本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

使用 Application Load Balancer 验证用户身份

可以将 Application Load Balancer 配置为在用户访问应用程序时安全验证用户的身份。这使您可以将验证用户身份的工作交给负载均衡器完成，以便应用程序可以专注于其业务逻辑。

准备使用OIDC合规的 IdP

如果您在 Application Load Balanc OIDC er 中使用符合要求的 IdP，请执行以下操作：

准备使用 Amazon Cognito

如果您将 Amazon Cognito 用户池与 Application Load Balancer 结合使用，请执行以下操作：

应用程序客户端设置URL中的回调必须全部使用小写字母。

要使某用户能够将负载均衡器配置为使用 Amazon Cognito 验证用户身份，必须授予该用户调用 cognito-idp:DescribeUserPoolClient 操作的权限。

准备使用亚马逊 CloudFront

如果您在 Application Load Balancer 前面使用 CloudFront 分配，请启用以下设置：

配置用户身份验证

通过为一个或多个侦听器规则创建身份验证操作来配置用户身份验证。只有HTTPS侦听器才支持authenticate-cognito和authenticate-oidc操作类型。有关相应字段的描述，请参阅《Elastic Load Balancing API 参考版本 2015-12-01》AuthenticateOidcActionConfig中的AuthenticateCognitoActionConfig和。

负载均衡器会向客户端发送会话 Cookie 以保持身份验证状态。此 Cookie 始终包含该secure属性，因为用户身份验证需要HTTPS监听器。此 Cookie 包含带有CORS（跨域资源共享）请求的SameSite=None属性。

对于支持多个需要独立客户端身份验证的应用程序的负载均衡器，具有身份验证操作的每个侦听器规则应具有唯一的 Cookie 名称 这可确保客户端在路由到规则中指定的目标组之前始终使用 IdP 进行身份验证。

应用程序负载均衡器不支持URL编码的 Cookie 值。

默认情况下，SessionTimeout 字段设置为 7 日。如果需要更短的会话，可将会话超时配置为短至 1 秒。有关更多信息，请参阅 会话超时。

视应用程序的情况设置 OnUnauthenticatedRequest 字段。例如：

负载均衡器必须能够与 IdP 令牌终端节点 (TokenEndpoint) 和 IdP 用户信息终端节点 (UserInfoEndpoint) 通信。应用程序负载均衡器仅在与这些端点通信IPv4时支持。如果您的 IdP 使用公有地址，请确保您的负载均衡器的安全组和您的网络ACLsVPC允许访问终端节点。使用内部负载均衡器或 IP 地址类型时dualstack-without-public-ipv4，NAT网关可以使负载均衡器能够与端点通信。有关更多信息，请参阅 Amazon VPC 用户指南中的NAT网关基础知识。

使用以下 create-rule 命令配置用户身份验证。

aws elbv2 create-rule --listener-arn listener-arn --priority 10 \
--conditions Field=path-pattern,Values="/login" --actions file://actions.json

以下是 actions.json 文件，该文件指定 authenticate-oidc 操作和 forward 操作。AuthenticationRequestExtraParams 允许您在身份验证期间将额外的参数传递给 IdP。请按照您的身份提供商提供的文档确定支持的字段

[{
    "Type": "authenticate-oidc",
    "AuthenticateOidcConfig": {
        "Issuer": "https://idp-issuer.com",
        "AuthorizationEndpoint": "https://authorization-endpoint.com",
        "TokenEndpoint": "https://token-endpoint.com",
        "UserInfoEndpoint": "https://user-info-endpoint.com",
        "ClientId": "abcdefghijklmnopqrstuvwxyz123456789",
        "ClientSecret": "123456789012345678901234567890",
        "SessionCookieName": "my-cookie",
        "SessionTimeout": 3600,
        "Scope": "email",
        "AuthenticationRequestExtraParams": {
            "display": "page",
            "prompt": "login"
        },
        "OnUnauthenticatedRequest": "deny"
    },
    "Order": 1
},
{
    "Type": "forward",
    "TargetGroupArn": "arn:aws:elasticloadbalancing:region-code:account-id:targetgroup/target-group-name/target-group-id",
    "Order": 2
}]

下面是指定 authenticate-cognito 操作和 forward 操作的 actions.json 文件的示例。

[{
    "Type": "authenticate-cognito",
    "AuthenticateCognitoConfig": {
        "UserPoolArn": "arn:aws:cognito-idp:region-code:account-id:userpool/user-pool-id",
        "UserPoolClientId": "abcdefghijklmnopqrstuvwxyz123456789",
        "UserPoolDomain": "userPoolDomain1",
        "SessionCookieName": "my-cookie",
        "SessionTimeout": 3600,
        "Scope": "email",
        "AuthenticationRequestExtraParams": {
            "display": "page",
            "prompt": "login"
        },
        "OnUnauthenticatedRequest": "deny"
    },
    "Order": 1
},
{
    "Type": "forward",
    "TargetGroupArn": "arn:aws:elasticloadbalancing:region-code:account-id:targetgroup/target-group-name/target-group-id",
    "Order": 2
}]

有关更多信息，请参阅 侦听器规则。

身份验证流程

以下网络图直观地展示了 Application Load Balancer OIDC 如何使用对用户进行身份验证。

下面的编号项，突出显示并解释上一个网络图中显示的元素。

每个新请求都经历步骤 1 到 11，而后续请求则经过步骤 9 到 11。也就是说，只要 cookie 尚未过期，每个后续请求都从步骤 9 开始。

用户在 IdP 进行身份验证后，会在请求标头中添加 AWSALBAuthNonce cookie。这不会改变应用程序负载均衡器处理来自 IdP 的重定向请求的方式。

如果 IdP 在 ID 令牌中提供了有效的刷新令牌，则负载均衡器将保存刷新令牌并在访问令牌过期时使用刷新令牌刷新用户索赔，直至会话超时或 IdP 刷新失败。如果用户注销，刷新将失败并且负载均衡器会将用户重定向到 IdP 授权终端节点。这使负载均衡器能够在用户注销后删除会话。有关更多信息，请参阅 会话超时。

用户申请编码和签名验证

在负载均衡器成功验证用户身份之后，它会将从 IdP 收到的用户索赔发送给目标。负载均衡器先为用户索赔签名，以便应用程序可以验证该签名并验证索赔是负载均衡器发送的。

访问令牌和用户声明与 ID 令牌不同。访问令牌和用户声明仅允许访问服务器资源，而 ID 令牌带有的额外信息以对用户进行身份验证。Application Load Balancer 在对用户进行身份验证时会创建一个新的访问令牌，并且仅将访问令牌和声明传递给后端，但它不会传递 ID 令牌信息。

这些令牌遵循JWT格式，但不是 ID 令牌。该JWT格式包括采用 base64 URL 编码的标头、有效载荷和签名，并在末尾包括填充字符。Application Load Balancer ECDSA 使用ES256（使用 P-256 和SHA256）来生成JWT签名。

标JWT题是一个包含以下字段的JSON对象：

{
   "alg": "algorithm",
   "kid": "12345678-1234-1234-1234-123456789012",
   "signer": "arn:aws:elasticloadbalancing:region-code:account-id:loadbalancer/app/load-balancer-name/load-balancer-id", 
   "iss": "url",
   "client": "client-id",
   "exp": "expiration"
}

JWT有效负载是一个JSON对象，其中包含从 IdP 用户信息端点收到的用户声明。

{
   "sub": "1234567890",
   "name": "name",
   "email": "alias@example.com",
   ...
}

如果您希望负载均衡器对您的用户声明进行加密，则必须配置要使用的目标组HTTPS。此外，作为安全最佳实践，我们建议您将目标限制为仅接收来自您的 Application Load Balancer 的流量。您可以通过将目标的安全组配置为引用负载均衡器的安全组 ID 来实现此目的。

为确保安全，您必须在根据声明进行任何授权之前验证签名，并验证JWT标头中的signer字段是否包含预期的 Application Load Balancer ARN。

要获取公钥，请从JWT标头中获取密钥 ID，然后使用它从端点查找公钥。 每个 AWS 区域的终端节点如下：

https://public-keys.auth.elb.region.amazonaws.com/key-id

对于 AWS GovCloud (US)，端点如下所示：

https://s3-us-gov-west-1.amazonaws.com/aws-elb-public-keys-prod-us-gov-west-1/key-id
https://s3-us-gov-east-1.amazonaws.com/aws-elb-public-keys-prod-us-gov-east-1/key-id

以下示例显示了如何在 Python 3.x 中获取密钥 ID、公钥和有效负载：

import jwt
import requests
import base64
import json

# Step 1: Validate the signer
expected_alb_arn = 'arn:aws:elasticloadbalancing:region-code:account-id:loadbalancer/app/load-balancer-name/load-balancer-id'

encoded_jwt = headers.dict['x-amzn-oidc-data']
jwt_headers = encoded_jwt.split('.')[0]
decoded_jwt_headers = base64.b64decode(jwt_headers)
decoded_jwt_headers = decoded_jwt_headers.decode("utf-8")
decoded_json = json.loads(decoded_jwt_headers)
received_alb_arn = decoded_json['signer']

assert expected_alb_arn == received_alb_arn, "Invalid Signer"

# Step 2: Get the key id from JWT headers (the kid field)
kid = decoded_json['kid']

# Step 3: Get the public key from regional endpoint
url = 'https://public-keys.auth.elb.' + region + '.amazonaws.com/' + kid
req = requests.get(url)
pub_key = req.text

# Step 4: Get the payload
payload = jwt.decode(encoded_jwt, pub_key, algorithms=['ES256'])

以下示例显示了如何在 Python 2.7 中获取密钥 ID、公钥和有效负载：

import jwt
import requests
import base64
import json

# Step 1: Validate the signer
expected_alb_arn = 'arn:aws:elasticloadbalancing:region-code:account-id:loadbalancer/app/load-balancer-name/load-balancer-id'

encoded_jwt = headers.dict['x-amzn-oidc-data']
jwt_headers = encoded_jwt.split('.')[0]
decoded_jwt_headers = base64.b64decode(jwt_headers)
decoded_json = json.loads(decoded_jwt_headers)
received_alb_arn = decoded_json['signer']

assert expected_alb_arn == received_alb_arn, "Invalid Signer"

# Step 2: Get the key id from JWT headers (the kid field)
kid = decoded_json['kid']

# Step 3: Get the public key from regional endpoint
url = 'https://public-keys.auth.elb.' + region + '.amazonaws.com/' + kid
req = requests.get(url)
pub_key = req.text

# Step 4: Get the payload
payload = jwt.decode(encoded_jwt, pub_key, algorithms=['ES256'])

超时

会话超时

刷新令牌和会话超时将一起运行，如下所示：

客户端登录超时

客户端必须在 15 分钟内启动并完成身份验证过程。如果客户端未能在 15 分钟限制内完成身份验证，则它会收到来自负载均衡器的 HTTP 401 错误。无法更改或删除此超时。

例如，如果用户通过 Application Load Balancer 加载登录页面，则必须在 15 分钟内完成登录过程。如果用户在 15 分钟超时到期后等待然后尝试登录，则负载均衡器将返回 HTTP 401 错误。用户必须刷新页面，然后再次尝试登录。

身份验证注销

当应用程序需要注销经身份验证的用户时，应将身份验证会话 Cookie 的到期时间设置为 -1 并将客户端重定向到 IdP 注销终端节点（如果 IdP 支持一个终端节点）。为防止用户重复使用已删除的 Cookie，建议为访问令牌配置合理的短过期时间。如果客户端向负载均衡器提供了一个会话 cookie，该cookie的访问令牌已过期，且具有非NULL刷新令牌，则负载均衡器会联系 IdP 以确定用户是否仍处于登录状态。

客户端注销登录页是未经身份验证的页面。这意味着它不能位于需要身份验证的 Application Load Balancer 规则的后面。