Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Provider di credenziali IAM Identity Center
**Nota**
Per informazioni sulla comprensione del layout delle pagine delle impostazioni o sull'interpretazione della tabella **Support by AWS SDKs and tools** riportata di seguito, vedere[Informazioni sulle pagine delle impostazioni di questa guida](settings-reference.md#settingsPages).
Questo meccanismo di autenticazione consente l' AWS IAM Identity Center accesso Single Sign-On (SSO) al Servizi AWS codice.
**Nota**
Nella documentazione dell'API AWS SDK, il provider di credenziali IAM Identity Center è chiamato provider di credenziali SSO.
Dopo aver abilitato IAM Identity Center, definisci un profilo per le relative impostazioni nel file condiviso. AWS `config` Questo profilo viene utilizzato per connettersi al portale di accesso IAM Identity Center. Quando un utente si autentica con successo con IAM Identity Center, il portale restituisce credenziali a breve termine per il ruolo IAM associato a quell'utente. Per scoprire come l'SDK ottiene credenziali temporanee dalla configurazione e le utilizza per le richieste, consulta. Servizio AWS [Come viene risolta l'autenticazione AWS SDKs e gli strumenti di IAM Identity Center](understanding-sso.md)
Esistono due modi per configurare IAM Identity Center tramite il `config` file:
+ **(Consigliata) Configurazione del provider di token SSO**: durate di sessione estese. Include il supporto per durate di sessione personalizzate.
+ **Configurazione legacy non aggiornabile**: utilizza una sessione fissa di otto ore.
In entrambe le configurazioni, è necessario accedere nuovamente alla scadenza della sessione.
Le due guide seguenti contengono informazioni aggiuntive su IAM Identity Center:
+ [AWS IAM Identity Center Guida per l'utente](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
+ [AWS IAM Identity Center Riferimento all'API del portale](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/Welcome.html)
Per un'analisi approfondita su come gli strumenti SDKs e utilizzano e aggiornano le credenziali utilizzando questa configurazione, consulta. [Come viene risolta l'autenticazione AWS SDKs e gli strumenti di IAM Identity Center](understanding-sso.md)
## Prerequisiti
Devi prima abilitare IAM Identity Center. Per i dettagli sull'attivazione dell'autenticazione IAM Identity Center, consulta [Enabling AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html) nella *AWS IAM Identity Center User Guide*.
**Nota**
In alternativa, per i prerequisiti completi **e** la necessaria configurazione dei `config` file condivisi, descritta in dettaglio in questa pagina, consulta le istruzioni guidate per la configurazione[Utilizzo di IAM Identity Center per autenticare AWS SDK e strumenti](access-sso.md).
## Configurazione del provider di token SSO
Quando utilizzi la configurazione del provider di token SSO, l' AWS SDK o lo strumento aggiorna automaticamente la sessione fino al periodo di sessione prolungato. *Per ulteriori informazioni sulla durata della sessione e sulla durata massima, consulta [Configurare la durata della sessione del portale di AWS accesso e delle applicazioni integrate IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-user-session.html) nella Guida per l'AWS IAM Identity Center utente.*
La `sso-session` sezione del `config` file viene utilizzata per raggruppare le variabili di configurazione per l'acquisizione dei token di accesso SSO, che possono quindi essere utilizzati per acquisire le credenziali. AWS Per ulteriori dettagli su questa sezione all'interno di un `config` file, vedere. [Formato del file di configurazione](file-format.md#file-format-config)
Il seguente esempio di `config` file condiviso configura l'SDK o lo strumento utilizzando un `dev` profilo per richiedere le credenziali IAM Identity Center.
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```
Gli esempi precedenti mostrano che è possibile definire una `sso-session` sezione e associarla a un profilo. In genere, `sso_account_id` e `sso_role_name` deve essere impostato nella `profile` sezione in modo che l'SDK possa richiedere AWS le credenziali. `sso_region``sso_start_url`, e `sso_registration_scopes` deve essere impostato all'interno della `sso-session` sezione.
`sso_account_id`e `sso_role_name` non sono necessari per tutti gli scenari di configurazione del token SSO. Se l'applicazione utilizza solo il supporto per Servizi AWS l'autenticazione al portatore, non sono necessarie AWS le credenziali tradizionali. Questo tipo di autenticazione è uno schema di autenticazione HTTP che utilizza token di sicurezza noti come token di connessione. In questo scenario le impostazioni `sso_account_id` e `sso_role_name` non sono obbligatorie. Consulta la Servizio AWS guida individuale per determinare se il servizio supporta l'autorizzazione con token al portatore.
Gli ambiti di registrazione sono configurati come parte di un. `sso-session` L'ambito è un meccanismo OAuth 2.0 per limitare l'accesso di un'applicazione all'account di un utente. L'esempio precedente prevede `sso_registration_scopes` di fornire l'accesso necessario per elencare account e ruoli.
L'esempio seguente mostra come riutilizzare la stessa `sso-session` configurazione su più profili.
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```
Il token di autenticazione viene memorizzato nella cache su disco all'interno della `~/.aws/sso/cache` directory con un nome di file basato sul nome della sessione.
## Configurazione legacy non aggiornabile
L’aggiornamento automatico dei token non è supportato utilizzando la configurazione legacy non aggiornabile. Si consiglia invece di utilizzare. [Configurazione del provider di token SSO](#sso-token-config)
Per utilizzare la configurazione precedente non aggiornabile, è necessario specificare le seguenti impostazioni all'interno del profilo:
+ `sso_start_url`
+ `sso_region`
+ `sso_account_id`
+ `sso_role_name`
Si specifica il portale utente per un profilo con le impostazioni `sso_start_url` and`sso_region`. Le autorizzazioni vengono specificate con le `sso_role_name` impostazioni `sso_account_id` e.
L'esempio seguente imposta i quattro valori obbligatori nel `config` file.
```
[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
```
Il token di autenticazione viene memorizzato nella cache su disco all'interno della `~/.aws/sso/cache` directory con un nome di file basato su. `sso_start_url`
## Impostazioni del provider di credenziali IAM Identity Center
Configura questa funzionalità utilizzando quanto segue:
**`sso_start_url`- impostazione dei AWS `config` file condivisi**
L'URL che rimanda all'URL dell'emittente dello IAM Identity Center o all'URL del portale di accesso della tua organizzazione. Per ulteriori informazioni, consulta [Using the AWS access portal](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-the-portal.html) nella *AWS IAM Identity Center User Guide*.
Per trovare questo valore, apri la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), visualizza la **dashboard**, trova **AWS l'URL del portale di accesso**.
+ In alternativa, a partire dalla versione **2.22.0** di AWS CLI, puoi invece utilizzare il valore per **AWS Issuer** URL.
**`sso_region`- impostazione condivisa dei file AWS `config`**
Il Regione AWS che contiene l'host del portale IAM Identity Center, ovvero la regione selezionata prima di abilitare IAM Identity Center. È indipendente dalla AWS regione predefinita e può essere diversa.
Per un elenco completo di Regioni AWS e dei relativi codici, consulta [Endpoint regionali](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints) nel *Riferimenti generali di Amazon Web Services*. Per trovare questo valore, apri la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), visualizza la **dashboard** e trova **Region**.
**`sso_account_id`- impostazione dei AWS `config` file condivisi**
L'ID numerico di Account AWS che è stato aggiunto tramite il AWS Organizations servizio da utilizzare per l'autenticazione.
Per visualizzare l'elenco degli account disponibili, vai alla [console IAM Identity Center](https://console.aws.amazon.com/singlesignon) e apri la **Account AWS**pagina. Puoi anche visualizzare l'elenco degli account disponibili utilizzando il metodo [ListAccounts](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_ListAccounts.html)API nel *AWS IAM Identity Center Portal API Reference*. Ad esempio, puoi chiamare il AWS CLI metodo [list-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso/list-accounts.html).
**`sso_role_name`- impostazione di file condivisi AWS `config`**
Il nome di un set di autorizzazioni fornito come ruolo IAM che definisce le autorizzazioni risultanti dell'utente. Il ruolo deve esistere nel file Account AWS specificato da. `sso_account_id` Usa il nome del ruolo, non il ruolo Amazon Resource Name (ARN).
I set di autorizzazioni sono associati a politiche IAM e politiche di autorizzazione personalizzate e definiscono il livello di accesso degli utenti ai dati loro assegnati. Account AWS
Per visualizzare l'elenco dei set di autorizzazioni disponibili per Account AWS, vai alla [console IAM Identity Center](https://console.aws.amazon.com/singlesignon) e apri la **Account AWS**pagina. Scegli il nome corretto del set di autorizzazioni elencato nella Account AWS tabella. Puoi anche visualizzare l'elenco dei set di autorizzazioni disponibili utilizzando il metodo [ListAccountRoles](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_ListAccountRoles.html)API nel *AWS IAM Identity Center Portal API Reference*. Ad esempio, puoi chiamare il AWS CLI metodo [list-account-roles](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso/list-account-roles.html).
**`sso_registration_scopes`- impostazione di AWS `config` file condivisi**
Un elenco delimitato da virgole di stringhe di ambito valide da autorizzare per. `sso-session` Un’applicazione può richiedere uno o più ambiti e il token di accesso emesso all’applicazione è limitato agli ambiti consentiti. È `sso:account:access` necessario concedere un ambito minimo di per ottenere un token di aggiornamento dal servizio IAM Identity Center. Per l'elenco delle opzioni di ambito di accesso disponibili, consulta [Access scopes nella Guida](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) per l'*AWS IAM Identity Center utente*.
Questi ambiti definiscono le autorizzazioni richieste per l’autorizzazione per il client OIDC registrato e i token di accesso recuperati dal client. Gli ambiti autorizzano l’accesso agli endpoint autorizzati con token di connessione del Centro identità IAM.
Questa impostazione non si applica alla configurazione precedente non aggiornabile. I token emessi utilizzando la configurazione legacy sono limitati all'ambito implicito. `sso:account:access`
## Support by AWS SDKs and tools
Di seguito sono SDKs supportate le funzionalità e le impostazioni descritte in questo argomento. Vengono annotate eventuali eccezioni parziali. Tutte le impostazioni delle proprietà del sistema JVM sono supportate solo da AWS SDK per Java and the. AWS SDK per Kotlin
| SDK | Supportata | Note o ulteriori informazioni |
| --- | --- | --- |
| [AWS CLI ](https://docs.aws.amazon.com/cli/latest/userguide/) v2 | Sì | |
| [SDK per C\$1\$1](https://docs.aws.amazon.com/sdk-for-cpp/latest/developer-guide/) | Sì | |
| [SDK per Go V2 (1.x)](https://docs.aws.amazon.com/sdk-for-go/v2/developer-guide/) | Sì | |
| [SDK per Go 1.x (V1)](https://docs.aws.amazon.com/sdk-for-go/latest/developer-guide/) | Sì | [Per utilizzare le impostazioni dei `config` file condivisi, devi attivare il caricamento dal file di configurazione; vedi Sessioni.](https://docs.aws.amazon.com/sdk-for-go/api/aws/session/) |
| [SDK per Java 2.x](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/) | Sì | Valori di configurazione supportati anche nel credentials file. |
| [SDK per Java 1.x](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/) | No | |
| [SDK per 3.x JavaScript ](https://docs.aws.amazon.com/sdk-for-javascript/latest/developer-guide/) | Sì | |
| [SDK per 2.x JavaScript ](https://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/) | Sì | |
| [SDK per Kotlin](https://docs.aws.amazon.com/sdk-for-kotlin/latest/developer-guide/) | Sì | |
| [SDK per.NET 4.x](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/) | Sì | |
| [SDK per.NET 3.x](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/) | Sì | |
| [SDK per PHP 3.x](https://docs.aws.amazon.com/sdk-for-php/latest/developer-guide/) | Sì | |
| [SDK per Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html) | Sì | |
| [SDK per Ruby 3.x](https://docs.aws.amazon.com/sdk-for-ruby/latest/developer-guide/) | Sì | |
| [SDK per Rust](https://docs.aws.amazon.com/sdk-for-rust/latest/dg/) | Parziale | Solo configurazione precedente non aggiornabile. |
| [SDK per Swift](https://docs.aws.amazon.com/sdk-for-swift/latest/developer-guide/) | Sì | |
| [Strumenti per V5 PowerShell ](https://docs.aws.amazon.com/powershell/latest/userguide/) | Sì | |
| [Strumenti per PowerShell V4](https://docs.aws.amazon.com/powershell/v4/userguide/) | Sì | |