設定信任的字符發行者 - AWS IAM Identity Center
協調管理角色和責任設定信任字符發行者的任務如何將信任的字符發行者新增至 IAM Identity Center 主控台如何在 IAM Identity Center 主控台中檢視或編輯信任的字符發行者設定使用受信任字符發行者的應用程式的設定程序和請求流程

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定信任的字符發行者

若要為向 Identity Center 外部驗證的應用程式啟用受信任IAM身分傳播,一或多個管理員必須設定受信任的字符發行者。受信任的字符發行者是 OAuth 2.0 授權伺服器,會向啟動請求的應用程式 (請求應用程式) 發出字符。權杖會授權這些應用程式代表其使用者向接收的應用程式 ( AWS 服務) 發出請求。

協調管理角色和責任

在某些情況下,單一管理員可能會執行所有必要的任務,以設定信任的字符發行者。如果多個管理員執行這些任務,則需要密切協調。下表說明多個管理員如何協調以設定信任的字符發行者,並設定 AWS 服務來使用它。

注意

應用程式可以是與 IAM Identity Center 整合並支援受信任身分傳播的任何 AWS 服務。

如需詳細資訊,請參閱設定信任字符發行者的任務

角色 執行這些任務 與 的座標
IAM Identity Center 管理員

將外部 IdP 做為信任的字符發行者新增至 IAM Identity Center 主控台。

協助設定 IAM Identity Center 與外部 IdP 之間的正確屬性映射。

將信任的字符發行者新增至 IAM Identity Center 主控台時,通知 AWS 服務管理員。

外部 IdP (受信任字符發行者) 管理員

AWS 服務管理員
外部 IdP (受信任字符發行者) 管理員

設定外部 IdP 以發出權杖。

協助設定 IAM Identity Center 與外部 IdP 之間的正確屬性映射。

提供 AWS 對象名稱 (Aud 宣告) 給服務管理員。

IAM Identity Center 管理員

AWS 服務管理員
AWS 服務管理員

檢查 AWS 服務主控台是否有信任的字符發行者。信任的字符發行者會在 IAM Identity Center 管理員將其新增至 IAM Identity Center 主控台之後,顯示在 AWS 服務主控台中。

設定 AWS 服務以使用信任的字符發行者。

IAM Identity Center 管理員

外部 IdP (受信任字符發行者) 管理員

設定信任字符發行者的任務

若要設定受信任權杖發行者, IAM Identity Center 管理員、外部 IdP (受信任權杖發行者) 管理員和應用程式管理員必須完成下列任務。

注意

應用程式可以是與 IAM Identity Center 整合並支援受信任身分傳播的任何 AWS 服務。

  1. 將信任的字符發行者新增至 IAM Identity Center – IAM Identity Center 管理員會使用 IAM Identity Center 主控台或 新增信任的字符發行者APIs。此組態需要指定下列項目:

    • 受信任字符發行者的名稱。

    • 探索OIDC端點 URL(在 IAM Identity Center 主控台中,URL這稱為發行者 URL)。探索端點必須只能透過連接埠 80 和 443 進行連線。

    • 使用者查詢的屬性映射。此屬性映射用於由受信任權杖發行者產生的權杖中的宣告。宣告中的值用於搜尋 IAM Identity Center。搜尋使用指定的屬性來擷取 IAM Identity Center 中的單一使用者。

  2. 將 AWS 服務連接至 IAM Identity Center – AWS 服務管理員必須使用應用程式的主控台或應用程式 ,將應用程式連接至 IAM Identity CenterAPIs。

    將信任的字符發行者新增至 IAM Identity Center 主控台後,它也會在 AWS 服務主控台中顯示,可供 AWS 服務管理員選取。

  3. 設定權杖交換的使用 – 在 AWS 服務主控台中, AWS 服務管理員會設定 AWS 服務以接受信任權杖發行者發行的權杖。這些字符會交換為 IAM Identity Center 產生的字符。這需要從步驟 1 指定信任字符發行者的名稱,以及對應至 AWS 服務的 Aud 宣告值。

    信任的權杖發行者會將 Aud 宣告值放在其發行的權杖中,以表示權杖旨在供 AWS 服務使用。若要取得此值,請聯絡信任權杖發行者的管理員。

如何將信任的字符發行者新增至 IAM Identity Center 主控台

在具有多個管理員的組織中,此任務是由 IAM Identity Center 管理員執行。如果您是 IAM Identity Center 管理員,您必須選擇要用作受信任字符發行者的外部 IdP。

將信任的字符發行者新增至 IAM Identity Center 主控台

  1. 開啟 IAM Identity Center 主控台

  2. 選擇設定

  3. 設定頁面上,選擇身分驗證索引標籤。

  4. 信任的字符發行者下,選擇建立信任的字符發行者

  5. 設定外部 IdP 以發出信任權杖頁面上,在信任權杖發行者詳細資訊下,執行下列動作:

    • 對於發行者 URL,指定外部 IdP URL的OIDC探索,其將發出權杖以進行受信任身分傳播。您必須指定探索端點URL的 ,直到 且不含 .well-known/openid-configuration為止。外部 IdP 的管理員可以提供此 URL。

      注意

      請注意,這URL必須與發行者 (iss) 宣告URL中的 相符,該聲明是針對受信任身分傳播發行的字符。

    • 針對信任的字符發行者名稱,在 IAM Identity Center 和應用程式主控台中輸入名稱以識別此信任的字符發行者。

  6. 地圖屬性下,執行下列動作:

    • 針對 Identity provider 屬性,從清單中選擇屬性,以映射到 IAM Identity Center 身分存放區中的屬性。

    • 針對 IAM Identity Center 屬性,選取屬性對應的屬性。

  7. 標籤 (選用) 下,選擇新增標籤、為金鑰指定值,以及為值選擇性指定

    如需標籤的相關資訊,請參閱標記 AWS IAM Identity Center resources

  8. 選擇建立信任的字符發行者

  9. 建立受信任字符發行者之後,請聯絡應用程式管理員,讓他們知道受信任字符發行者的名稱,以便他們可以確認受信任字符發行者顯示在適用的主控台中。

  10. 應用程式管理員必須在適用的主控台中選取此受信任的字符發行者,以讓使用者從為受信任身分傳播設定的應用程式存取應用程式。

如何在 IAM Identity Center 主控台中檢視或編輯信任的字符發行者設定

在 Identity IAM Center 主控台中新增受信任權杖發行者之後,您可以檢視和編輯相關設定。

如果您打算編輯信任的字符發行者設定,請記住,這樣做可能會導致使用者無法存取任何設定為使用信任字符發行者的應用程式。為了避免中斷使用者存取,建議您在編輯設定之前,先與管理員協調任何設定為使用信任字符發行者的應用程式。

在 IAM Identity Center 主控台中檢視或編輯信任的字符發行者設定

  1. 開啟 IAM Identity Center 主控台

  2. 選擇設定

  3. 設定頁面上,選擇身分驗證索引標籤。

  4. 信任的字符發行者下,選取您要檢視或編輯的信任字符發行者。

  5. 選擇動作,然後選擇編輯

  6. 編輯信任的字符發行者頁面上,視需要檢視或編輯設定。您可以編輯信任的字符發行者名稱、屬性映射和標籤。

  7. 選擇 Save changes (儲存變更)。

  8. 編輯信任的字符發行者對話方塊中,系統會提示您確認是否要進行變更。選擇確認

使用受信任字符發行者的應用程式的設定程序和請求流程

本節說明使用受信任字符發行者進行受信任身分傳播的應用程式的設定程序和請求流程。下圖提供此程序的概觀。

使用受信任字符發行者進行受信任身分傳播的應用程式的設定程序和請求流程

下列步驟提供此程序的其他資訊。

  1. 設定 IAM Identity Center 和接收 AWS 受管應用程式,以使用信任的字符發行者。如需相關資訊,請參閱 設定信任字符發行者的任務

  2. 請求流程會在使用者開啟請求應用程式時開始。

  3. 請求應用程式會向信任的權杖發行者請求權杖,以對接收 AWS 受管應用程式發出請求。如果使用者尚未進行身分驗證,此程序會觸發身分驗證流程。字符包含下列資訊:

    • 使用者的主題 (Sub)。

    • Identity Center 用來在 IAM Identity IAM Center 中查詢對應使用者的屬性。

    • 對象 (音訊) 宣告,其中包含信任的字符發行者與接收 AWS 受管應用程式相關聯的值。如果存在其他宣告,則 IAM Identity Center 不會使用這些宣告。

  4. 請求應用程式或其使用的 AWS 驅動程式會將字符傳遞給 IAM Identity Center,並請求將字符交換為 IAM Identity Center 產生的字符。如果您使用 AWS 驅動程式,您可能需要為此使用案例設定驅動程式。如需詳細資訊,請參閱相關 AWS 受管應用程式的文件。

  5. IAM Identity Center 使用 OIDC Discovery 端點來取得公有金鑰,可用於驗證字符的真實性。 IAM身分中心接著會執行下列動作:

    • 驗證權杖。

    • 搜尋 Identity Center 目錄。若要這樣做, IAM Identity Center 會使用字符中指定的映射屬性。

    • 驗證使用者是否有權存取接收應用程式。如果 AWS 受管應用程式設定為需要指派給使用者和群組,則使用者必須擁有應用程式的直接或群組型指派,否則請求會遭到拒絕。如果 AWS 受管應用程式設定為不需要使用者和群組指派,則處理會繼續。

      注意

      AWS 服務具有預設設定組態,可判斷使用者和群組是否需要指派。如果您打算搭配信任的身分傳播使用應用程式,建議您不要修改這些應用程式的需要指派設定。即使您已設定允許使用者存取特定應用程式資源的精細許可,修改需要指派設定仍可能導致意外行為,包括中斷使用者存取這些資源。

    • 確認請求應用程式已設定為使用接收 AWS 受管應用程式的有效範圍。

  6. 如果先前的驗證步驟成功, IAM Identity Center 會建立新的權杖。新權杖是不透明 (加密) 權杖,其中包含 IAM Identity Center 中對應使用者的身分、接收 AWS 受管應用程式的對象 (Aud),以及請求應用程式向接收 AWS 受管應用程式提出請求時可使用的範圍。

  7. 請求應用程式或其使用的驅動程式會啟動資源請求給接收應用程式,並將 IAM Identity Center 產生的字符傳遞給接收應用程式。

  8. 接收應用程式會呼叫 IAM Identity Center,以取得使用者身分和字符中編碼的範圍。它也可能請求從 Identity Center 目錄取得使用者屬性或使用者的群組成員資格。

  9. 接收應用程式會使用其授權組態來判斷使用者是否有權存取請求的應用程式資源。

  10. 如果使用者有權存取請求的應用程式資源,接收應用程式會回應請求。

  11. 使用者的身分、代表他們執行的動作,以及記錄在接收應用程式日誌和 CloudTrail事件中的其他事件。記錄此資訊的特定方式會因應用程式而異。