Crea un provider di identità OpenID Connect (OIDC) in IAM - AWS Identity and Access Management
PrerequisitiCreazione e gestione di un OIDC provider (console)Creazione e gestione di un provider di IAM OIDC identità (AWS CLI)Creazione e gestione di un provider di OIDC identità (AWS API)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un provider di identità OpenID Connect (OIDC) in IAM

IAMOIDCi provider di identità sono entità IAM che descrivono un servizio di provider di identità (IdP) esterno che supporta lo standard OpenID Connect (OIDC), come Google o Salesforce. Utilizzi un provider di IAM OIDC identità quando desideri stabilire un rapporto di fiducia tra un IdP OIDC compatibile e il tuo. Account AWS Ciò è utile quando si crea un'app mobile o un'applicazione Web che richiede l'accesso alle AWS risorse, ma non si desidera creare un codice di accesso personalizzato o gestire le proprie identità utente. Per ulteriori informazioni su questo scenario, consulta OIDCfederazione.

È possibile creare e gestire un provider di IAM OIDC identità utilizzando il AWS Management Console AWS Command Line Interface, gli Strumenti per Windows o PowerShell il. IAM API

Dopo aver creato un provider di IAM OIDC identità, è necessario creare uno o più IAM ruoli. Un ruolo è un'identità AWS che non ha le proprie credenziali (come invece fa un utente). Tuttavia, in questo contesto, un ruolo viene assegnato in modo dinamico a un utente federato autenticato dall'IdP dell'organizzazione. Il ruolo consente al provider di identità dell'organizzazione di richiedere credenziali di sicurezza provvisorie per l'accesso a AWS. Le politiche assegnate al ruolo determinano le operazioni consentite agli utenti federati. AWS Per creare un ruolo per un provider di identità di terze parti, consulta Creare un ruolo per un provider di identità di terze parti (federazione).

Importante

Quando si configurano politiche basate sull'identità per azioni che supportano le oidc-provider risorse, IAM valuta il provider URL di OIDC identità completo, inclusi i percorsi specificati. Se il tuo provider di OIDC identità URL ha un percorso, devi includerlo nel valore dell'elemento oidc-provider ARN as a. Resource È inoltre possibile aggiungere una barra e un carattere jolly (/*) al URL dominio o utilizzare caratteri jolly (*e?) in qualsiasi punto del percorso. URL Se il provider di OIDC identità URL nella richiesta non corrisponde al valore impostato nell'Resourceelemento della policy, la richiesta ha esito negativo.

Per risolvere i problemi più comuni relativi alla IAM OIDC federazione, consulta Risolvere gli errori relativi a OIDC su AWS re:POST.

Prerequisiti: convalida della configurazione del tuo provider di identità

Prima di poter creare un provider di IAM OIDC identità, è necessario disporre delle seguenti informazioni dal proprio IdP. Per ulteriori informazioni su come ottenere informazioni sulla configurazione del OIDC provider, consulta la documentazione del tuo IdP.

  1. Stabilisci che il tuo provider di OIDC identità è disponibile al pubblico. URL I https://. Per the OIDC standard, path com ponenti che URL devono iniziare con sono consentiti, ma i parametri di interrogazione no. In genere, URL consiste solo in un nome host, ad esempio. https://server.example.org or https://example.com Non URL deve contenere un numero di porta.

  2. Aggiungi /.well-known/openid-configuration alla fine di quello del tuo provider di OIDC identità per visualizzare il documento di configurazione e i metadati disponibili URL pubblicamente del provider. È necessario disporre di un documento di rilevamento in JSON formato con il documento di configurazione e i metadati del provider che possono essere recuperati dall'endpoint di rilevamento del provider OpenID Connect. URL

  3. Verifica che i seguenti valori siano inclusi nelle informazioni di configurazione del tuo provider. Se nella configurazione openid manca uno di questi campi, è necessario aggiornare il documento di scoperta. Questo processo può variare in base al provider di identità, quindi segui la documentazione del tuo IdP per completare questa attività.

    • emittente: Il URL per il tuo dominio.

    • jwks_uri: l'endpoint JSON Web Key Set (JWKS) da cui vengono ottenute le chiavi pubbliche. IAM Il vostro provider di identità deve includere un endpoint JSON Web Key Set (JWKS) nella configurazione openid. Questo URI definisce dove reperire le chiavi pubbliche utilizzate per verificare i token firmati dal provider di identità.

    • claims_supported: informazioni sull'utente che ti aiutano a garantire che le risposte di OIDC autenticazione del tuo IdP contengano gli attributi richiesti AWS utilizzati nelle IAM politiche per verificare le autorizzazioni per gli utenti federati. Per un elenco delle chiavi di IAM condizione che possono essere utilizzate per i reclami, consulta. Chiavi disponibili per la AWS OIDC federazione

      • aud: devi determinare il valore dichiarato del pubblico dal tuo IdP in JSON Web Tokens (). JWTs L'attestazione audience (aud) è specifica dell'applicazione e identifica i destinatari previsti del token. Quando registri un'app mobile o web con un provider OpenID Connect, viene stabilito un ID client che identifica l'applicazione. L'ID client è un identificatore univoco per l'app che viene trasmesso nel reclamo di autenticazione aud. Il claim aud deve corrispondere al valore Audience quando crei il tuo provider di IAM OIDC identità.

      • iat: i reclami devono includere un valore iat che rappresenti l'ora in cui viene emesso il token ID.

      • iss: Il nome URL del provider di identità. I caratteri che URL devono iniziare con https:// and should correspond to the Provider URL provided to IAM. Per the OIDC standard, path com i ponenti sono consentiti, ma i parametri di interrogazione no. In genere, URL consiste solo in un nome host, ad esempio. https://server.example.org or https://example.com Non URL deve contenere un numero di porta.

    • response_types_supported: id_token

    • subject_types_supported: pubblico

    • id_token_signing_alg_values_supported: RS256

    Nota

    Puoi includere rivendicazioni aggiuntive come quelle personalizzate nell'esempio seguente; tuttavia, ignorerà l'affermazione. AWS STS 

    {
  "issuer": "https://example-domain.com",
  "jwks_uri": "https://example-domain.com/jwks/keys",
  "claims_supported": [
    "aud",
    "iat",
    "iss",
    "name",
    "sub",
    "custom"
  ],
  "response_types_supported": [
    "id_token"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "subject_types_supported": [
    "public"
  ]
}

Creazione e gestione di un OIDC provider (console)

Segui queste istruzioni per creare e gestire un provider di IAM OIDC identità in AWS Management Console.

Importante

Se utilizzi un provider di OIDC identità di Google, Facebook o Amazon Cognito, non creare un provider di IAM identità separato utilizzando questa procedura. Questi provider di OIDC identità sono già integrati AWS e sono disponibili per l'uso da parte tua. Segui invece i passaggi per creare nuovi ruoli per il provider di identità e consulta Creare un ruolo per la federazione OpenID Connect (console).

Per creare un provider di IAM OIDC identità (console)

  1. Prima di creare un provider di IAM OIDC identità, devi registrare la tua applicazione con l'IdP per ricevere un ID cliente. L'ID client (noto anche come destinatario) è un identificatore univoco per l'app rilasciato durante la registrazione dell'app sul provider di identità. Per ulteriori informazioni su come ottenere un ID client, consulta la documentazione per l'IdP.

    Nota

    AWS protegge la comunicazione con i provider di OIDC identità (IdPs) utilizzando la nostra libreria di autorità di certificazione root affidabili (CAs) per verificare il certificato dell'endpoint JSON Web Key Set (JWKS). TLS Se il tuo OIDC IdP si affida a un certificato non firmato da uno di questi provider affidabiliCAs, solo allora proteggiamo la comunicazione utilizzando le impronte digitali impostate nella configurazione dell'IdP. AWS ricorreremo alla verifica dell'impronta digitale se non siamo in grado di recuperare il certificato o se è richiesta la versione 1.3. TLS TLS

  2. Apri la console all'indirizzo. IAM https://console.aws.amazon.com/iam/

  3. Nel riquadro di navigazione, scegli Provider di identità, quindi seleziona Aggiungi provider.

  4. Per Configura provider, scegli OpenID Connect.

  5. Per Provider URL, digita URL l'IdP. URLDevono rispettare queste restrizioni:

    • URLfa distinzione tra maiuscole e minuscole.

    • URLDeve iniziare con. https://

    • Non URL deve contenere un numero di porta.

    • All'interno del tuo Account AWS, ogni provider di IAM OIDC identità deve utilizzare un unicoURL. Se provi a inviare un URL messaggio che è già stato utilizzato per un provider OpenID Connect nel Account AWS, riceverai un errore.

  6. Per Audience, digita l'ID client dell'applicazione che hai registrato con l'IdP e in cui hai ricevuto e a Passo 1 cui hai inviato le richieste. AWS Se disponi di client aggiuntivi IDs (noti anche come audience) per questo IdP, puoi aggiungerli in un secondo momento nella pagina dei dettagli del provider.

    Nota

    Se il tuo JWT token IdP include il azp claim, inserisci questo valore come valore Audience.

    Se il tuo provider di OIDC identità sta impostando entrambi aud e le azp attestazioni nel token, AWS STS utilizzerà il valore dell'azpattestazione come attestazioneaud.

  7. (Facoltativo) Per Aggiungi tag, puoi aggiungere coppie chiave-valore per aiutarti a identificare e organizzare le tue. IdPs È inoltre possibile utilizzare i tag per controllare l'accesso alle risorse AWS . Per ulteriori informazioni sull'etichettatura dei provider di IAM OIDC identità, consulta. Etichetta i provider di identità OpenID Connect (OIDC) Selezionare Aggiungi tag. Immetti i valori per ogni coppia chiave-valore del tag.

  8. Controlla le informazioni inserite. Quando hai finito, scegli Aggiungi provider. IAMtenterà di recuperare e utilizzare l'impronta digitale della CA intermedia superiore del certificato del server IdP per creare il OIDC provider di identità. IAM OIDC

    Nota

    La catena di certificati del provider di OIDC identità deve iniziare con il dominio o l'emittenteURL, quindi con il certificato intermedio e terminare con il certificato radice. Se l'ordine della catena di certificati è diverso o include certificati duplicati o aggiuntivi, viene visualizzato un errore di mancata corrispondenza della firma e STS non è possibile convalidare il JSON Web Token (). JWT Correggete l'ordine dei certificati nella catena restituiti dal server per risolvere l'errore. Per ulteriori informazioni sugli standard della catena di certificati, consulta certificate_list in RFC 5246 sul sito Web della serie. RFC

  9. Assegna un IAM ruolo al tuo provider di identità per concedere alle identità degli utenti esterni gestite dal tuo provider di identità le autorizzazioni per accedere alle risorse del tuo account. AWS Per ulteriori informazioni sulla creazione di ruoli per la federazione delle identità, consulta Creare un ruolo per un provider di identità di terze parti (federazione).

    Nota

    OIDC IdPs la policy di fiducia utilizzata in un ruolo deve appartenere allo stesso account del ruolo che la considera attendibile.

Per aggiungere o rimuovere un'impronta personale per un provider di IAM OIDC identità (console)
Nota

AWS protegge la comunicazione con i provider di OIDC identità (IdPs) utilizzando la nostra libreria di autorità di certificazione root affidabili (CAs) per verificare il certificato dell'endpoint JSON Web Key Set (JWKS). TLS Se il tuo OIDC IdP si affida a un certificato non firmato da uno di questi provider affidabiliCAs, solo allora proteggiamo la comunicazione utilizzando le impronte digitali impostate nella configurazione dell'IdP. AWS ricorreremo alla verifica dell'impronta digitale se non siamo in grado di recuperare il certificato o se è richiesta la versione 1.3. TLS TLS

  1. Apri la console all'indirizzo. IAM https://console.aws.amazon.com/iam/

  2. Nel pannello di navigazione, scegli Identity providers (Provider di identità). Quindi scegli il nome del provider di IAM identità che desideri aggiornare.

  3. Scegli la scheda di verifica dell'endpoint, quindi nella sezione Thumbprints, scegli Gestisci. Per immettere un nuovo valore di identificazione personale, scegli Aggiungi identificazione personale. Per rimuovere un'identificazione personale, scegli Rimuovi accanto all'elemento che desideri rimuovere.

    Nota

    Un provider di IAM OIDC identità deve averne almeno una e può avere un massimo di cinque impronte digitali.

    Al termine, scegli Salva modifiche.

Per aggiungere un pubblico per un provider di IAM OIDC identità (console)

  1. Nel riquadro di navigazione, scegli Provider di identità, quindi scegli il nome del provider di IAM identità che desideri aggiornare.

  2. Nella sezione Destinatari, scegli Operazioni e seleziona Aggiungi destinatario.

  3. Digita l'ID client dell'applicazione che hai registrato con l'IdP e in Passo 1 cui hai ricevuto le richieste. AWS Quindi scegli Aggiungi destinatari.

    Nota

    Un provider di IAM OIDC identità deve averne almeno uno e può avere un massimo di 100 destinatari.

Per rimuovere un pubblico per un provider di IAM OIDC identità (console)

  1. Nel riquadro di navigazione, scegli Provider di identità, quindi scegli il nome del provider di IAM identità che desideri aggiornare.

  2. Nella sezione Destinatari, seleziona il pulsante di opzione accanto al destinatario che desideri rimuovere, quindi seleziona Operazioni.

  3. Scegli Rimuovi destinatario. Viene visualizzata una nuova finestra.

  4. Se rimuovi un destinatario, le identità a esso federate non possono assumere ruoli associati al destinatario. Nella finestra, leggi l'avviso e conferma di volere rimuovere il destinatario digitando la parola remove nel campo.

  5. Scegli Rimuovi per rimuovere il destinatario.

Per eliminare un provider di IAM OIDC identità (console)

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, scegli Identity providers (Provider di identità).

  3. Seleziona la casella di controllo accanto al provider di IAM identità che desideri eliminare. Viene visualizzata una nuova finestra.

  4. Conferma che desideri eliminare il provider digitando la parola delete nel campo. Quindi, scegli Elimina.

Creazione e gestione di un provider di IAM OIDC identità (AWS CLI)

È possibile utilizzare i seguenti AWS CLI comandi per creare e gestire i provider di IAM OIDC identità.

Per creare un provider di IAM OIDC identità (AWS CLI)

  1. (Facoltativo) Per ottenere un elenco di tutti i provider di IAM OIDC identità presenti nel tuo AWS account, esegui il comando seguente:

  2. Per creare un nuovo provider di IAM OIDC identità, esegui il comando seguente:

Per aggiornare l'elenco delle miniature dei certificati server per un provider di IAM OIDC identità esistente ()AWS CLI
Per etichettare un provider di IAM OIDC identità esistente ()AWS CLI
Per elencare i tag per un provider di IAM OIDC identità esistente (AWS CLI)
Per rimuovere i tag su un provider di IAM OIDC identità (AWS CLI)
Per aggiungere o rimuovere un ID client da un provider di IAM OIDC identità esistente (AWS CLI)

  1. (Facoltativo) Per ottenere un elenco di tutti i provider di IAM OIDC identità presenti nel tuo AWS account, esegui il comando seguente:

  2. (Facoltativo) Per ottenere informazioni dettagliate su un provider di IAM OIDC identità, esegui il comando seguente:

  3. Per aggiungere un nuovo ID client a un provider di IAM OIDC identità esistente, esegui il comando seguente:

  4. Per rimuovere un client da un provider di IAM OIDC identità esistente, esegui il comando seguente:

Per eliminare un provider di IAM OIDC identità (AWS CLI)

  1. (Facoltativo) Per ottenere un elenco di tutti i provider di IAM OIDC identità presenti nel tuo AWS account, esegui il comando seguente:

  2. (Facoltativo) Per ottenere informazioni dettagliate su un provider di IAM OIDC identità, esegui il comando seguente:

  3. Per eliminare un provider di IAM OIDC identità, esegui il comando seguente:

Creazione e gestione di un provider di OIDC identità (AWS API)

È possibile utilizzare i seguenti IAM API comandi per creare e gestire i OIDC provider.

Per creare un provider di IAM OIDC identità (AWS API)

  1. (Facoltativo) Per ottenere un elenco di tutti i provider di IAM OIDC identità presenti nel tuo AWS account, esegui la seguente operazione:

  2. Per creare un nuovo provider di IAM OIDC identità, esegui la seguente operazione:

Per aggiornare l'elenco delle impronte digitali dei certificati server per un provider di IAM OIDC identità esistente ()AWS API
Per etichettare un provider di IAM OIDC identità esistente ()AWS API

  • Per etichettare un provider di IAM OIDC identità esistente, chiamate la seguente operazione:

Per elencare i tag per un provider di IAM OIDC identità esistente (AWS API)
Per rimuovere i tag su un provider di IAM OIDC identità esistente (AWS API)
Per aggiungere o rimuovere un ID client da un provider di IAM OIDC identità esistente (AWS API)

  1. (Facoltativo) Per ottenere un elenco di tutti i provider di IAM OIDC identità presenti nel tuo AWS account, esegui la seguente operazione:

  2. (Facoltativo) Per ottenere informazioni dettagliate su un provider di IAM OIDC identità, esegui la seguente operazione:

  3. Per aggiungere un nuovo ID client a un provider di IAM OIDC identità esistente, esegui la seguente operazione:

  4. Per rimuovere un ID client da un provider di IAM OIDC identità esistente, esegui la seguente operazione:

Per eliminare un provider di IAM OIDC identità (AWS API)

  1. (Facoltativo) Per ottenere un elenco di tutti i provider di IAM OIDC identità presenti nel tuo AWS account, esegui la seguente operazione:

  2. (Facoltativo) Per ottenere informazioni dettagliate su un provider di IAM OIDC identità, esegui la seguente operazione:

  3. Per eliminare un provider di IAM OIDC identità, esegui la seguente operazione: