Configurar um emissor de tokens confiáveis
Para permitir a propagação de identidades confiáveis para uma aplicação que faz a autenticação fora do IAM Identity Center, um ou mais administradores devem configurar um emissor de tokens confiáveis. Um emissor de tokens confiáveis é um servidor de autorização OAuth 2.0 que emite tokens para aplicações que iniciam solicitações (aplicações solicitantes). Os tokens autorizam essas aplicações a iniciar solicitações em nome dos usuários para uma aplicação recebedora (um serviço da AWS ).
Tópicos
- Coordenar perfis e responsabilidades administrativas
- Tarefas para configurar um emissor de tokens confiáveis
- Como adicionar um emissor de tokens confiáveis ao console do IAM Identity Center
- Como visualizar ou editar as configurações do emissor de tokens confiáveis no console do IAM Identity Center
- Processo de configuração e fluxo de solicitação para aplicações que usam um emissor de tokens confiáveis
Coordenar perfis e responsabilidades administrativas
Em alguns casos, um único administrador pode realizar todas as tarefas necessárias para configurar um emissor de tokens confiáveis. Se vários administradores realizarem essas tarefas, será necessária uma coordenação estreita. A tabela a seguir descreve como vários administradores podem se coordenar para configurar um emissor de tokens confiáveis e configurar o serviço da AWS para usá-lo.
nota
A aplicação pode ser qualquer serviço da AWS integrado ao IAM Identity Center que seja compatível com a propagação de identidades confiáveis.
Para ter mais informações, consulte Tarefas para configurar um emissor de tokens confiáveis.
Função | Executa essas tarefas | Coordena com |
---|---|---|
Administrador do IAM Identity Center |
Adiciona o IdP externo como um emissor de tokens confiáveis ao console do IAM Identity Center. Ajuda a configurar o mapeamento correto dos atributos entre o IAM Identity Center e o IdP externo. Notifica o administrador do serviço da AWS quando o emissor de tokens confiáveis é adicionado ao console do IAM Identity Center. |
Administrador do IdP (emissor de tokens confiáveis) externo Administrador do serviço da AWS |
Administrador do IdP (emissor de tokens confiáveis) externo |
Configura o IdP externo para emitir tokens. Ajuda a configurar o mapeamento correto dos atributos entre o IAM Identity Center e o IdP externo. Fornece o nome do público (declaração Aud) ao administrador do serviço da AWS. |
Administrador do IAM Identity Center Administrador do serviço da AWS |
Administrador do serviço da AWS |
Verifica se o emissor de tokens confiáveis aparece no console do serviço da AWS. O emissor de tokens confiáveis ficará visível no console do serviço da AWS depois que o administrador do IAM Identity Center o adicionar ao console do IAM Identity Center. Configura o serviço da AWS para usar o emissor de tokens confiáveis. |
Administrador do IAM Identity Center Administrador do IdP (emissor de tokens confiáveis) externo |
Tarefas para configurar um emissor de tokens confiáveis
Para configurar um emissor de tokens confiáveis, um administrador do IAM Identity Center, o administrador do IdP (emissor de tokens confiáveis) externo e o administrador da aplicação devem realizar as tarefas a seguir.
nota
A aplicação pode ser qualquer serviço da AWS integrado ao IAM Identity Center que seja compatível com a propagação de identidades confiáveis.
-
Adicionar o emissor de tokens confiáveis ao IAM Identity Center: o administrador do IAM Identity Center adiciona o emissor de tokens confiáveis usando o console do IAM Identity Center ou APIs. Essa configuração requer a especificação do seguinte:
-
Um nome de emissor de tokens confiáveis.
-
O URL do endpoint de descoberta OIDC (no console do IAM Identity Center, esse URL é chamado de URL do emissor). O endpoint de descoberta só deve ser acessível pelas portas 80 e 443.
-
Mapeamento de atributos para pesquisa de usuários. Esse mapeamento de atributos é usado em uma declaração no token que é gerado pelo emissor de tokens confiáveis. O valor na declaração é usado para pesquisar no IAM Identity Center. A pesquisa usa o atributo especificado para recuperar um único usuário do IAM Identity Center.
-
-
Conectar o serviço da AWS ao IAM Identity Center: o administrador do serviço da AWS deve conectar a aplicação ao IAM Identity Center usando o console da aplicação ou as APIs da aplicação.
Depois que o emissor de tokens confiáveis é adicionado ao console do IAM Identity Center, ele também fica visível no console do serviço da AWS e está disponível para seleção pelo administrador do serviço da AWS.
-
Configurar o uso da troca de tokens: no console do serviço da AWS, o administrador do serviço da AWS configura a AWS para aceitar os tokens emitidos pelo emissor de tokens confiáveis. Esses tokens são trocados por tokens gerados pelo IAM Identity Center. Isso requer a especificação do nome do emissor de tokens confiáveis da etapa 1 e o valor da solicitação de Aud que corresponde ao serviço da AWS.
O emissor de tokens confiáveis coloca o valor da declaração Aud no token que ele emite para indicar que o token se destina a ser usado pelo serviço da AWS. Para obter esse valor, entre em contato com o administrador do emissor de tokens confiáveis.
Como adicionar um emissor de tokens confiáveis ao console do IAM Identity Center
Em uma organização que tem vários administradores, essa tarefa é realizada por um administrador do IAM Identity Center. Se você for o administrador do IAM Identity Center, deverá escolher qual IdP externo usar como emissor de tokens confiáveis.
Para adicionar um emissor de tokens confiáveis ao console do IAM Identity Center
-
Abra o console do IAM Identity Center
. -
Escolha Configurações.
-
Na página Configurações, escolha a guia Autenticação.
-
Em Emissores de token confiáveis, escolha Criar emissor de tokens confiáveis.
-
Na página Configurar um IdP externo para emitir tokens confiáveis, em Detalhes do emissor de tokens confiáveis, faça o seguinte:
-
Em URL do emissor, especifique o URL de descoberta OIDC do IdP externo que emitirá tokens para a propagação de identidades confiáveis. Você deve especificar o URL do endpoint de descoberta até e sem
.well-known/openid-configuration
. O administrador do IdP externo pode fornecer esse URL.nota
Observação: esse URL deve corresponder ao URL na declaração do emissor (iss) em tokens emitidos para propagação de identidades confiáveis.
-
Em Nome do emissor de tokens confiáveis, insira um nome para identificar esse emissor de tokens confiáveis no IAM Identity Center e no console da aplicação.
-
-
Em Mapear atributos, faça o seguinte:
-
Em Atributo do provedor de identidades, selecione um atributo na lista para mapear para um atributo no repositório de identidades do IAM Identity Center.
-
Em Atributo do IAM Identity Center, selecione o atributo correspondente para o mapeamento de atributos.
-
-
Em Tags (opcional), escolha Adicionar nova tag e especifique um valor para Chave e, opcionalmente, para Valor.
Para obter mais informações sobre tags, consulte Marcando atributos AWS IAM Identity Center.
-
Escolha Criar emissor de tokens confiáveis.
-
Depois de concluir a criação do emissor de tokens confiáveis, entre em contato com o administrador da aplicação para informar o nome do emissor de tokens confiáveis, para que ele possa confirmar que o emissor de tokens confiáveis está visível no console aplicável.
-
O administrador da aplicação deve selecionar esse emissor de tokens confiáveis no console aplicável para permitir o acesso do usuário à aplicação a partir das aplicações configuradas para a propagação de identidades confiáveis.
Como visualizar ou editar as configurações do emissor de tokens confiáveis no console do IAM Identity Center
Depois de adicionar um emissor de tokens confiáveis ao console do IAM Identity Center, você pode visualizar e editar as configurações relevantes.
Se você pretende editar as configurações do emissor de tokens confiáveis, lembre-se de que isso pode fazer com que os usuários percam o acesso a qualquer aplicação configurada para usar o emissor de tokens confiáveis. Para evitar interromper o acesso dos usuários, recomendamos que você coordene com os administradores de todas as aplicações configuradas para que usem o emissor de tokens confiáveis antes de editar as configurações.
Para visualizar ou editar as configurações do emissor de tokens confiáveis no console do IAM Identity Center
-
Abra o console do IAM Identity Center
. -
Escolha Configurações.
-
Na página Configurações, escolha a guia Autenticação.
-
Em Emissores de tokens confiáveis, selecione o emissor de tokens confiáveis que você deseja visualizar ou editar.
-
Escolha Ações e, em seguida, escolha Editar.
-
Na página Editar emissor de tokens confiáveis, visualize ou edite as configurações conforme necessário. Você pode editar o nome do emissor de tokens confiáveis os mapeamentos de atributos e as tags.
-
Escolha Salvar alterações.
-
Na caixa de diálogo Editar emissor de tokens confiáveis, você será solicitado a confirmar se deseja fazer alterações. Selecione a opção Confirmar.
Processo de configuração e fluxo de solicitação para aplicações que usam um emissor de tokens confiáveis
Esta seção descreve o processo de configuração e o fluxo de solicitação para aplicações que usam um emissor de tokens confiáveis para a propagação de identidades confiáveis. O diagrama a seguir fornece uma visão geral desse processo.
As etapas a seguir fornecem informações adicionais sobre esse processo.
-
Configure o IAM Identity Center e a aplicação recebedora gerenciada pela AWS para usar um emissor de tokens confiáveis. Para ter mais informações, consulte Tarefas para configurar um emissor de tokens confiáveis.
-
O fluxo de solicitação começa quando um usuário abre a aplicação solicitante.
-
A aplicação solicitante solicita um token do emissor de tokens confiáveis para iniciar solicitações à aplicação recebedora gerenciada pela AWS. Se o usuário ainda não tiver sido autenticado, esse processo acionará um fluxo de autenticação. O token contém as seguintes informações:
-
O assunto (Sub) do usuário.
-
O atributo que o IAM Identity Center usa para pesquisar o usuário correspondente no IAM Identity Center.
-
Uma declaração de público (Aud) que contém um valor que o emissor de tokens confiáveis associa à aplicação gerenciada pela AWS recebedora. Se outras declarações estiverem presentes, elas não serão usadas pelo IAM Identity Center.
-
-
A aplicação solicitante, ou o AWS driver que ela usa, passa o token para o IAM Identity Center e solicita que o token seja trocado por um token gerado pelo IAM Identity Center. Se você usar um driver da AWS, talvez seja necessário configurá-lo para esse caso de uso. Para obter mais informações, consulte a documentação da aplicação gerenciada pela AWS relevante.
-
O IAM Identity Center usa o endpoint de descoberta OIDC para obter a chave pública que pode ser usada para verificar a autenticidade do token. Em seguida, o IAM Identity Center faz o seguinte:
-
Verifica o token.
-
Pesquisa o diretório do Identity Center. Para fazer isso, o IAM Identity Center usa o atributo mapeado especificado no token.
-
Verifica se o usuário está autorizado a acessar a aplicação recebedora. Se a aplicação gerenciada pela AWS estiver configurada para exigir atribuições de usuários e grupos, o usuário deverá ter uma atribuição direta ou baseada em grupo à aplicação; caso contrário, a solicitação será negada. Se a aplicação gerenciada pela AWS estiver configurada para não exigir atribuições de usuários e grupos, o processamento continuará.
nota
Os serviços da AWS têm uma configuração padrão que define se as atribuições de usuários e grupos serão exigidas. Recomendamos que você não modifique a configuração Exigir atribuições para essas aplicações se planejar usá-las com a propagação de identidades confiáveis. Mesmo que você tenha configurado permissões refinadas que permitam que o usuário acesse recursos específicos da aplicação, modificar a configuração Exigir atribuições pode resultar em um comportamento inesperado, incluindo interrupção do acesso do usuário a esses recursos.
-
Verifica se a aplicação solicitante está configurada para usar escopos válidos para a aplicação recebedora gerenciada pela AWS.
-
-
Se as etapas de verificação anteriores forem bem-sucedidas, o IAM Identity Center criará um novo token. O novo token é um token opaco (criptografado) que inclui a identidade do usuário correspondente no IAM Identity Center, o público (Aud) da aplicação recebedora gerenciada pela AWS e os escopos que a aplicação solicitante pode usar ao fazer solicitações à aplicação recebedora gerenciada pela AWS.
-
A aplicação solicitante, ou o driver que ela usa, inicia uma solicitação de recurso para a aplicação recebedora e passa o token que o IAM Identity Center gerou para a aplicação recebedora.
-
A aplicação recebedora faz chamadas para o IAM Identity Center para obter a identidade do usuário e os escopos que estão codificados no token. Ela também pode fazer solicitações para obter os atributos do usuário ou das associações a grupos do usuário no diretório do Identity Center.
-
A aplicação recebedora usa sua configuração de autorização para definir se o usuário está autorizado a acessar o recurso da aplicação solicitado.
-
Se o usuário estiver autorizado a acessar o recurso da aplicação solicitado, a aplicação recebedora responderá à solicitação.
-
A identidade do usuário, as ações realizadas em seu nome e outros eventos registrados nos logs da aplicação recebedora e nos eventos do CloudTrail. O modo específico como essas informações são registradas varia de acordo com a aplicação.