可信身份传播概述

通过可信身份传播，用户可以访问 AWS 可以更轻松地定义、授予和记录资源。可信身份传播建立在 OAuth2.0 授权框架之上，该框架允许应用程序在不共享密码的情况下安全地访问和共享用户数据。OAuth2.0 提供对应用程序资源的安全委托访问权限。之所以说访问权限是被委派的，是因为需要资源管理员批准，或者授权用户登录的应用程序访问其他应用程序。

为避免共享用户密码，可信身份传播会使用令牌。令牌为可信应用程序提供了一种标准方法，可以声明用户是谁以及两个应用程序之间允许哪些请求。 AWS 与可信身份传播集成的托管应用程序可直接从 Ident IAM ity Center 获取令牌。IAMIdentity Center 还为应用程序提供了一个选项，用于交换来自外部 OAuth 2.0 授权服务器的身份令牌和访问令牌。这使得应用程序可以在外部进行身份验证和获取令牌 AWS，使用该令牌兑换IAM身份中心令牌，然后使用新令牌向发出请求 AWS 服务的支持。有关更多信息，请参阅 通过可信令牌发布者使用应用程序。

OAuth2.0 过程从用户登录应用程序时开始。用户登录的应用程序会发起访问其他应用程序资源的请求。发起（请求）的应用程序可以通过向授权服务器请求令牌，代表用户访问接收端应用程序。授权服务器将返回令牌，而发起端应用程序会将该令牌连同访问请求一起，传递给接收端应用程序。