Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Applicazioni gestite dal cliente
IAM Identity Center funge da servizio di identità centrale per gli utenti e i gruppi della forza lavoro. Se utilizzi già un provider di identità (IdP), IAM Identity Center può integrarsi con il tuo IdP in modo da poter fornire utenti e gruppi in IAM Identity Center e utilizzare il tuo IdP per l'autenticazione. Con una singola connessione, IAM Identity Center rappresenta il tuo IdP di fronte a più utenti Servizi AWS e consente alle tue applicazioni OAuth 2.0 di richiedere l'accesso ai dati di questi servizi per conto dei tuoi utenti. Puoi anche utilizzare IAM Identity Center per assegnare ai tuoi utenti l'accesso alle applicazioni [SAML 2.0.](https://wiki.oasis-open.org/security) Ciò include AWS servizi come Amazon Connect e AWS Client VPN, che si integrano con IAM Identity Center utilizzando esclusivamente SAML e sono quindi classificati come applicazioni gestite dai clienti.
+ Se la tua applicazione supporta **JSON Web Tokens (JWTs)**, puoi utilizzare la funzionalità di propagazione dell'identità affidabile di IAM Identity Center per consentire all'applicazione di richiedere l'accesso ai dati per conto dei tuoi utenti. Servizi AWS La propagazione affidabile delle identità si basa sul OAuth 2.0 Authorization Framework e include un'opzione per consentire alle applicazioni di scambiare token di identità provenienti da un server di autorizzazione OAuth 2.0 esterno con token emessi da IAM Identity Center e riconosciuti da. Servizi AWS Per ulteriori informazioni, consulta [Casi d'uso affidabili per la propagazione delle identità](trustedidentitypropagation-integrations.md).
+ Se la tua applicazione supporta **SAML 2.0**, puoi collegarla a un'[istanza organizzativa](identity-center-instances.md) di IAM Identity Center. Puoi utilizzare IAM Identity Center per assegnare l'accesso alla tua applicazione SAML 2.0.
**Nota**
Quando integri applicazioni gestite dal cliente con un'istanza IAM Identity Center che utilizza una [chiave KMS gestita dal cliente](encryption-at-rest.md), verifica se l'applicazione richiama il servizio IAM Identity Center APIs per confermare se l'applicazione necessita delle autorizzazioni per le chiavi KMS. [Segui le linee guida per concedere le autorizzazioni chiave KMS ai flussi di lavoro personalizzati nelle politiche chiave KMS di base della Guida per l'utente di IAM Identity Center.](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center)
**Topics**
+ [Accesso Single Sign-On alle applicazioni SAML 2.0 e 2.0 OAuth](customermanagedapps-saml2-oauth2.md)
+ [Configurazione di applicazioni SAML 2.0 gestite dal cliente](customermanagedapps-saml2-setup.md)
# Accesso Single Sign-On alle applicazioni SAML 2.0 e 2.0 OAuth
IAM Identity Center ti consente di fornire ai tuoi utenti l'accesso Single Sign-On alle applicazioni SAML 2.0 o 2.0. OAuth I seguenti argomenti forniscono una panoramica di alto livello di SAML 2.0 e 2.0. OAuth
**Topics**
+ [SAML 2.0](#samlfederationconcept)
+ [OAuth 2.0](#oidc-concept)
## SAML 2.0
SAML 2.0 è uno standard di settore utilizzato per lo scambio sicuro di asserzioni SAML che trasmettono informazioni su un utente tra un'autorità SAML (chiamata provider di identità o IdP) e un consumatore SAML 2.0 (chiamato service provider o SP). IAM Identity Center utilizza queste informazioni per fornire un accesso single sign-on federato agli utenti autorizzati a utilizzare le applicazioni all'interno del portale di accesso. AWS
**Nota**
IAM Identity Center non supporta la convalida delle firme delle richieste di autenticazione SAML in entrata dalle applicazioni SAML.
## OAuth 2.0
OAuth 2.0 è un protocollo che consente alle applicazioni di accedere e condividere i dati degli utenti in modo sicuro senza condividere le password. Questa funzionalità offre agli utenti un modo sicuro e standardizzato per consentire alle applicazioni di accedere alle proprie risorse. L'accesso è facilitato da diversi flussi di sovvenzioni OAuth 2.0.
IAM Identity Center consente alle applicazioni eseguite su client pubblici di recuperare credenziali temporanee per l'accesso Account AWS e i servizi in modo programmatico per conto dei propri utenti. I client pubblici sono in genere desktop, laptop o altri dispositivi mobili utilizzati per eseguire applicazioni localmente. Esempi di AWS applicazioni eseguite su client pubblici includono AWS Command Line Interface (AWS CLI) e AWS Software Development Kit (). Kit di strumenti AWS SDKs Per consentire a queste applicazioni di ottenere credenziali, IAM Identity Center supporta parti dei seguenti flussi OAuth 2.0:
+ [Concessione del codice di autorizzazione con Proof Key for Code Exchange (PKCE) ([RFC 6749 e RFC 7636](https://www.rfc-editor.org/rfc/rfc6749#section-4.1))](https://www.rfc-editor.org/rfc/rfc7636)
+ [Concessione di autorizzazione del dispositivo (RFC 8628)](https://datatracker.ietf.org/doc/html/rfc8628)
**Nota**
Questi tipi di concessione possono essere utilizzati solo con chi supporta Servizi AWS questa funzionalità. Questi servizi potrebbero non supportare affatto questo tipo di sovvenzione Regioni AWS. Consultate la documentazione Servizi AWS relativa alle differenze regionali.
OpenID Connect (OIDC) è un protocollo di autenticazione basato sul Framework 2.0. OAuth OIDC specifica come utilizzare 2.0 per l'autenticazione. OAuth Tramite il [servizio OIDC di IAM Identity Center APIs](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_Operations.html), un'applicazione registra un client OAuth 2.0 e utilizza uno di questi flussi per ottenere un token di accesso che fornisce le autorizzazioni protette a IAM Identity Center. APIs Un'applicazione specifica gli [ambiti di accesso](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#scopes-oidc) per dichiarare l'utente API previsto. Dopo che, in qualità di amministratore di IAM Identity Center, hai configurato la fonte di identità, gli utenti finali dell'applicazione devono completare una procedura di accesso, se non l'hanno già fatto. Gli utenti finali devono quindi fornire il proprio consenso per consentire all'applicazione di effettuare chiamate API. Queste chiamate API vengono effettuate utilizzando le autorizzazioni degli utenti. In risposta, IAM Identity Center restituisce un token di accesso all'applicazione che contiene gli ambiti di accesso a cui gli utenti hanno acconsentito.
### Utilizzo di un flusso di OAuth sovvenzioni 2.0
OAuth I flussi di sovvenzioni 2.0 sono disponibili solo tramite applicazioni AWS gestite che supportano i flussi. Per utilizzare un flusso OAuth 2.0, l'istanza di IAM Identity Center e tutte le applicazioni AWS gestite supportate che utilizzi devono essere distribuite in un'unica Regione AWS soluzione. Consulta la documentazione relativa Servizio AWS a ciascuna di esse per determinare la disponibilità regionale delle applicazioni AWS gestite e l'istanza di IAM Identity Center che desideri utilizzare.
Per utilizzare un'applicazione che utilizza un flusso OAuth 2.0, l'utente finale deve inserire l'URL a cui l'applicazione si connetterà e registrarsi con l'istanza di IAM Identity Center. A seconda dell'applicazione, in qualità di amministratore, devi fornire agli utenti l'URL del **portale di AWS accesso o l'URL** dell'**emittente** della tua istanza di IAM Identity Center. **Puoi trovare queste due impostazioni nella pagina delle impostazioni della [console IAM Identity Center](https://console.aws.amazon.com/singlesignon/).** Per ulteriori informazioni sulla configurazione di un'applicazione client, consulta la documentazione dell'applicazione.
L'esperienza dell'utente finale per accedere a un'applicazione e fornire il consenso dipende dal fatto che l'applicazione utilizzi [Concessione del codice di autorizzazione con PKCE](#auth-code-grant-pkce) o [Concessione di autorizzazione del dispositivo](#device-auth-grant) meno.
#### Concessione del codice di autorizzazione con PKCE
Questo flusso viene utilizzato dalle applicazioni eseguite su un dispositivo dotato di browser.
1. Si apre una finestra del browser.
1. Se l'utente non si è autenticato, il browser lo reindirizza per completare l'autenticazione dell'utente.
1. Dopo l'autenticazione, all'utente viene presentata una schermata di consenso che mostra le seguenti informazioni:
+ Il nome dell'applicazione
+ Gli ambiti di accesso per i quali l'applicazione richiede il consenso all'uso
1. L'utente può annullare la procedura di consenso o dare il proprio consenso e l'applicazione procede con l'accesso in base alle autorizzazioni dell'utente.
#### Concessione di autorizzazione del dispositivo
Questo flusso può essere utilizzato dalle applicazioni eseguite su un dispositivo con o senza browser. Quando l'applicazione avvia il flusso, presenta un URL e un codice utente che l'utente deve verificare successivamente nel flusso. Il codice utente è necessario perché l'applicazione che avvia il flusso potrebbe essere in esecuzione su un dispositivo diverso da quello su cui l'utente fornisce il consenso. Il codice garantisce che l'utente acconsenta al flusso avviato sull'altro dispositivo.
**Nota**
Se hai clienti che lo utilizzano`device.sso.region.amazonaws.com`, devi aggiornare il flusso di autorizzazione per utilizzare Proof Key for Code Exchange (PKCE). Per ulteriori informazioni, consulta [Configurazione dell'autenticazione di IAM Identity Center con la Guida AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) per l'*AWS Command Line Interface utente*.
1. Quando il flusso inizia da un dispositivo con un browser, si apre una finestra del browser. Quando il flusso inizia da un dispositivo senza browser, l'utente deve aprire un browser su un dispositivo diverso e accedere all'URL presentato dall'applicazione.
1. In entrambi i casi, se l'utente non si è autenticato, il browser lo reindirizza per completare l'autenticazione dell'utente.
1. Dopo l'autenticazione, all'utente viene presentata una schermata di consenso che mostra le seguenti informazioni:
+ Il nome dell'applicazione
+ Gli ambiti di accesso per i quali l'applicazione richiede il consenso all'uso
+ Il codice utente che l'applicazione ha presentato all'utente
1. L'utente può annullare la procedura di consenso oppure può dare il proprio consenso e l'applicazione procede con l'accesso in base alle autorizzazioni dell'utente.
### Ambiti di accesso
Un *ambito* definisce l'accesso per un servizio a cui è possibile accedere tramite un flusso OAuth 2.0. Gli ambiti sono un modo per il servizio, chiamato anche server di risorse, di raggruppare le autorizzazioni relative alle azioni e alle risorse del servizio e specificano le operazioni generiche che i client 2.0 possono richiedere. OAuth Quando un client OAuth 2.0 si registra con il [servizio IAM Identity Center OIDC](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html), specifica gli ambiti per dichiarare le azioni previste, per le quali l'utente deve fornire il consenso.
OAuth I client 2.0 utilizzano `scope` i valori definiti nella [sezione 3.3 di OAuth 2.0 (RFC 6749) per specificare quali autorizzazioni vengono richieste](https://www.rfc-editor.org/rfc/rfc6749.html#section-3.3) per un token di accesso. I client possono specificare un massimo di 25 ambiti quando richiedono un token di accesso. Quando un utente fornisce il consenso durante un flusso di concessione del codice di autorizzazione con PKCE o Device Authorization Grant, IAM Identity Center codifica gli ambiti nel token di accesso restituito.
AWS aggiunge gli ambiti a IAM Identity Center per il supporto. Servizi AWS La tabella seguente elenca gli ambiti supportati dal servizio IAM Identity Center OIDC quando si registra un client pubblico.
#### Ambiti di accesso supportati dal servizio OIDC di IAM Identity Center durante la registrazione di un client pubblico
****
| Scope | Description | Servizi supportati da |
| --- | --- | --- |
| sso:account:access | Accedi agli account e ai set di autorizzazioni gestiti da IAM Identity Center. | Centro identità IAM |
| codewhisperer:analysis | Abilita l'accesso all'analisi del codice Kiro. | ID Builder AWS e IAM Identity Center |
| codewhisperer:completions | Abilita l'accesso ai suggerimenti di codice in linea di Kiro. | ID Builder AWS e IAM Identity Center |
| codewhisperer:conversations | Abilita l'accesso alla chat di Kiro. | ID Builder AWS e IAM Identity Center |
| codewhisperer:taskassist | Abilita l'accesso a Kiro Agent per lo sviluppo del software. | ID Builder AWS e IAM Identity Center |
| codewhisperer:transformations | Abilita l'accesso a Kiro Agent per la trasformazione del codice. | ID Builder AWS e IAM Identity Center |
| codecatalyst:read\$1write | Leggi e scrivi sulle tue CodeCatalyst risorse Amazon, permettendo l'accesso a tutte le tue risorse esistenti. | ID Builder AWS e IAM Identity Center |
| verified\$1access:application:connect | Abilita Accesso verificato da AWS | Accesso verificato da AWS |
| redshift:connect | Connect ad Amazon Redshift | Amazon Redshift |
| datazone:domain:access | Accedi al tuo ruolo di esecuzione del DataZone dominio | Amazon DataZone |
| nosqlworkbench:datamodeladviser | Crea e leggi modelli di dati | NoSQL Workbench |
| transform:read\$1write | Abilita l'accesso a AWS Transform Agent per la trasformazione del codice | AWS Trasformazione |
# Configurazione di applicazioni SAML 2.0 gestite dal cliente
Se utilizzi applicazioni gestite dai clienti che supportano [SAML 2.0](https://wiki.oasis-open.org/security), puoi federare il tuo IdP a IAM Identity Center tramite SAML 2.0 e utilizzare IAM Identity Center per gestire l'accesso degli utenti a tali applicazioni. Puoi selezionare un'applicazione SAML 2.0 da un catalogo di applicazioni di uso comune nella console IAM Identity Center oppure puoi configurare la tua applicazione SAML 2.0.
**Nota**
Se disponi di applicazioni gestite dai clienti che supportano la OAuth versione 2.0 e gli utenti devono accedere da tali applicazioni Servizi AWS, puoi utilizzare la propagazione affidabile delle identità. Con la propagazione affidabile delle identità, un utente può accedere a un'applicazione e tale applicazione può trasmettere l'identità degli utenti nelle richieste di accesso ai dati. Servizi AWS
**Topics**
+ [Configura un'applicazione dal catalogo di applicazioni IAM Identity Center](saasapps.md)
+ [Configura la tua applicazione SAML 2.0](customermanagedapps-set-up-your-own-app-saml2.md)
# Configura un'applicazione dal catalogo di applicazioni IAM Identity Center
Puoi utilizzare il catalogo delle applicazioni nella console IAM Identity Center per aggiungere molte applicazioni SAML 2.0 di uso comune che funzionano con IAM Identity Center. Gli esempi includono Salesforce, Box e Microsoft 365.
La maggior parte delle applicazioni fornisce informazioni dettagliate su come impostare la fiducia tra IAM Identity Center e il fornitore di servizi dell'applicazione. Queste informazioni sono disponibili nella pagina di configurazione dell'applicazione, dopo aver selezionato l'applicazione nel catalogo. Dopo aver configurato l'applicazione, puoi assegnare l'accesso a utenti o gruppi in IAM Identity Center in base alle esigenze.
Utilizza questa procedura per configurare una relazione di fiducia SAML 2.0 tra IAM Identity Center e il fornitore di servizi dell'applicazione.
Prima di iniziare questa procedura, è utile disporre del file di scambio di metadati del fornitore di servizi in modo da poter configurare il trust in modo più efficiente. Se non disponi di questo file, puoi comunque utilizzare questa procedura per configurare manualmente il trust it.
**Per aggiungere e configurare un'applicazione dal catalogo delle applicazioni**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Selezionare **Applications (Applicazioni)**.
1. Scegli la scheda **Gestione clienti**.
1. Scegli **Aggiungi applicazione**.
1. Nella pagina **Seleziona il tipo di applicazione**, in **Preferenze di configurazione**, scegli **Desidero selezionare un'applicazione dal catalogo**.
1. In **Catalogo delle applicazioni**, iniziate a digitare il nome dell'applicazione che desiderate aggiungere nella casella di ricerca.
1. Scegliete il nome dell'applicazione dall'elenco quando appare nei risultati della ricerca, quindi scegliete **Avanti**.
1. Nella pagina **Configura applicazione**, i campi **Nome visualizzato** e **Descrizione** sono precompilati con i dettagli pertinenti per l'applicazione. È possibile modificare queste informazioni.
1. Nei **metadati di IAM Identity Center**, procedi come segue:
1. Nel **file di metadati SAML di IAM Identity Center, scegli **Scarica per scaricare** i metadati** del provider di identità.
1. In **Certificato IAM Identity Center**, scegli **Scarica certificato per scaricare il certificato** del provider di identità.
**Nota**
Questi file ti serviranno in seguito, quando configurerai l'applicazione dal sito Web del fornitore di servizi. Segui le istruzioni fornite dal provider.
1. (Facoltativo) In **Proprietà dell'applicazione**, è possibile specificare l'**URL di avvio dell'applicazione**, **lo stato di inoltro** e la **durata della sessione**. Per ulteriori informazioni, consulta [Comprendi le proprietà dell'applicazione nella console IAM Identity Center](appproperties.md).
1. In **Metadati dell'applicazione**, effettuate una delle seguenti operazioni:
1. Se disponi di un file di metadati, scegli **Carica il file di metadati SAML dell'applicazione**. Quindi, seleziona **Scegli il file** per trovare e seleziona il file di metadati.
1. Se non disponi di un file di metadati, scegli **Digita manualmente i valori dei metadati, quindi fornisci i valori** dell'**URL dell'applicazione ACS** e dell'audience SAML **dell'applicazione**.
1. Seleziona **Invia**. Verrai indirizzato alla pagina dei dettagli dell'applicazione che hai appena aggiunto.
# Configura la tua applicazione SAML 2.0
Puoi configurare le tue applicazioni che consentono la federazione delle identità utilizzando SAML 2.0 e aggiungerle a IAM Identity Center. La maggior parte dei passaggi per configurare le proprie applicazioni SAML 2.0 sono gli stessi della configurazione di un'applicazione SAML 2.0 dal catalogo delle applicazioni nella console IAM Identity Center. Tuttavia, è necessario fornire anche mappature degli attributi SAML aggiuntive per le proprie applicazioni SAML 2.0. Queste mappature consentono a IAM Identity Center di compilare correttamente l'asserzione SAML 2.0 per l'applicazione. Puoi fornire questa mappatura aggiuntiva degli attributi SAML quando configuri l'applicazione per la prima volta. Puoi anche fornire mappature degli attributi SAML 2.0 nella pagina dei dettagli dell'applicazione nella console IAM Identity Center.
Utilizza la seguente procedura per configurare una relazione di trust SAML 2.0 tra IAM Identity Center e il provider di servizi dell'applicazione SAML 2.0. Prima di iniziare questa procedura, verifica di disporre del certificato e dei file di scambio dei metadati del provider di servizi in modo poter completare la configurazione del livello di attendibilità.
**Per configurare la tua applicazione SAML 2.0**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Selezionare **Applications (Applicazioni)**.
1. Scegli la scheda **Gestione clienti**.
1. Scegli **Aggiungi applicazione**.
1. Nella pagina **Seleziona tipo di applicazione**, alla voce **Preferenze di impostazione**, scegli **Applicazione da configurare presente**.
1. In **Tipo di applicazione**, scegli **SAML 2.0.**
1. Scegli **Next (Successivo)**.
1. Nella pagina **Configura applicazione**, in **Configura applicazione**, inserisci un **nome visualizzato** per l'applicazione, ad esempio**MyApp**. Quindi, inserisci una **descrizione**.
1. Sotto i **metadati di IAM Identity Center**, procedi come segue:
1. Nel **file di metadati SAML di IAM Identity Center, scegli **Scarica per scaricare** i metadati** del provider di identità.
1. In Certificato **IAM Identity Center, scegli **Scarica per scaricare il** certificato** del provider di identità.
**Nota**
Questi file saranno necessari più tardi durante la configurazione dell'applicazione personalizzata dal sito web del provider di servizi.
1. (Facoltativo) In **Proprietà dell'applicazione**, puoi anche specificare l'**URL di avvio dell'applicazione**, **lo stato di inoltro** e la **durata della sessione**. Per ulteriori informazioni, consulta [Comprendi le proprietà dell'applicazione nella console IAM Identity Center](appproperties.md).
1. In **Metadati dell'applicazione**, scegli **Digita manualmente i valori dei metadati**. Quindi, fornisci i valori di pubblico **Application ACS URL** e **Application SAML dell'applicazione**.
1. Seleziona **Invia**. Verrai indirizzato alla pagina dei dettagli dell'applicazione che hai appena aggiunto.