Configura applicazioni OAuth 2.0 gestite dal cliente per la propagazione affidabile delle identità - AWS IAM Identity Center
Seleziona il tipo di applicazioneFase 2: Specificare i dettagli dell'applicazionePassaggio 3: Specificare le impostazioni di autenticazionePassaggio 4: Specificare le credenziali dell'applicazionePassaggio 5: revisione e configurazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura applicazioni OAuth 2.0 gestite dal cliente per la propagazione affidabile delle identità

Per configurare un'applicazione Customer Managed OAuth 2.0 per la propagazione affidabile delle identità, devi prima aggiungerla a IAM Identity Center. Utilizza la seguente procedura per aggiungere l'applicazione a IAM Identity Center.

Fase 1: Seleziona il tipo di applicazione

  1. Apri la console Centro identità IAM.

  2. Selezionare Applications (Applicazioni).

  3. Scegli la scheda Gestione clienti.

  4. Scegli Aggiungi applicazione.

  5. Nella pagina Seleziona tipo di applicazione, alla voce Preferenze di impostazione, scegli Applicazione da configurare presente.

  6. In Tipo di applicazione, scegli OAuth 2.0.

  7. Scegliete Avanti per passare alla pagina successiva,Fase 2: Specificare i dettagli dell'applicazione.

Fase 2: Specificare i dettagli dell'applicazione

  1. Nella pagina Specificare i dettagli dell'applicazione, in Nome e descrizione dell'applicazione, immettere un nome visualizzato per l'applicazione, ad esempioMyApp. Quindi, inserisci una descrizione.

  2. In Metodo di assegnazione a utenti e gruppi, scegli una delle seguenti opzioni:

    • Richiedi assegnazioni: consenti solo agli utenti e ai gruppi di IAM Identity Center assegnati a questa applicazione di accedere all'applicazione.

      Visibilità dei riquadri dell'applicazione: solo gli utenti assegnati all'applicazione direttamente o tramite un'assegnazione di gruppo possono visualizzare il riquadro dell'applicazione nel portale di AWS accesso, a condizione che la visibilità dell'applicazione nel portale di AWS accesso sia impostata su Visibile.

    • Non richiedono assegnazioni: consenti a tutti gli utenti e i gruppi autorizzati di IAM Identity Center di accedere a questa applicazione.

      Visibilità del riquadro dell'applicazione: il riquadro dell'applicazione è visibile a tutti gli utenti che AWS accedono al portale di accesso, a meno che la visibilità dell'applicazione nel portale di AWS accesso non sia impostata su Non visibile.

  3. Nel portale di AWS accesso, inserisci l'URL a cui gli utenti possono accedere all'applicazione e specifica se il riquadro dell'applicazione sarà visibile o meno nel portale di AWS accesso. Se scegliete Non visibile, nemmeno gli utenti assegnati possono visualizzare il riquadro dell'applicazione.

  4. In Tag (opzionale), scegli Aggiungi nuovo tag, quindi specifica i valori per Chiave e Valore (opzionale).

    Per ulteriori informazioni sui tag, consulta Assegnazione di tag AWS IAM Identity Center risorse.

  5. Scegliete Avanti e passate alla pagina successiva,Passaggio 3: Specificare le impostazioni di autenticazione.

Passaggio 3: Specificare le impostazioni di autenticazione

Per aggiungere un'applicazione gestita dal cliente che supporti la OAuth versione 2.0 a IAM Identity Center, devi specificare un emittente di token affidabile. Un emittente di token affidabile è un server di autorizzazione OAuth 2.0 che crea token firmati. Questi token autorizzano le applicazioni che avviano richieste (richieste di applicazioni) per l'accesso alle applicazioni AWS gestite (applicazioni di ricezione).

  1. Nella pagina Specificare le impostazioni di autenticazione, in Trusted token issuers, esegui una delle seguenti operazioni:

    • Per utilizzare un emittente di token affidabile esistente:

      Seleziona la casella di controllo accanto al nome dell'emittente di token affidabile che desideri utilizzare.

    • Per aggiungere un nuovo emittente affidabile di token:

      1. Scegli Crea emittente di token attendibili.

      2. Si apre una nuova scheda del browser. Segui i passaggi da 5 a 8 polliciCome aggiungere un emittente di token affidabile alla console IAM Identity Center.

      3. Dopo aver completato questi passaggi, torna alla finestra del browser che stai utilizzando per la configurazione dell'applicazione e seleziona l'emittente di token affidabile che hai appena aggiunto.

      4. Nell'elenco degli emittenti di token affidabili, seleziona la casella di controllo accanto al nome dell'emittente di token affidabile che hai appena aggiunto.

        Dopo aver selezionato un emittente di token attendibile, viene visualizzata la sezione Configura gli emittenti di token affidabili selezionati.

  2. In Configura emittenti di token affidabili selezionati, inserisci il reclamo Aud. L'attestazione Aud identifica il pubblico (destinatari) previsto per il token generato dall'emittente affidabile del token. Per ulteriori informazioni, consulta Reclamo Audi.

  3. Per evitare che gli utenti debbano riautenticarsi quando utilizzano questa applicazione, seleziona Enable refresh token grant. Se selezionata, questa opzione aggiorna il token di accesso per la sessione ogni 60 minuti, fino alla scadenza della sessione o fino alla fine della sessione da parte dell'utente.

  4. Scegliete Avanti e passate alla pagina successiva,. Passaggio 4: Specificare le credenziali dell'applicazione

Passaggio 4: Specificare le credenziali dell'applicazione

Completate i passaggi di questa procedura per specificare le credenziali utilizzate dall'applicazione per eseguire azioni di scambio di token con applicazioni attendibili. Queste credenziali vengono utilizzate in una politica basata sulle risorse. La politica richiede che l'utente specifichi un responsabile che disponga delle autorizzazioni per eseguire le azioni specificate nella politica. È necessario specificare un principale, anche se le applicazioni attendibili si trovano nella stessa Account AWS.

Nota

Quando imposti le autorizzazioni con le politiche, concedi solo le autorizzazioni necessarie per eseguire un'attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi.

Questa politica richiede l'azione. sso-oauth:CreateTokenWithIAM

  1. Nella pagina Specificare le credenziali dell'applicazione, effettuate una delle seguenti operazioni:

    • Per specificare rapidamente uno o più ruoli IAM:

      1. Scegli Inserisci uno o più ruoli IAM.

      2. In Inserisci ruoli IAM, specifica l'Amazon Resource Name (ARN) di un ruolo IAM esistente. Per specificare l'ARN, utilizzare la sintassi seguente. La porzione di regione dell'ARN è vuota perché le risorse IAM sono globali. 

          arn:aws:iam::account:role/role-name-with-path

        Per ulteriori informazioni, consulta Accesso tra account tramite politiche basate sulle risorse e IAM nella Guida per l'utente. ARNs AWS Identity and Access Management

    • Per modificare manualmente la policy (richiesta se si specificano non credenziali):AWS

      1. Seleziona Modifica la politica dell'applicazione.

      2. Modifica la tua politica digitando o incollando il testo nella casella di testo JSON.

      3. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida delle politiche. Per ulteriori informazioni, consulta la sezione Convalida delle politiche IAM nella Guida per l'utente.AWS Identity and Access Management

  2. Scegli Avanti e passa alla pagina successiva,Passaggio 5: revisione e configurazione.

Passaggio 5: revisione e configurazione

  1. Nella pagina Rivedi e configura, esamina le scelte che hai fatto. Per apportare modifiche, scegli la sezione di configurazione desiderata, scegli Modifica e apporta le modifiche richieste.

  2. Al termine, scegli Aggiungi applicazione.

  3. L'applicazione che hai aggiunto viene visualizzata nell'elenco delle applicazioni gestite dal cliente.

  4. Dopo aver configurato l'applicazione gestita dal cliente in IAM Identity Center, devi specificare uno o più AWS servizi, o applicazioni affidabili, per la propagazione dell'identità. Ciò consente agli utenti di accedere all'applicazione gestita dal cliente e accedere ai dati nell'applicazione affidabile.

    Per ulteriori informazioni, consulta Specificare applicazioni attendibili .