本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
可信令牌发布者的配置设置
以下各节描述了设置和使用可信令牌发布者所需的设置。
OIDC发现端点URL(颁发者URL)
将可信令牌颁发者添加到 Ident IAM ity Center 控制台时,必须指定OIDC发现端点URL。这URL通常由其亲戚来提URL及/.well-known/openid-configuration。在 IAM Identity Center 控制台中,URL这被称为颁发者URL。
注意
您必须向上URL粘贴发现端点的,直到不粘贴.well-known/openid-configuration。如果.well-known/openid-configuration包含在中URL,则可信令牌发行者配置将不起作用。由于 IAM Identity Center 不会对此进行验证URL,因此,如果格式URL不正确,则可信令牌发行者的设置将失败,恕不另行通知。
只能通过端URL口 80 和 443 访问OIDC发现端点。
IAMIdentity Center 使用它URL来获取有关可信令牌发行者的更多信息。例如,IAMIdentity Center 使用它URL来获取验证可信令牌发行者生成的令牌所需的信息。在向 Ident IAM ity Center 添加可信令牌发行者时,必须指定这一点URL。要查找URL,请参阅用于为应用程序生成令牌的 OAuth 2.0 授权服务器提供商的文档,或者直接联系提供商寻求帮助。
属性映射
属性映射使 Ident IAM ity Center 能够将可信令牌颁发者颁发的令牌中表示的用户与 Ident IAM ity Center 中的单个用户进行匹配。将可信令牌颁发者添加到 Ident IAM ity Center 时,必须指定属性映射。此属性映射用于可信令牌发布者生成的令牌中的声明。索赔中的值用于搜索 Ident IAM ity Center。搜索使用指定的属性检索 Ident IAM ity Center 中的单个用户,该用户将用作其中的用户 AWS。您选择的声明必须映射到 Identity Center IAM 身份存储中固定可用属性列表中的一个属性。您可以选择以下 Identity Center IAM 身份存储属性之一:用户名、电子邮件和外部 ID。对于每个用户,您在 Ident IAM ity Center 中指定的属性值必须是唯一的。
Aud 声明
Aud 声明将确定令牌的目标受众(接收者)。当请求访问的应用程序通过未与 Identity Center 联合的身份提供商进行IAM身份验证时,必须将该身份提供商设置为可信令牌颁发者。接收访问请求的应用程序(接收应用程序)必须将可信令牌发行者生成的令牌交换为 Ident IAM ity Center 生成的令牌。
有关如何获取接收端应用程序在可信令牌发布者处注册的受众声明值,请参阅可信令牌发布者的文档,或联系可信令牌发布者管理员寻求帮助。
