanee al client. Le autorizzazioni per le credenziali si basano sul ruolo o sui ruoli definiti in precedenza.

Per ulteriori informazioni, consulta gli argomenti seguenti:

OIDCfederazione per app mobili

Per ottenere i migliori risultati, usa Amazon Cognito come broker di identità per quasi tutti gli scenari di OIDC federazione. Amazon Cognito è semplice da utilizzare e fornisce funzionalità aggiuntive quali l'accesso anonimo (non autenticato) e la sincronizzazione dei dati degli utenti tra più dispositivi e provider. Tuttavia, se hai già creato un'app che utilizza la OIDC federazione chiamando manualmente la AssumeRoleWithWebIdentityAPI, puoi continuare a usarla e le tue app continueranno a funzionare correttamente.

Il processo per utilizzare la OIDC federazione senza Amazon Cognito segue questo schema generale:

  1. Effettuare la registrazione come sviluppatore al provider di identità (IdP) esterno e configurare l'app con tale provider, che fornisce un ID univoco per l'app. (Diversi IdPs utilizzano una terminologia diversa per questo processo. Questo schema utilizza il termine configura per il processo di identificazione dell'app con l'IdP.) Ogni IdP ti fornisce un ID app univoco per quell'IdP, quindi se configuri la stessa app con più app IdPs, la tua app avrà più app. IDs È possibile configurare più app con ciascun provider.

    I seguenti link esterni forniscono informazioni sull'utilizzo di alcuni dei provider di identità più utilizzati ()IdPs:

    Importante

    Se utilizzi un provider di OIDC identità di Google, Facebook o Amazon Cognito, non creare un provider di IAM identità separato in. AWS Management Console AWS dispone di questi provider di OIDC identità integrati e disponibili per l'uso da parte tua. Ignora la fase seguente e passa direttamente alla creazione di nuovi ruoli utilizzando il provider di identità.

  2. Se utilizzi un IdP diverso da Google, Facebook o Amazon Cognito compatibile OIDC con, crea IAM un'entità provider di identità per tale IdP.

  3. In IAM, creare uno o più ruoli. Per ogni ruolo, definisci chi può assumere il ruolo (policy di attendibilità) e quali autorizzazioni concedere agli utenti dell'app (policy di autorizzazione). Di solito, è necessario creare un ruolo per ogni provider di identità supportato da un'app. Ad esempio, puoi creare un ruolo che può essere assunto da un'applicazione quando l'utente effettua l'accesso tramite Login with Amazon, un secondo ruolo per la stessa applicazione in cui l'utente effettua l'accesso tramite Facebook e un terzo ruolo per l'applicazione in cui l'utente effettua l'accesso tramite Google. Per la relazione di trust, specificare il provider di identità (ad esempio Amazon.com) come Principal (l'entità attendibile) e includere un elemento Condition corrispondente all'ID app assegnato dal provider di identità. Esempi di ruoli per diversi provider sono descritti più in Creare un ruolo per un provider di identità di terza parte (federazione).

  4. Nell'applicazione, autenticare gli utenti con il provider di identità. Le specifiche della procedura variano sia in base al provider di identità in uso (Login with Amazon, Facebook o Google) sia in base alla piattaforma su cui viene eseguita l'app. Ad esempio, il metodo di autenticazione di un'app Android può differire da quello di un'app iOS o di un'app Web JavaScript basata.

    In genere, se l'utente non ha già effettuato l'accesso, il provider di identità si occupa di visualizzare una pagina di accesso. Dopo aver autenticato l'utente, il provider di identità restituisce all'app un token di autenticazione con le informazioni sull'utente. Le informazioni incluse dipendono dagli elementi esposti dal provider di identità e dalle informazioni che l'utente è disposto a condividere. Queste informazioni possono essere utilizzate nell'app.

  5. Nell'app, effettuare una chiamata non firmata all'operazione AssumeRoleWithWebIdentity per richiedere le credenziali di sicurezza provvisorie. Nella richiesta, passi il token di autenticazione dell'IdP e specifichi Amazon Resource Name (ARN) per il IAM ruolo che hai creato per quell'IdP. AWS verifica che il token sia affidabile e valido e, in tal caso, restituisce all'app credenziali di sicurezza temporanee che dispongono delle autorizzazioni per il ruolo indicato nella richiesta. La risposta include anche i metadati relativi all'utente forniti dal provider di identità, ad esempio l'ID utente univoco che il provider associa all'utente.

  6. Utilizzando le credenziali di sicurezza temporanee della AssumeRoleWithWebIdentity risposta, l'app invia richieste firmate alle operazioni. AWS API Le informazioni sull'ID utente fornite dall'IdP possono distinguere gli utenti nella tua app. Ad esempio, è possibile inserire in cartelle Amazon S3 oggetti che includono l'ID utente come prefisso o suffisso. Ciò consente di creare policy di controllo degli accessi che bloccano la cartella in modo che solo l'utente con l'ID specificato possa accedervi. Per ulteriori informazioni, consulta AWS STS principi di sessione utente federati.

  7. L'app dovrebbe memorizzare nella cache le credenziali di sicurezza temporanee in modo da non doverne ottenere di nuove ogni volta che ha bisogno di effettuare una richiesta ad AWS. Come impostazione predefinita, le credenziali sono valide per un'ora. Quando scadono (o prima), devi effettuare un'altra chiamata ad AssumeRoleWithWebIdentity per ottenere un nuovo set di credenziali di sicurezza temporanee. A seconda del provider di identità e di come gestisce i token, potrebbe essere necessario aggiornare il token del provider prima di effettuare una nuova chiamata ad AssumeRoleWithWebIdentity, dato che anche i token di solito scadono dopo un determinato periodo di tempo. Se utilizzi l'opzione AWS SDK per iOS o AWS SDK per Android, puoi utilizzare l'azione A mazonSTSCredentials Provider, che gestisce le credenziali IAM temporanee, incluso l'aggiornamento delle stesse, se necessario.