本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 客户托管的应用程序 IAM Identity Center 充当员工用户和组的中央身份服务。如果您已经使用了身份提供商 (IdP),IAM Identity Center 可以与您的 IdP 集成,以便您将用户和组预置到 IAM Identity Center,并使用您的 IdP 进行身份验证。通过单个连接,IAM Identity Center 在多个连接前面代表您的 IdP, AWS 服务 并使您的 OAuth 2.0 应用程序能够代表您的用户请求访问这些服务中的数据。您还可以使用 IAM Identity Center 为用户分配对 [SAML 2.0](https://wiki.oasis-open.org/security) 应用程序的访问权限。这包括诸如 Amazon Connect 和之类的 AWS 服务 AWS Client VPN,这些服务仅使用 SAML 与 IAM 身份中心集成,因此被归类为客户托管的应用程序。 + 如果您的应用程序支持 **JSON Web 令牌 (JWTs)**,则可以使用 IAM Identity Center 的可信身份传播功能使您的应用程序能够 AWS 服务 代表您的用户请求访问数据。可信身份传播建立在 OAuth 2.0 授权框架之上,包括一个选项,允许应用程序将来自外部 OAuth 2.0 授权服务器的身份令牌交换为 IAM Identity Center 颁发并由其识别的令牌 AWS 服务。有关更多信息,请参阅 [可信身份传播应用场景](trustedidentitypropagation-integrations.md)。 + 如果应用程序支持 **SAML 2.0**,则可以将其连接到 [IAM Identity Center 的组织实例](identity-center-instances.md)。您可以使用 IAM Identity Center 分配对 SAML 2.0 应用程序的访问权限。 **注意** 将客户托管的应用程序与使用[客户托管 KMS 密钥](encryption-at-rest.md)的 IAM Identity Center 实例集成时,请验证应用程序是否调用 IAM Identity Center 服务 APIs以确认该应用程序是否需要 KMS 密钥权限。按照 IAM Identity Center 用户指南的[基准 KMS 密钥策略中关于向自定义工作流程授予 KMS 密钥](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center)权限的指导进行操作。 **Topics** + [对 SAML 2.0 和 OAuth 2.0 应用程序的单点登录访问权限](customermanagedapps-saml2-oauth2.md) + [设置客户托管的 SAML 2.0 应用程序](customermanagedapps-saml2-setup.md)