Configure aplicativos OAuth 2.0 gerenciados pelo cliente para propagação confiável de identidade - AWS IAM Identity Center
Selecionar o tipo de aplicaçãoEtapa 2: especificar detalhes da aplicaçãoEtapa 3: especificar as configurações de autenticaçãoEtapa 4: especificar as credenciais da aplicaçãoEtapa 5: revisar e configurar

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configure aplicativos OAuth 2.0 gerenciados pelo cliente para propagação confiável de identidade

Para configurar um aplicativo OAuth 2.0 gerenciado pelo cliente para propagação confiável de identidade, você deve primeiro adicioná-lo ao IAM Identity Center. Use o procedimento a seguir para adicionar seu aplicativo ao IAM Identity Center.

Etapa 1: selecionar o tipo de aplicação

  1. Abra o console do IAM Identity Center.

  2. Selecione Aplicações.

  3. Escolha a guia Gerenciada pelo cliente.

  4. Escolha Adicionar aplicação.

  5. Na página Selecionar tipo de aplicação, em Preferências de configuração, escolha Eu tenho uma aplicação que quero configurar.

  6. Em Tipo de aplicativo, escolha OAuth2.0.

  7. Escolha Avançar para prosseguir para a próxima página, Etapa 2: especificar detalhes da aplicação.

Etapa 2: especificar detalhes da aplicação

  1. Na página Especificar detalhes da aplicação, em Nome e descrição da aplicação, insira um Nome de exibição para a aplicação, como MyApp. Insira uma Descrição.

  2. Em Método de atribuição de usuário e grupo, escolha uma das seguintes opções:

    • Exigir atribuições — Permita que somente usuários e grupos do IAM Identity Center atribuídos a esse aplicativo acessem o aplicativo.

      Visibilidade do bloco do aplicativo — Somente usuários atribuídos ao aplicativo diretamente ou por meio de uma atribuição em grupo podem visualizar o bloco do aplicativo no portal de AWS acesso, desde que a visibilidade do aplicativo no portal de AWS acesso esteja definida como Visível.

    • Não exija atribuições — Permita que todos os usuários e grupos autorizados do IAM Identity Center acessem esse aplicativo.

      Visibilidade do bloco da aplicação: o bloco da aplicação é visível para todos os usuários que fazem login no Portal de acesso do AWS , a menos que Visibilidade da aplicação no Portal de acesso do AWS esteja definida como Não visível.

  3. Em portal de AWS acesso, insira URL onde os usuários podem acessar o aplicativo e especifique se o mosaico do aplicativo ficará visível ou não no portal de AWS acesso. Se você escolher Não visível, nem mesmo os usuários atribuídos poderão visualizar o bloco da aplicação.

  4. Expanda Tags (opcional), escolha Adicionar nova tag e especifique valores de Chave e Valor (opcional).

    Para obter mais informações sobre tags, consulte Marcando atributos AWS IAM Identity Center.

  5. Escolha Avançar e prossiga para a próxima página, Etapa 3: especificar as configurações de autenticação.

Etapa 3: especificar as configurações de autenticação

Para adicionar um aplicativo gerenciado pelo cliente que suporte OAuth 2.0 ao IAM Identity Center, você deve especificar um emissor de token confiável. Um emissor de token confiável é um servidor de autorização OAuth 2.0 que cria tokens assinados. Esses tokens autorizam aplicativos que iniciam solicitações (solicitando aplicativos) para acessar aplicativos AWS gerenciados (recebimento de aplicativos).

  1. Na página Especificar configurações de autenticação, em Emissores de token confiáveis, faça uma das seguintes alternativas:

    • Para usar um emissor de tokens confiáveis existente:

      Marque a caixa de seleção ao lado do nome do emissor de tokens confiáveis que você deseja excluir.

    • Para adicionar um novo emissor de tokens confiáveis:

      1. Escolha Criar emissor de tokens confiáveis.

      2. Uma nova guia de navegador é aberta. Siga as etapas de 5 a 8 em Como adicionar um emissor de token confiável ao console do IAM Identity Center.

      3. Depois de concluir essas etapas, volte à janela do navegador que você está usando para a configuração da aplicação e selecione o emissor de tokens confiáveis que acabou de adicionar.

      4. Na lista de emissores de tokens confiáveis, marque a caixa de seleção ao lado do nome do emissor de tokens confiáveis que você acabou de adicionar.

        Depois de selecionar um emissor de tokens confiáveis, a seção Configurar os emissores de tokens confiáveis selecionados é exibida.

  2. Em Configurar os emissores de token confiáveis selecionados, insira a declaração Aud. A declaração Aud identifica o público-alvo (destinatários) do token gerado pelo emissor de tokens confiáveis. Para obter mais informações, consulte Declaração de Aud.

  3. Para evitar que os usuários precisem ser autenticados novamente quando estiverem usando essa aplicação, selecione Habilitar concessão de tokens de atualização. Quando selecionada, essa opção atualiza o token de acesso da sessão a cada 60 minutos, até que a sessão expire ou o usuário encerre a sessão.

  4. Escolha Avançar e prossiga para a próxima página, Etapa 4: especificar as credenciais da aplicação.

Etapa 4: especificar as credenciais da aplicação

Conclua as etapas deste procedimento para especificar as credenciais que a aplicação usa para realizar ações de troca de tokens com aplicações confiáveis. Essas credenciais são usadas em uma política baseada no recurso. A política exige que você especifique uma entidade principal que tenha permissões para fazer as ações nela especificadas. Você deve especificar uma entidade principal, mesmo que as aplicações confiáveis estejam na mesma Conta da AWS.

nota

Ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para a realização de uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo.

Essa política exige a ação sso-oauth:CreateTokenWithIAM.

  1. Na página Especificar credenciais da aplicação, escolha uma das seguintes opções:

    • Para especificar rapidamente uma ou mais IAM funções:

      1. Escolha Inserir uma ou mais IAM funções.

      2. Em Inserir IAM funções, especifique o Amazon Resource Name (ARN) de uma IAM função existente. Para especificar oARN, use a sintaxe a seguir. A parte Região do ARN está em branco porque IAM os recursos são globais. 

          arn:aws:iam::account:role/role-name-with-path

        Para obter mais informações, consulte Acesso entre contas usando políticas baseadas em recursos e IAMARNsno Guia do AWS Identity and Access Management usuário.

    • Para editar manualmente a política (necessária se você especificar informações não AWS credenciais):

      1. Selecione Editar a política da aplicação.

      2. Modifique sua política digitando ou colando texto na caixa de JSON texto.

      3. Resolva todos os avisos de segurança, erros ou avisos gerais gerados durante a validação de política. Para obter mais informações, consulte Validando IAM políticas no Guia do AWS Identity and Access Management usuário.

  2. Escolha Avançar e prossiga para a próxima página, Etapa 5: revisar e configurar.

Etapa 5: revisar e configurar

  1. Na página Revisar e configurar, revise as escolhas feitas. Para fazer alterações, escolha a seção de configuração desejada, escolha Editar e faça as alterações necessárias.

  2. Quando terminar, escolha Adicionar aplicação.

  3. A aplicação que você adicionou aparece na lista Aplicações gerenciadas pelo cliente.

  4. Depois de configurar seu aplicativo gerenciado pelo cliente no IAM Identity Center, você deve especificar um ou mais AWS serviços, ou aplicativos confiáveis, para propagação de identidade. Isso permite que os usuários façam login na aplicação gerenciada pelo cliente e acessem os dados na aplicação confiável.

    Para obter mais informações, consulte Especificar aplicações confiáveis .