Usar aplicações com um emissor de tokens confiáveis - AWS IAM Identity Center
Visão geral do emissor de tokens confiáveisPré-requisitos e considerações para emissores de tokens confiáveisDetalhes da declaração JTI

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar aplicações com um emissor de tokens confiáveis

Os emissores de tokens confiáveis permitem que você use a propagação de identidade confiável com aplicativos que se autenticam fora do. AWS Com emissores de tokens confiáveis, você pode autorizar essas aplicações a fazer solicitações em nome dos usuários para acessar aplicações gerenciadas pela AWS .

Os tópicos a seguir descrevem como os emissores de tokens confiáveis funcionam além de fornecer orientação sobre configuração.

Tópicos

Visão geral do emissor de tokens confiáveis

A propagação de identidade confiável fornece um mecanismo que permite que aplicativos que se autenticam externamente AWS façam solicitações em nome de seus usuários com o uso de um emissor de token confiável. Um emissor de token confiável é um servidor de autorização OAuth 2.0 que cria tokens assinados. Esses tokens autorizam aplicativos que iniciam solicitações (solicitando aplicativos) de acesso a AWS serviços (recebimento de aplicativos). As aplicações solicitantes iniciam solicitações de acesso em nome dos usuários que o emissor de tokens confiáveis autentica. Os usuários são conhecidos tanto pelo emissor de tokens confiáveis quanto pelo IAM Identity Center.

AWS os serviços que recebem solicitações gerenciam autorizações refinadas para seus recursos com base em seus usuários e membros de grupos, conforme representado no diretório do Identity Center. AWS os serviços não podem usar diretamente os tokens do emissor externo do token.

Para resolver isso, o IAM Identity Center oferece uma maneira para a aplicação solicitante, ou um driver da AWS usado pela aplicação solicitante, trocar o token emitido pelo emissor de tokens confiáveis por um token gerado pelo IAM Identity Center. O token gerado pelo IAM Identity Center referencia o usuário correspondente do IAM Identity Center. A aplicação solicitante, ou o driver, usa o novo token para iniciar uma solicitação à aplicação recebedora. Como o novo token referencia o usuário correspondente no IAM Identity Center, a aplicação recebedora pode autorizar o acesso solicitado com base no usuário ou na sua associação a um grupo, conforme representado no IAM Identity Center.

Importante

Escolher um servidor de autorização OAuth 2.0 para adicionar como um emissor de token confiável é uma decisão de segurança que requer uma análise cuidadosa. Escolha somente emissores de token confiáveis em que você confia para realizar as seguintes tarefas:

  • Autenticar o usuário especificado no token.

  • Autorizar o acesso desse usuário à aplicação recebedora.

  • Gerar um token que o IAM Identity Center possa trocar por um token criado pelo IAM Identity Center.

Pré-requisitos e considerações para emissores de tokens confiáveis

Antes de configurar um emissor de tokens confiáveis, revise os seguintes pré-requisitos e considerações.

  • Configuração de emissor de tokens confiáveis

    Você deve configurar um servidor de autorização OAuth 2.0 (o emissor confiável do token). Embora o emissor de tokens confiáveis seja normalmente o provedor de identidades que você usa como fonte de identidades para o IAM Identity Center, não precisa ser. Para obter informações sobre como configurar o emissor de tokens confiáveis, consulte a documentação do provedor de identidades relevante.

    nota

    Você pode configurar até 10 emissores de tokens confiáveis para usar com o IAM Identity Center, desde que mapeie a identidade de cada usuário no emissor de tokens confiáveis para um usuário correspondente no IAM Identity Center.

  • O servidor de autorização OAuth 2.0 (o emissor confiável do token) que cria o token deve ter um endpoint de descoberta do OpenID Connect (OIDC) que o IAM Identity Center possa usar para obter chaves públicas para verificar as assinaturas do token. Para obter mais informações, consulte URL do endpoint de descoberta OIDC (URL do emissor).

  • Tokens emitidos pelo emissor de tokens confiáveis

    Os tokens do emissor de tokens confiáveis devem atender aos seguintes requisitos:

    • O token deve ser assinado e estar no formato JSON Web Token (JWT) usando o RS256 algoritmo.

    • O token deve conter as seguintes declarações:

      • Emissor (iss): a entidade que emitiu o token. Esse valor deve corresponder ao valor configurado no endpoint de descoberta OIDC (URL do emissor) no emissor de tokens confiáveis.

      • Assunto (sub): o usuário autenticado.

      • Público (aud): o destinatário pretendido do token. Esse é o AWS serviço que será acessado depois que o token for trocado por um token do IAM Identity Center. Para obter mais informações, consulte Declaração de Aud.

      • Tempo de validade (exp): o tempo após o qual o token expira.

    • O token pode ser um token de identidade ou um token de acesso.

    • O token deve ter um atributo que possa ser mapeado exclusivamente para um usuário do IAM Identity Center.

      nota

      Usando uma chave de assinatura personalizada para JWTs de Microsoft Entra ID não é suportado. Para usar tokens de Microsoft Entra ID com um emissor de token confiável, você não pode usar uma chave de assinatura personalizada.

  • Declarações opcionais

    O IAM Identity Center é compatível com todas as declarações opcionais definidas na RFC 7523. Para obter mais informações, consulte a Seção 3: formato JWT e requisitos de processamento dessa RFC.

    Por exemplo, o token pode conter uma declaração JTI (JWT ID). Essa declaração, quando presente, impede que tokens com Lo mesmo JTI sejam reutilizados para trocas de tokens. Para obter mais informações sobre a declaração, consulte Detalhes da declaração JTI.

  • Configuração do IAM Identity Center para funcionar com um emissor de tokens confiáveis

    Você também deve habilitar o IAM Identity Center, configurar a fonte de identidades para o IAM Identity Center e provisionar os usuários que correspondem aos usuários no diretório do emissor de tokens confiáveis.

    Para isso, faça uma das seguintes alternativas:

    • Sincronize os usuários com o IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) v2.0.

    • Crie os usuários diretamente no IAM Identity Center.

    nota

    Os emissores de tokens confiáveis não serão compatíveis se você usar o Serviço de Domínios do Active Directory como fonte de identidades.

Detalhes da declaração JTI

Se o IAM Identity Center receber uma solicitação para trocar um token que o IAM Identity Center já trocou, a solicitação falhará. Para detectar e evitar a reutilização de um token em trocas de tokens, você pode incluir uma declaração JTI. O IAM Identity Center protege contra a repetição de tokens com base nas declarações neles contidas.

Nem todos os servidores de autorização OAuth 2.0 adicionam uma reivindicação de JTI aos tokens. Alguns servidores de autorização OAuth 2.0 podem não permitir que você adicione uma JTI como uma declaração personalizada. OAuth Os servidores de autorização 2.0 que suportam o uso de uma declaração de JTI podem adicionar essa declaração somente aos tokens de identidade, somente aos tokens de acesso ou a ambos. Para obter mais informações, consulte a documentação do seu servidor de autorização OAuth 2.0.

Para obter informações sobre a criação de aplicações que trocam tokens, consulte a documentação da API do IAM Identity Center. Para obter informações sobre como configurar uma aplicação gerenciada pelo cliente para obter e trocar os tokens corretos, consulte a documentação da aplicação.