信頼できる ID の伝播の概要

信頼できる ID の伝搬により、AWS リソースへのユーザーアクセスをより簡単に定義、付与、記録できます。信頼できる ID の伝播は OAuth 2.0 認可フレームワークに構築されているため、アプリケーションはパスワードを共有しなくてもユーザーデータに安全にアクセスして共有できます。OAuth 2.0 は、アプリケーションリソースへの安全な委任アクセスを提供します。リソース管理者が、ユーザーがサインインしているアプリケーションに、他のアプリケーションへのアクセスを承認または委任するため、アクセスが委任されます。

ユーザーパスワードを共有しないようにするため、信頼できる ID の伝播ではトークンを使用します。トークンは、信頼できるアプリケーションが、ユーザーが誰で、2 つのアプリケーション間でどのようなリクエストが許可されているかをリクエストするための標準的な方法です。信頼できる ID の伝播と統合する AWS マネージドアプリケーションは、IAM アイデンティティセンターから直接トークンを取得します。IAM アイデンティティセンターには、外部の OAuth 2.0 認可サーバーからの ID トークンとアクセストークンをアプリケーションが交換するオプションも用意されています。これにより、アプリケーションは AWS の外部でトークンを認証して取得し、そのトークンを IAM アイデンティティセンタートークンと交換し、新しいトークンを使用して AWS サービスにリクエストを行うことができます。詳細については、「信頼できるトークン発行者によるアプリケーションの使用」を参照してください。

OAuth 2.0 プロセスは、ユーザーがアプリケーションにサインインすると開始されます。ユーザーがサインインするアプリケーションは、他のアプリケーションのリソースへのアクセスリクエストを開始します。開始 (リクエスト) アプリケーションは、承認サーバーにトークンをリクエストすることで、ユーザーに代わって受信側のアプリケーションにアクセスできます。認可サーバーはトークンを返し、開始側アプリケーションはそのトークンをアクセスするリクエストとともに受信側アプリケーションに渡します。