Configurazione di un emittente di token affidabile - AWS IAM Identity Center
Coordinamento dei ruoli e delle responsabilità amministrativeAttività per la configurazione di un emittente di token affidabileCome aggiungere un emittente di token affidabile alla console di IAM Identity CenterCome visualizzare o modificare le impostazioni degli emittenti di token affidabili nella console Identity Center IAMProcesso di configurazione e flusso di richiesta per le applicazioni che utilizzano un emittente di token affidabile

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di un emittente di token affidabile

Per abilitare la propagazione affidabile dell'identità per un'applicazione che si autentica esternamente su IAM Identity Center, uno o più amministratori devono configurare un emittente di token affidabile. Un emittente di token affidabile è un server di autorizzazione OAuth 2.0 che rilascia token alle applicazioni che avviano richieste (applicazioni che richiedono). I token autorizzano queste applicazioni ad avviare richieste per conto dei rispettivi utenti verso un'applicazione ricevente (un AWS servizio).

Coordinamento dei ruoli e delle responsabilità amministrative

In alcuni casi, un singolo amministratore può eseguire tutte le attività necessarie per configurare un emittente di token affidabile. Se più amministratori eseguono queste attività, è necessario uno stretto coordinamento. La tabella seguente descrive come più amministratori potrebbero coordinarsi per impostare e configurare un emittente di token affidabile AWS servizio per usarlo.

Nota

L'applicazione può essere qualsiasi AWS servizio integrato con IAM Identity Center che supporta la propagazione affidabile delle identità.

Per ulteriori informazioni, consulta Attività per la configurazione di un emittente di token affidabile.

Ruolo Esegue queste attività Si coordina con
IAMAmministratore dell'Identity Center

Aggiunge l'IdP esterno come emittente di token affidabile alla console di IAM Identity Center.

Aiuta a configurare la corretta mappatura degli attributi tra IAM Identity Center e l'IdP esterno.

Notifica il AWS amministratore del servizio quando l'emittente affidabile del token viene aggiunto alla console di IAM Identity Center.

Amministratore IdP esterno (trusted token issuer)

AWS amministratore del servizio
Amministratore IdP esterno (trusted token issuer)

Configura l'IdP esterno per l'emissione di token.

Aiuta a configurare la corretta mappatura degli attributi tra IAM Identity Center e l'IdP esterno.

Fornisce il nome del pubblico (Aud claim) al AWS amministratore del servizio.

IAMAmministratore di Identity Center

AWS amministratore del servizio
AWS amministratore del servizio

Controlla il AWS console di servizio per l'emittente affidabile del token. L'emittente affidabile del token sarà visibile nel AWS console di servizio dopo che l'amministratore di IAM Identity Center l'ha aggiunta alla console di IAM Identity Center.

Configura il AWS servizio per utilizzare l'emittente affidabile del token.

IAMAmministratore dell'Identity Center

Amministratore IdP esterno (trusted token issuer)

Attività per la configurazione di un emittente di token affidabile

Per configurare un emittente di token affidabile, un amministratore di IAM Identity Center, un amministratore IdP esterno (trusted token issuer) e un amministratore dell'applicazione devono completare le seguenti attività.

Nota

L'applicazione può essere qualsiasi AWS servizio integrato con IAM Identity Center che supporta la propagazione affidabile delle identità.

  1. Aggiungi l'emittente di token affidabile a IAM Identity Center: l'amministratore di IAM Identity Center aggiunge l'emittente di token affidabile utilizzando la console IAM Identity Center o. APIs Questa configurazione richiede di specificare quanto segue:

    • Un nome per l'emittente affidabile del token.

    • L'endpoint di OIDC rilevamento URL (nella console di IAM Identity Center, URL è chiamato URLemittente). L'endpoint di rilevamento deve essere raggiungibile solo tramite le porte 80 e 443.

    • Mappatura degli attributi per la ricerca degli utenti. Questa mappatura degli attributi viene utilizzata in un claim nel token generato dall'emittente affidabile del token. Il valore nell'attestazione viene utilizzato per la ricerca in IAM Identity Center. La ricerca utilizza l'attributo specificato per recuperare un singolo utente in IAM Identity Center.

  2. Connect AWS servizio a IAM Identity Center — The AWS l'amministratore del servizio deve connettere l'applicazione a IAM Identity Center utilizzando la console dell'applicazione o dell'applicazioneAPIs.

    Dopo che l'emittente affidabile del token è stato aggiunto alla console di IAM Identity Center, è visibile anche nella AWS console di servizio e disponibile per AWS amministratore del servizio da selezionare.

  3. Configura l'uso dello scambio di token — In AWS console di servizio, AWS configurazioni dell'amministratore del servizio AWS servizio per accettare i token emessi dall'emittente di token affidabile. Questi token vengono scambiati con token generati da Identity Center. IAM Ciò richiede di specificare il nome dell'emittente affidabile del token riportato nella Fase 1 e il valore del reclamo Aud che corrisponde al AWS servizio.

    L'emittente affidabile del token inserisce il valore del reclamo Aud nel token emesso per indicare che il token è destinato all'uso da parte di AWS servizio. Per ottenere questo valore, contattate l'amministratore dell'emittente affidabile del token.

Come aggiungere un emittente di token affidabile alla console di IAM Identity Center

In un'organizzazione con più amministratori, questa attività viene eseguita da un amministratore di IAM Identity Center. Se sei l'amministratore di IAM Identity Center, devi scegliere quale IdP esterno utilizzare come emittente di token affidabile.

Per aggiungere un emittente di token affidabile alla console di Identity Center IAM

  1. Aprire la console IAM Identity Center.

  2. Seleziona Impostazioni.

  3. Nella pagina Impostazioni, scegli la scheda Autenticazione.

  4. In Trusted token issuers, scegli Crea un emittente di token affidabile.

  5. Nella pagina Configura un IdP esterno per l'emissione di token affidabili, in Dettagli sull'emittente del token affidabile, procedi come segue:

    • Per Issuer URL, specifica l'OIDCindividuazione URL dell'IdP esterno che emetterà i token per la propagazione delle identità affidabili. È necessario specificare la versione originale URL dell'endpoint di rilevamento. .well-known/openid-configuration L'amministratore dell'IdP esterno può fornirlo. URL

      Nota

      Nota Questo URL deve corrispondere all'URLattestazione dell'Emittente (iss) nei token emessi per la propagazione di identità affidabili.

    • Per il nome dell'emittente affidabile del token, immettete un nome per identificare questo emittente di token affidabile in IAM Identity Center e nella console dell'applicazione.

  6. In Attributi della mappa, procedi come segue:

    • Per l'attributo del provider di identità, seleziona un attributo dall'elenco da mappare a un attributo nell'archivio di IAM identità di Identity Center.

    • Per IAMl'attributo Identity Center, selezionare l'attributo corrispondente per la mappatura degli attributi.

  7. In Tag (opzionale), scegli Aggiungi nuovo tag, specifica un valore per Chiave e, facoltativamente, per Valore.

    Per ulteriori informazioni sui tag, consulta Assegnazione di tag AWS IAM Identity Center risorse.

  8. Scegli Crea un emittente di token affidabile.

  9. Dopo aver completato la creazione dell'emittente di token affidabile, contatta l'amministratore dell'applicazione per comunicargli il nome dell'emittente del token affidabile, in modo che possa confermare che l'emittente del token affidabile è visibile nella console applicabile.

  10. L'amministratore dell'applicazione deve selezionare questo emittente di token affidabile nella console applicabile per consentire l'accesso degli utenti all'applicazione dalle applicazioni configurate per la propagazione delle identità affidabili.

Come visualizzare o modificare le impostazioni degli emittenti di token affidabili nella console Identity Center IAM

Dopo aver aggiunto un emittente di token affidabile alla console di IAM Identity Center, è possibile visualizzare e modificare le impostazioni pertinenti.

Se prevedi di modificare le impostazioni dell'emittente di token affidabili, tieni presente che così facendo gli utenti potrebbero perdere l'accesso a tutte le applicazioni configurate per utilizzare l'emittente di token affidabili. Per evitare di interrompere l'accesso degli utenti, consigliamo di coordinarsi con gli amministratori di tutte le applicazioni configurate per utilizzare l'emittente di token affidabile prima di modificare le impostazioni.

Per visualizzare o modificare le impostazioni dell'emittente di token affidabili nella console di Identity Center IAM

  1. Aprire la console IAM Identity Center.

  2. Seleziona Impostazioni.

  3. Nella pagina Impostazioni, scegli la scheda Autenticazione.

  4. In Emittenti di token affidabili, seleziona l'emittente di token affidabile che desideri visualizzare o modificare.

  5. Seleziona Azioni, quindi scegli Modifica.

  6. Nella pagina Modifica emittente di token affidabili, visualizza o modifica le impostazioni in base alle esigenze. È possibile modificare il nome dell'emittente del token affidabile, le mappature degli attributi e i tag.

  7. Scegli Save changes (Salva modifiche).

  8. Nella finestra di dialogo Modifica emittente di token affidabili, ti viene richiesto di confermare che desideri apportare modifiche. Scegli Conferma.

Processo di configurazione e flusso di richiesta per le applicazioni che utilizzano un emittente di token affidabile

Questa sezione descrive il processo di configurazione e il flusso di richiesta per le applicazioni che utilizzano un emittente di token affidabile per la propagazione dell'identità affidabile. Il diagramma seguente fornisce una panoramica di questo processo.

Processo di configurazione e flussi di richiesta per le app che utilizzano Trusted Token Emittent per la propagazione affidabile delle identità

I passaggi seguenti forniscono informazioni aggiuntive su questo processo.

  1. Configura IAM Identity Center e la ricezione AWS applicazione gestita per utilizzare un emittente di token affidabile. Per informazioni, consultare Attività per la configurazione di un emittente di token affidabile.

  2. Il flusso di richieste inizia quando un utente apre l'applicazione richiedente.

  3. L'applicazione richiedente richiede un token all'emittente affidabile del token per avviare le richieste al destinatario AWS applicazione gestita. Se l'utente non si è ancora autenticato, questo processo attiva un flusso di autenticazione. Il token contiene le seguenti informazioni:

    • L'oggetto (Sub) dell'utente.

    • L'attributo utilizzato da IAM Identity Center per cercare l'utente corrispondente in IAM Identity Center.

    • Un'affermazione di tipo di pubblico (Aud) che contiene un valore che l'emittente affidabile del token associa al destinatario AWS applicazione gestita. Se sono presenti altre attestazioni, non vengono utilizzate da IAM Identity Center.

  4. L'applicazione richiedente o AWS il driver utilizzato passa il token a IAM Identity Center e richiede che il token venga sostituito con un token generato da IAM Identity Center. Se si utilizza un AWS driver, potrebbe essere necessario configurare il driver per questo caso d'uso. Per ulteriori informazioni, consulta la documentazione relativa al AWS applicazione gestita.

  5. IAMIdentity Center utilizza l'endpoint OIDC Discovery per ottenere la chiave pubblica che può utilizzare per verificare l'autenticità del token. IAMIdentity Center esegue quindi le seguenti operazioni:

    • Verifica il token.

    • Cerca nella directory di Identity Center. A tale scopo, IAM Identity Center utilizza l'attributo mappato specificato nel token.

    • Verifica che l'utente sia autorizzato ad accedere all'applicazione ricevente. Se il file AWS l'applicazione gestita è configurata per richiedere assegnazioni a utenti e gruppi, l'utente deve disporre di un'assegnazione diretta o basata sul gruppo all'applicazione; in caso contrario la richiesta viene rifiutata. Se il file AWS l'applicazione gestita è configurata per non richiedere assegnazioni a utenti e gruppi, l'elaborazione continua.

      Nota

      AWS i servizi hanno una configurazione di impostazione predefinita che determina se sono necessarie assegnazioni per utenti e gruppi. Si consiglia di non modificare l'impostazione Richiedi assegnazioni per queste applicazioni se si prevede di utilizzarle con una propagazione affidabile delle identità. Anche se sono state configurate autorizzazioni dettagliate che consentono l'accesso degli utenti a risorse applicative specifiche, la modifica dell'impostazione Richiedi assegnazioni potrebbe causare comportamenti imprevisti, tra cui l'interruzione dell'accesso degli utenti a tali risorse.

    • Verifica che l'applicazione richiedente sia configurata per utilizzare ambiti validi per la ricezione AWS applicazione gestita.

  6. Se i passaggi di verifica precedenti hanno esito positivo, IAM Identity Center crea un nuovo token. Il nuovo token è un token opaco (crittografato) che include l'identità dell'utente corrispondente in IAM Identity Center, il pubblico (Aud) del destinatario AWS applicazione gestita e gli ambiti che l'applicazione richiedente può utilizzare per effettuare richieste al destinatario AWS applicazione gestita.

  7. L'applicazione richiedente, o il driver che utilizza, avvia una richiesta di risorse all'applicazione ricevente e passa il token generato da IAM Identity Center all'applicazione ricevente.

  8. L'applicazione ricevente effettua chiamate a IAM Identity Center per ottenere l'identità dell'utente e gli ambiti codificati nel token. Potrebbe anche effettuare richieste per ottenere gli attributi utente o l'appartenenza ai gruppi dell'utente dalla directory di Identity Center.

  9. L'applicazione ricevente utilizza la propria configurazione di autorizzazione per determinare se l'utente è autorizzato ad accedere alla risorsa dell'applicazione richiesta.

  10. Se l'utente è autorizzato ad accedere alla risorsa dell'applicazione richiesta, l'applicazione ricevente risponde alla richiesta.

  11. L'identità dell'utente, le azioni eseguite per suo conto e altri eventi registrati nei registri e CloudTrail negli eventi dell'applicazione ricevente. Il modo specifico in cui queste informazioni vengono registrate varia in base all'applicazione.