OIDC 聯盟

假設您正在建立可存取 AWS 資源的應用程式，例如使用工 GitHub作流程存取 Amazon S3 和 DynamoDB 的動作。

當您使用這些工作流程時，您會向必須使用 AWS 存取金鑰簽署的 AWS 服務提出要求。不過，我們強烈建議您不要在外部的應用程式中長期儲存 AWS 認證 AWS。而是使用 OIDC 聯盟設定您的應用程式，在需要時動態要求臨時 AWS 安全登入資料。提供的臨時認證對應至僅具有執行應用程式所需工作所需權限的 AWS 角色。

使用 OIDC 聯盟，您不需要建立自訂登入程式碼或管理自己的使用者身分識別。相反，您可以在應用程序中使用 OIDC，例如 GitHub 操作或任何其他 OpenID Connect（OIDC）兼容的 IdP，以進行身份驗證。 AWS他們收到身份驗證令牌（稱為 JSON Web 令牌（JWT），然後將該令牌交換為 AWS 該映射中的臨時安全憑據，以便將該令牌交換為具有在. AWS 帳戶使用 IdP 可協助您保護安 AWS 帳戶全，因為您不需要在應用程式中內嵌和散佈長期安全登入資料。

在大多數情況下，建議您使用 Amazon Cognito，因為它可以充當身分經紀人，並為您執行許多聯合工作。如需詳細資訊，請參閱下列章節：針對行動應用程式使用 Amazon Cognito。

注意

由 OpenID Connect（OIDC）身份提供程序發布的 JSON 網絡令牌（JWT）在exp聲明中包含指定令牌何時過期的到期時間。如 OpenID Connect（OIDC）核心 1.0 標準允許的那樣，IAM 提供了超出 JWT 中指定的到期時間的五分鐘時段，以解決時鐘偏差。這意味著 IAM 在到期時間之後，但在這五分鐘內收到的 OIDC JWT 可以進行進一步的評估和處理。

主題

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

針對行動應用程式使用 OIDC 聯合 API 作業

建立 OIDC 身分識別提供者