Configurar um emissor de tokens confiáveis - AWS IAM Identity Center
Coordenar perfis e responsabilidades administrativasTarefas para configurar um emissor de tokens confiáveisComo adicionar um emissor de token confiável ao console do IAM Identity CenterComo visualizar ou editar as configurações do emissor de token confiável no console do IAM Identity CenterProcesso de configuração e fluxo de solicitação para aplicações que usam um emissor de tokens confiáveis

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar um emissor de tokens confiáveis

Para permitir a propagação de identidade confiável para um aplicativo que se autentica externamente no IAM Identity Center, um ou mais administradores devem configurar um emissor de token confiável. Um emissor de token confiável é um servidor de autorização OAuth 2.0 que emite tokens para aplicativos que iniciam solicitações (solicitando aplicativos). Os tokens autorizam esses aplicativos a iniciar solicitações em nome de seus usuários para um aplicativo receptor (um AWS serviço).

Coordenar perfis e responsabilidades administrativas

Em alguns casos, um único administrador pode realizar todas as tarefas necessárias para configurar um emissor de tokens confiáveis. Se vários administradores realizarem essas tarefas, será necessária uma coordenação estreita. A tabela a seguir descreve como vários administradores podem se coordenar para configurar um emissor de token confiável e configurar o AWS serviço para usá-lo.

nota

O aplicativo pode ser qualquer AWS serviço integrado ao IAM Identity Center e que ofereça suporte à propagação confiável de identidades.

Para obter mais informações, consulte Tarefas para configurar um emissor de tokens confiáveis.

Função Executa essas tarefas Coordena com
IAMAdministrador do Identity Center

Adiciona o IdP externo como um emissor de token confiável ao console do IAM Identity Center.

Ajuda a configurar o mapeamento correto de atributos entre o IAM Identity Center e o IdP externo.

Notifica o administrador do AWS serviço quando o emissor de token confiável é adicionado ao console do IAM Identity Center.

Administrador do IdP (emissor de tokens confiáveis) externo

AWS administrador do serviço
Administrador do IdP (emissor de tokens confiáveis) externo

Configura o IdP externo para emitir tokens.

Ajuda a configurar o mapeamento correto de atributos entre o IAM Identity Center e o IdP externo.

Fornece o nome do público (declaração Aud) ao administrador do serviço da AWS .

IAMAdministrador do Identity Center

AWS administrador do serviço
AWS administrador do serviço

Verifica o console AWS de serviço em busca do emissor de token confiável. O emissor confiável do token ficará visível no console de AWS serviço depois que o administrador do IAM Identity Center o adicionar ao console do IAM Identity Center.

Configura o AWS serviço para usar o emissor de token confiável.

IAMAdministrador do Identity Center

Administrador do IdP (emissor de tokens confiáveis) externo

Tarefas para configurar um emissor de tokens confiáveis

Para configurar um emissor de token confiável, um administrador do IAM Identity Center, administrador externo do IdP (emissor de token confiável) e administrador do aplicativo devem concluir as seguintes tarefas.

nota

O aplicativo pode ser qualquer AWS serviço integrado ao IAM Identity Center e que ofereça suporte à propagação confiável de identidades.

  1. Adicione o emissor de token confiável ao IAM Identity Center — O administrador do IAM Identity Center adiciona o emissor de token confiável usando o console do IAM Identity Center ou. APIs Essa configuração requer a especificação do seguinte:

    • Um nome para o emissor confiável do token.

    • O endpoint de OIDC descoberta URL (no console do IAM Identity Center, isso URL é chamado de emissor URL). O endpoint de descoberta deve ser acessível somente pelas portas 80 e 443.

    • Mapeamento de atributos para pesquisa de usuários. Esse mapeamento de atributos é usado em uma declaração no token que é gerado pelo emissor de tokens confiáveis. O valor na declaração é usado para pesquisar o IAM Identity Center. A pesquisa usa o atributo especificado para recuperar um único usuário no IAM Identity Center.

  2. Conectar o AWS serviço ao IAM Identity Center — O administrador do AWS serviço deve conectar o aplicativo ao IAM Identity Center usando o console do aplicativo ou do aplicativoAPIs.

    Depois que o emissor de token confiável é adicionado ao console do IAM Identity Center, ele também fica visível no console de AWS serviço e está disponível para seleção pelo administrador do AWS serviço.

  3. Configurar o uso da troca de tokens — No console de AWS serviço, o administrador do AWS serviço configura o AWS serviço para aceitar tokens emitidos pelo emissor confiável do token. Esses tokens são trocados por tokens gerados pelo IAM Identity Center. Isso requer a especificação do nome do emissor de token confiável da Etapa 1 e o valor da solicitação de Aud que corresponde ao AWS serviço.

    O emissor de tokens confiáveis coloca o valor da declaração Aud no token que ele emite para indicar que o token se destina a ser usado pelo serviço da AWS . Para obter esse valor, entre em contato com o administrador do emissor de tokens confiáveis.

Como adicionar um emissor de token confiável ao console do IAM Identity Center

Em uma organização que tem vários administradores, essa tarefa é executada por um administrador do IAM Identity Center. Se você for o administrador do IAM Identity Center, deverá escolher qual IdP externo usar como emissor de token confiável.

Para adicionar um emissor de token confiável ao console do IAM Identity Center

  1. Abra o console do IAM Identity Center.

  2. Escolha Configurações.

  3. Na página Configurações, escolha a guia Autenticação.

  4. Em Emissores de token confiáveis, escolha Criar emissor de tokens confiáveis.

  5. Na página Configurar um IdP externo para emitir tokens confiáveis, em Detalhes do emissor de tokens confiáveis, faça o seguinte:

    • Para Emissor URL, especifique a OIDC descoberta URL do IdP externo que emitirá tokens para propagação de identidade confiável. Você deve especificar até e sem .well-known/openid-configuration o endpoint de descoberta. URL O administrador do IdP externo pode fornecer isso. URL

      nota

      Nota: Isso URL deve corresponder à URL declaração do Emissor (iss) em tokens emitidos para propagação de identidade confiável.

    • Em Nome do emissor de token confiável, insira um nome para identificar esse emissor de token confiável no IAM Identity Center e no console do aplicativo.

  6. Em Mapear atributos, faça o seguinte:

    • Em Atributo do provedor de identidade, selecione um atributo da lista para mapear para um atributo no repositório de IAM identidades do Identity Center.

    • Para o atributo IAM Identity Center, selecione o atributo correspondente para o mapeamento de atributos.

  7. Em Tags (opcional), escolha Adicionar nova tag e especifique um valor para Chave e, opcionalmente, para Valor.

    Para obter mais informações sobre tags, consulte Tags AWS IAM Identity Center recursos.

  8. Escolha Criar emissor de tokens confiáveis.

  9. Depois de concluir a criação do emissor de tokens confiáveis, entre em contato com o administrador da aplicação para informar o nome do emissor de tokens confiáveis, para que ele possa confirmar que o emissor de tokens confiáveis está visível no console aplicável.

  10. O administrador da aplicação deve selecionar esse emissor de tokens confiáveis no console aplicável para permitir o acesso do usuário à aplicação a partir das aplicações configuradas para a propagação de identidades confiáveis.

Como visualizar ou editar as configurações do emissor de token confiável no console do IAM Identity Center

Depois de adicionar um emissor de token confiável ao console do IAM Identity Center, você pode visualizar e editar as configurações relevantes.

Se você pretende editar as configurações do emissor de tokens confiáveis, lembre-se de que isso pode fazer com que os usuários percam o acesso a qualquer aplicação configurada para usar o emissor de tokens confiáveis. Para evitar interromper o acesso dos usuários, recomendamos que você coordene com os administradores de todas as aplicações configuradas para que usem o emissor de tokens confiáveis antes de editar as configurações.

Para visualizar ou editar as configurações do emissor de token confiável no console do IAM Identity Center

  1. Abra o console do IAM Identity Center.

  2. Escolha Configurações.

  3. Na página Configurações, escolha a guia Autenticação.

  4. Em Emissores de tokens confiáveis, selecione o emissor de tokens confiáveis que você deseja visualizar ou editar.

  5. Escolha Ações e, em seguida, escolha Editar.

  6. Na página Editar emissor de tokens confiáveis, visualize ou edite as configurações conforme necessário. Você pode editar o nome do emissor de tokens confiáveis os mapeamentos de atributos e as tags.

  7. Escolha Salvar alterações.

  8. Na caixa de diálogo Editar emissor de tokens confiáveis, você será solicitado a confirmar se deseja fazer alterações. Selecione a opção Confirmar.

Processo de configuração e fluxo de solicitação para aplicações que usam um emissor de tokens confiáveis

Esta seção descreve o processo de configuração e o fluxo de solicitação para aplicações que usam um emissor de tokens confiáveis para a propagação de identidades confiáveis. O diagrama a seguir fornece uma visão geral desse processo.

Processo de configuração e fluxos de solicitação para aplicativos usando um emissor de token confiável para propagação de identidade confiável

As etapas a seguir fornecem informações adicionais sobre esse processo.

  1. Configure o IAM Identity Center e o aplicativo AWS gerenciado de recebimento para usar um emissor de token confiável. Para ter mais informações, consulte Tarefas para configurar um emissor de tokens confiáveis.

  2. O fluxo de solicitação começa quando um usuário abre a aplicação solicitante.

  3. O aplicativo solicitante solicita um token do emissor confiável do token para iniciar solicitações ao aplicativo gerenciado receptor AWS . Se o usuário ainda não tiver sido autenticado, esse processo acionará um fluxo de autenticação. O token contém as seguintes informações:

    • O assunto (Sub) do usuário.

    • O atributo que o IAM Identity Center usa para pesquisar o usuário correspondente no IAM Identity Center.

    • Uma declaração de público (Aud) que contém um valor que o emissor de tokens confiáveis associa à aplicação gerenciada pela AWS recebedora. Se outras reivindicações estiverem presentes, elas não serão usadas pelo IAM Identity Center.

  4. O aplicativo solicitante, ou o AWS driver que ele usa, passa o token para o IAM Identity Center e solicita que o token seja trocado por um token gerado pelo IAM Identity Center. Se você usa um AWS driver, talvez seja necessário configurá-lo para esse caso de uso. Para obter mais informações, consulte a documentação do aplicativo AWS gerenciado relevante.

  5. IAMO Identity Center usa o endpoint OIDC Discovery para obter a chave pública que pode ser usada para verificar a autenticidade do token. IAMEm seguida, o Identity Center faz o seguinte:

    • Verifica o token.

    • Pesquisa o diretório do Identity Center. Para fazer isso, o IAM Identity Center usa o atributo mapeado especificado no token.

    • Verifica se o usuário está autorizado a acessar a aplicação recebedora. Se o aplicativo AWS gerenciado estiver configurado para exigir atribuições a usuários e grupos, o usuário deverá ter uma atribuição direta ou baseada em grupo ao aplicativo; caso contrário, a solicitação será negada. Se a aplicação gerenciada pela AWS estiver configurada para não exigir atribuições de usuários e grupos, o processamento continuará.

      nota

      AWS os serviços têm uma configuração de configuração padrão que determina se as atribuições são necessárias para usuários e grupos. Recomendamos que você não modifique a configuração Exigir atribuições para essas aplicações se planejar usá-las com a propagação de identidades confiáveis. Mesmo que você tenha configurado permissões refinadas que permitam que o usuário acesse recursos específicos da aplicação, modificar a configuração Exigir atribuições pode resultar em um comportamento inesperado, incluindo interrupção do acesso do usuário a esses recursos.

    • Verifica se o aplicativo solicitante está configurado para usar escopos válidos para o aplicativo gerenciado receptor AWS .

  6. Se as etapas de verificação anteriores forem bem-sucedidas, o IAM Identity Center criará um novo token. O novo token é um token opaco (criptografado) que inclui a identidade do usuário correspondente no IAM Identity Center, o público (Aud) do aplicativo AWS gerenciado receptor e os escopos que o aplicativo solicitante pode usar ao fazer solicitações ao aplicativo gerenciado receptor AWS .

  7. O aplicativo solicitante, ou o driver que ele usa, inicia uma solicitação de recurso para o aplicativo receptor e passa o token que o IAM Identity Center gerou para o aplicativo receptor.

  8. O aplicativo receptor faz chamadas para o IAM Identity Center para obter a identidade do usuário e os escopos que estão codificados no token. Ela também pode fazer solicitações para obter os atributos do usuário ou das associações a grupos do usuário no diretório do Identity Center.

  9. A aplicação recebedora usa sua configuração de autorização para definir se o usuário está autorizado a acessar o recurso da aplicação solicitado.

  10. Se o usuário estiver autorizado a acessar o recurso da aplicação solicitado, a aplicação recebedora responderá à solicitação.

  11. A identidade do usuário, as ações realizadas em seu nome e outros eventos registrados nos registros e CloudTrail eventos do aplicativo receptor. O modo específico como essas informações são registradas varia de acordo com a aplicação.