設定受信任權杖發行者 - AWS IAM Identity Center
協調管理角色和責任設定受信任權杖發行者的任務如何將受信任權杖發行者新增至 IAM Identity Center 主控台如何在 IAM Identity Center 主控台中檢視或編輯受信任權杖發行者設定針對使用受信任權杖發行者的應用程式設定程序和請求流程

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定受信任權杖發行者

若要為向 Identity Center 外部驗證的應用程式啟用受信任IAM身分傳播,一或多個管理員必須設定受信任的權杖發行者。受信任的權杖發行者是 OAuth 2.0 授權伺服器,會向啟動請求的應用程式 (請求應用程式) 發出權杖。權杖會授權這些應用程式代表其使用者向接收的應用程式 ( AWS 服務) 發出請求。

協調管理角色和責任

在某些情況下,單一管理員可能會執行設定受信任權杖發行者所需的所有必要任務。如果多個管理員執行這些任務,則需要密切協調。下表說明多個管理員如何協調以設定受信任的權杖發行者,並設定 AWS 服務來使用它。

注意

應用程式可以是與 IAM Identity Center 整合並支援受信任身分傳播的任何 AWS 服務。

如需詳細資訊,請參閱設定受信任權杖發行者的任務

角色 執行這些任務 與 協調
IAM Identity Center 管理員

將外部 IdP 作為受信任權杖發行者新增至 IAM Identity Center 主控台。

協助設定 IAM Identity Center 與外部 IdP 之間的正確屬性映射。

將信任的權杖發行者新增至 IAM Identity Center 主控台時,通知 AWS 服務管理員。

外部 IdP (受信任權杖發行者) 管理員

AWS 服務管理員
外部 IdP (受信任權杖發行者) 管理員

設定外部 IdP 以發出權杖。

協助設定 IAM Identity Center 與外部 IdP 之間的正確屬性映射。

將 AWS 受眾名稱 (Aud 宣告) 提供給服務管理員。

IAM Identity Center 管理員

AWS 服務管理員
AWS 服務管理員

檢查受信任權杖發行者的 AWS 服務主控台。Identity IAM Center 管理員將受信任權杖發行者新增至 IAM Identity Center 主控台後,即可在 AWS 服務主控台中看見該權杖發行者。

設定 AWS 服務以使用受信任的權杖發行者。

IAM Identity Center 管理員

外部 IdP (受信任權杖發行者) 管理員

設定受信任權杖發行者的任務

若要設定受信任權杖發行者, IAM Identity Center 管理員、外部 IdP (受信任權杖發行者) 管理員和應用程式管理員必須完成下列任務。

注意

應用程式可以是與 IAM Identity Center 整合並支援受信任身分傳播的任何 AWS 服務。

  1. 將受信任權杖發行者新增至 IAM Identity Center – IAM Identity Center 管理員會使用 IAM Identity Center 主控台或 來新增受信任權杖發行者APIs。此組態需要指定下列項目:

    • 受信任權杖發行者的名稱。

    • 探索OIDC端點 URL(在 IAM Identity Center 主控台中,URL這稱為發行者 URL)。探索端點只能透過連接埠 80 和 443 存取。

    • 用於使用者查詢的屬性映射。此屬性映射用於由受信任權杖發行者產生的權杖中的宣告。宣告中的值用於搜尋 IAM Identity Center。搜尋使用指定的屬性來擷取 IAM Identity Center 中的單一使用者。

  2. 將 AWS 服務連接至 IAM Identity Center – AWS 服務管理員必須使用應用程式或應用程式的 主控台,將應用程式連線至 IAM Identity CenterAPIs。

    將受信任權杖發行者新增至 IAM Identity Center 主控台後,它也會在 AWS 服務主控台中顯示,可供 AWS 服務管理員選取。

  3. 設定權杖交換的使用 – 在 AWS 服務主控台中, AWS 服務管理員會設定 AWS 服務以接受受信任權杖發行者發行的權杖。這些權杖會交換為 IAM Identity Center 產生的權杖。這需要從步驟 1 指定受信任權杖發行者的名稱,以及對應至 AWS 服務的 Aud 宣告值。

    信任的權杖發行者會將 Aud 宣告值放置在其發行的權杖中,以指示權杖僅供 AWS 服務使用。若要取得此值,請聯絡信任權杖發行者的管理員。

如何將受信任權杖發行者新增至 IAM Identity Center 主控台

在具有多個管理員的組織中,此任務由 IAM Identity Center 管理員執行。如果您是 IAM Identity Center 管理員,您必須選擇要用作受信任權杖發行者的外部 IdP。

若要將受信任的權杖發行者新增至 IAM Identity Center 主控台

  1. 開啟 IAM Identity Center 主控台

  2. 選擇設定

  3. 設定頁面上,選擇身分驗證索引標籤。

  4. 受信任權杖發行者 下,選擇建立受信任權杖發行者

  5. 設定外部 IdP 以發出受信任權杖頁面上,在受信任權杖發行者詳細資訊 下,執行下列動作:

    • 對於發行者 URL,指定外部 IdP URL的OIDC探索,其將發行用於受信任身分傳播的權杖。您必須指定探索端點URL的 ,直到 且不含 .well-known/openid-configuration為止。外部 IdP 的管理員可以提供此 URL。

      注意

      請注意,這URL必須與發行者 (iss) 宣告URL中針對受信任身分傳播發行的權杖中的 相符。

    • 對於受信任權杖發行者名稱 ,在 IAM Identity Center 和應用程式主控台中輸入名稱以識別此受信任權杖發行者。

  6. 映射屬性 下,執行下列動作:

    • 對於 Identity Provider 屬性 ,從清單中選擇屬性,以映射到 IAM Identity Center 身分存放區中的屬性。

    • 針對 IAM Identity Center 屬性 ,選取屬性對應的屬性。

  7. 標籤 (選用) 下,選擇新增標籤 ,為金鑰 指定值,並為值 指定選用

    如需標籤的相關資訊,請參閱標記 AWS IAM Identity Center resources

  8. 選擇建立受信任權杖發行者

  9. 建立受信任權杖發行者之後,請聯絡應用程式管理員,讓他們知道受信任權杖發行者的名稱,以便他們可以確認受信任權杖發行者顯示在適用的主控台中。

  10. 應用程式管理員必須在適用的主控台中選取此受信任權杖發行者,以讓使用者從設定為受信任身分傳播的應用程式存取應用程式。

如何在 IAM Identity Center 主控台中檢視或編輯受信任權杖發行者設定

將受信任權杖發行者新增至 IAM Identity Center 主控台後,您可以檢視和編輯相關設定。

如果您打算編輯受信任的權杖發行者設定,請記住,這樣做可能會導致使用者無法存取任何設定為使用受信任權杖發行者的應用程式。為了避免中斷使用者存取,我們建議您在編輯設定之前,先與管理員協調任何設定為使用受信任權杖發行者的應用程式。

若要在 IAM Identity Center 主控台中檢視或編輯受信任權杖發行者設定

  1. 開啟 IAM Identity Center 主控台

  2. 選擇設定

  3. 設定頁面上,選擇身分驗證索引標籤。

  4. 受信任權杖發行者 下,選取您要檢視或編輯的受信任權杖發行者。

  5. 選擇動作,然後選擇編輯

  6. 編輯受信任權杖發行者頁面上,視需要檢視或編輯設定。您可以編輯信任的權杖發行者名稱、屬性映射和標籤。

  7. 選擇 Save changes (儲存變更)。

  8. 編輯受信任權杖發行者對話方塊中,系統會提示您確認是否要進行變更。選擇確認

針對使用受信任權杖發行者的應用程式設定程序和請求流程

本節說明使用受信任權杖發行者進行受信任身分傳播的應用程式的設定程序和請求流程。下圖提供此程序的概觀。

使用受信任權杖發行者進行受信任身分傳播的應用程式設定程序和請求流程

下列步驟提供有關此程序的其他資訊。

  1. 設定 IAM Identity Center 和接收 AWS 受管應用程式,以使用受信任的權杖發行者。如需相關資訊,請參閱 設定受信任權杖發行者的任務

  2. 請求流程會在使用者開啟請求應用程式時開始。

  3. 請求應用程式會請求受信任權杖發行者的權杖,以對接收受 AWS 管應用程式發出請求。如果使用者尚未驗證,此程序會觸發驗證流程。權杖包含下列資訊:

    • 使用者的主題 (子)。

    • Identity Center 用來在 IAM Identity IAM Center 中查詢對應使用者的屬性。

    • 對象 (音訊) 宣告,其中包含受信任權杖發行者與接收 AWS 受管應用程式相關聯的值。如果存在其他宣告,IAM則 Identity Center 不會使用這些宣告。

  4. 請求應用程式或其使用的 AWS 驅動程式會將權杖傳遞給 IAM Identity Center,並請求將權杖交換為 IAM Identity Center 產生的權杖。如果您使用 AWS 驅動程式,您可能需要為此使用案例設定驅動程式。如需詳細資訊,請參閱相關 AWS 受管應用程式的文件。

  5. IAM Identity Center 使用 OIDC Discovery 端點來取得公有金鑰,可用於驗證權杖的真實性。IAM 身分中心接著會執行下列動作:

    • 驗證權杖。

    • 搜尋 Identity Center 目錄。若要這麼做, IAM Identity Center 會使用權杖中指定的映射屬性。

    • 驗證使用者是否有權存取接收應用程式。如果受 AWS 管應用程式設定為需要指派給使用者和群組,則使用者必須擁有應用程式的直接或群組型指派,否則請求會遭到拒絕。如果 AWS 受管應用程式設定為不需要使用者和群組指派,則處理會繼續。

      注意

      AWS 服務具有預設設定組態,可判斷使用者和群組是否需要指派。如果您打算搭配信任的身分傳播使用這些應用程式,建議您不要修改這些應用程式的需要指派設定。即使您已設定允許使用者存取特定應用程式資源的精細許可,修改需要指派設定仍可能導致意外行為,包括中斷使用者對這些資源的存取。

    • 確認請求應用程式已設定為使用接收 AWS 受管應用程式的有效範圍。

  6. 如果先前的驗證步驟成功, IAM Identity Center 會建立新的權杖。新權杖是不透明 (加密) 權杖,其中包含 IAM Identity Center 中對應使用者的身分、接收 AWS 受管應用程式的受眾 (Aud),以及請求應用程式向接收 AWS 受管應用程式提出請求時可以使用的範圍。

  7. 請求應用程式或其使用的驅動程式會向接收應用程式啟動資源請求,並將 IAM Identity Center 產生的權杖傳遞給接收應用程式。

  8. 接收應用程式會呼叫 IAM Identity Center,以取得使用者身分和字符中編碼的範圍。它也可能請求從 Identity Center 目錄取得使用者屬性或使用者的群組成員資格。

  9. 接收應用程式使用其授權組態來判斷使用者是否有權存取請求的應用程式資源。

  10. 如果使用者有權存取請求的應用程式資源,接收應用程式會回應請求。

  11. 使用者的身分、代表他們執行的動作,以及記錄在接收應用程式日誌和 CloudTrail事件中的其他事件。記錄此資訊的特定方式會因應用程式而異。