設定客戶受管的 OAuth 2.0 應用程式以進行受信任身分傳播 - AWS IAM Identity Center
選取應用程式類型步驟 2:指定應用程式詳細資訊步驟 3:指定身分驗證設定步驟 4:指定應用程式登入資料步驟 5:檢閱和設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定客戶受管的 OAuth 2.0 應用程式以進行受信任身分傳播

若要設定客戶受管 OAuth 2.0 應用程式進行信任的身分傳播,您必須先將其新增至IAM身分中心。使用下列程序將您的應用程式新增至 IAM Identity Center。

步驟 1:選取應用程式類型

  1. 開啟 IAM Identity Center 主控台

  2. 選擇 Applications (應用程式)

  3. 選擇客戶受管索引標籤。

  4. 選擇新增應用程式

  5. 選取應用程式類型頁面的設定偏好設定下,選擇我擁有要設定的應用程式

  6. 應用程式類型下,選擇 OAuth 2.0。

  7. 選擇下一頁繼續前往下一頁 步驟 2:指定應用程式詳細資訊

步驟 2:指定應用程式詳細資訊

  1. 指定應用程式詳細資訊頁面的應用程式名稱和描述下,輸入應用程式的顯示名稱,例如 MyApp。然後,輸入描述

  2. 使用者和群組指派方法下,選擇下列其中一個選項:

    • 需要指派 – 僅允許指派給此應用程式的 IAM Identity Center 使用者和群組存取應用程式。

      應用程式圖磚可見性 – 只有直接或透過群組指派指派給應用程式的使用者,才能在 AWS 存取入口網站中檢視應用程式圖磚,前提是 AWS 存取入口網站中的應用程式可見性設為可見

    • 不需要指派 – 允許所有授權的 IAM Identity Center 使用者和群組存取此應用程式。

      應用程式圖磚可見性 – 除非 AWS 存取入口網站中的應用程式可見性設為可見,否則登入 AWS 存取入口網站的所有使用者都可看見應用程式圖磚。

  3. AWS 存取入口網站下,輸入使用者可以存取應用程式的 URL ,並指定應用程式圖磚是否會顯示在 AWS 存取入口網站中。如果您選擇不可見,則甚至沒有指派的使用者都可以檢視應用程式圖磚。

  4. 標籤 (選用) 下,選擇新增標籤,然後指定索引鍵值的值 (選用)

    如需標籤的相關資訊,請參閱標記 AWS IAM Identity Center resources

  5. 選擇下一頁,然後繼續前往下一頁 步驟 3:指定身分驗證設定

步驟 3:指定身分驗證設定

若要將支援 OAuth 2.0 的客戶受管應用程式新增至 IAM Identity Center,您必須指定信任的字符發行者。受信任權杖發行者是建立簽章權杖的 OAuth 2.0 授權伺服器。這些字符會授權應用程式啟動存取 AWS 受管應用程式 (接收應用程式) 的請求 (請求應用程式)。

  1. 指定身分驗證設定頁面的信任字符發行者下,執行下列其中一項操作:

    • 若要使用現有的信任字符發行者:

      選取您要使用的受信任字符發行者名稱旁的核取方塊。

    • 若要新增受信任權杖發行者:

      1. 選擇建立信任的字符發行者

      2. 新的瀏覽器索引標籤隨即開啟。請遵循 中的步驟 5 到 8如何將信任的字符發行者新增至 IAM Identity Center 主控台

      3. 完成這些步驟後,請返回您用於應用程式設定的瀏覽器視窗,然後選取您剛新增的信任字符發行者。

      4. 在信任權杖發行者清單中,選取您剛新增之信任權杖發行者名稱旁的核取方塊。

        選取信任的權杖發行者之後,即會顯示設定選取的信任權杖發行者區段。

  2. 設定選取的受信任字符發行者下,輸入 Aud 宣告Aud 宣告會識別受信任權杖發行者所產生權杖的目標對象 (收件人)。如需詳細資訊,請參閱Aud 宣告

  3. 若要防止使用者在使用此應用程式時重新驗證身分,請選取啟用重新整理字符授予。選取後,此選項會每 60 分鐘重新整理工作階段的存取權杖,直到工作階段過期或使用者結束工作階段為止。

  4. 選擇下一頁,然後繼續前往下一頁 步驟 4:指定應用程式登入資料

步驟 4:指定應用程式登入資料

完成此程序中的步驟,以指定您的應用程式用來與信任的應用程式執行權杖交換動作的登入資料。這些登入資料會用在以資源為基礎的政策中。政策要求您指定具有執行政策中指定動作之許可的委託人。即使信任的應用程式位於相同位置,您也必須指定委託人 AWS 帳戶。

注意

當您使用 政策設定許可時, 只會授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為最低權限許可。

此政策需要 sso-oauth:CreateTokenWithIAM動作。

  1. 指定應用程式登入資料頁面上,執行下列其中一項操作:

    • 若要快速指定一或多個IAM角色:

      1. 選擇輸入一或多個IAM角色

      2. 輸入IAM角色下,指定現有IAM角色的 Amazon Resource Name (ARN)。若要指定 ARN,請使用下列語法。的區域部分ARN為空白,因為IAM資源是全域的。

          arn:aws:iam::account:role/role-name-with-path

        如需詳細資訊,請參閱 AWS Identity and Access Management 使用者指南IAMARNs中的使用資源型政策進行跨帳戶存取

    • 若要手動編輯政策 (如果您指定非AWS 憑證則為必要):

      1. 選取編輯應用程式政策

      2. 在JSON文字方塊中輸入或貼上文字,以修改您的政策。

      3. 解決政策驗證期間產生的任何安全警告、錯誤或一般警告。如需詳細資訊,請參閱AWS Identity and Access Management 《 使用者指南》中的驗證IAM政策

  2. 選擇下一頁並繼續前往下一頁 步驟 5:檢閱和設定

步驟 5:檢閱和設定

  1. 檢閱和設定頁面上,檢閱您所做的選擇。若要進行變更,請選擇您想要的組態區段,選擇編輯,然後進行必要的變更。

  2. 完成後,請選擇新增應用程式

  3. 您新增的應用程式會出現在客戶受管應用程式清單中。

  4. 在 IAM Identity Center 中設定客戶受管應用程式後,您必須指定一或多個 AWS 服務或信任的應用程式,才能進行身分傳播。這可讓使用者登入客戶受管應用程式,並存取信任應用程式中的資料。

    如需詳細資訊,請參閱指定信任的應用程式