設定應用程式的單一登入存取權 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定應用程式的單一登入存取權

IAMIdentity Center 支援兩種應用程式類型: AWS 受管理的應用程式和客戶管理

AWS 受管理的應用程式是直接從相關應用程式主控台內部或透過應用程式設定APIs。

客戶受管理的應用程式必須新增至 IAM Identity Center 主控台,並為IAM身分識別中心和服務提供者設定適當的中繼資料。您可以從支援 SAML 2.0 的常用應用程式目錄中進行選擇,也可以設定自己的 2.0 應用程式或 SAML OAuth 2.0 應用程式。

設定應用程式的單一登入存取權限的組態步驟會因應用程式類型而有所不同。

AWS Amazon 受管的 Grafana 和亞馬 Amazon Monitron 等受管應用程式與身分識別中心整合IAM。若要將 AWS 受管理的應用程式設定為與 IAM Identity Center 搭配使用,您必須直接從主控台為適用的服務設定應用程式,或者您必須使用該應用程式APIs。

您可以從 IAM Identity Center 主控台中的常用應用程式目錄中選取 SAML 2.0 應用程式。使用此程序可在IAM身分識別中心與應用程式的服務提供者之間設定 SAML 2.0 信任關係。

從應用程式類別目錄設定應用程式

  1. 開啟IAM身分識別中心主控台

  2. 選擇 Applications (應用程式)

  3. 選擇「客戶管理」標籤。

  4. 選擇新增應用程式

  5. 在 [選取應用程式類型] 頁面的 [設定] 偏好設定下,選擇 [我要從目錄中選取應用程式]。

  6. 在 [應用程式類別目錄] 下,開始在搜尋方塊中輸入您要新增的應用程式名稱。

  7. 當應用程式出現在搜尋結果中時,請從清單中選擇該應用程式的名稱,然後選擇 [下一步]。

  8. 在 [設定應用程式] 頁面上,[顯示名稱] 和 [說明] 欄位會預先填入應用程式的相關詳細資訊。您可以編輯此資訊。

  9. IAM身分識別中心中繼資料下,執行下列動作

    1. IAM身分識別中心中SAML繼資料檔案,選擇 [下載] 以下載身分識別提供者

    2. IAM身分識別中心憑證下,選擇下載憑證以下載身分識別提供者憑證。

    注意

    稍後當您從服務供應商的網站設定應用程式時,您將需要這些檔案。請遵循該供應商的說明執行。

  10. (選擇性) 在應用程式屬性下,您可以指定應用程式啟動URL轉送狀態工作階段持續時間。如需詳細資訊,請參閱在IAM識別中心主控台中設定應用程式特性

  11. 應用程式中繼資料下,執行下列其中一個動作

    1. 如果您有中繼資料檔案,請選擇上傳應用程式SAML中繼資料檔案。然後,選擇選擇要查找的文件並選擇元數據文件。

    2. 如果您沒有中繼資料檔案,請選擇 [手動輸入中繼資料值],然後提供 [應用程式] ACS URL 和 [用程式] SAML 對象值。

  12. 選擇提交。您將被帶到剛剛添加的應用程序的詳細信息頁面。

使用此程序,在IAM身分識別中心與您自己的 SAML 2.0 應用程式的服務提供者之間設定自己的 SAML 2.0 信任關係。開始此程序前,請確定您具有服務供應商的憑證和中繼資料交換檔案,以便完成信任的設定。

若要設定您自己的 SAML 2.0 應用程式

  1. 開啟IAM身分識別中心主控台

  2. 選擇 Applications (應用程式)

  3. 選擇「客戶管理」標籤。

  4. 選擇新增應用程式

  5. 在 [選取應用程式類型] 頁面的 [設定] 偏好設定下,選擇 [我有要設定的應用程式]。

  6. 在「應用程式類型」下,選擇 SAML2.0

  7. 選擇 Next (下一步)

  8. 在 [設定應用程式] 頁面的 [設定應用程式] 下,輸入應用程式的顯示名稱,例如MyApp。然後,輸入「描」。

  9. IAM身分識別中心中繼資料下,執行下列動作

    1. IAM身分識別中心中SAML繼資料檔案,選擇 [下載] 以下載身分識別提供者

    2. IAM身分識別中心憑證下,選擇下載以下載身分識別提供者憑證。

    注意

    稍後在您從服務供應商的網站設定自訂應用程式時,將需要這些檔案。

  10. (選擇性) 在應用程式屬性下,您也可以指定應用程式啟動URL轉送狀態工作階段持續時間。如需詳細資訊,請參閱在IAM識別中心主控台中設定應用程式特性

  11. 在 [應用程式中繼資料] 下方,選擇 [手動輸入您的 然後提供「應用程式」ACS URL 和「應用程式」SAML 對象值。

  12. 選擇提交。您將被帶到剛剛添加的應用程序的詳細信息頁面。

在您設定應用程式之後,您的使用者可以根據您指派的權限,從他們的 AWS 存取入口網站存取您的應用程式。

如果您有支援 OAuth 2.0 的客戶管理應用程式,而您的使用者需要從這些應用程式存取 AWS 服務,則可以使用受信任的身分傳播。透過受信任的身分傳播,使用者可以登入應用程式,而且該應用程式可以在要求中傳遞使用者身分,以存取 AWS 服務中的資料。如需詳細資訊,請參閱將受信任的身分傳播與客戶管理的應用

如需支援的應用程式類型的詳細資訊,請參閱管理應用程式的存取