本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
信任的字符發行者組態設定
下列各節說明設定和使用信任字符發行者所需的設定。
OIDC 探索端點 URL(發行者 URL)
當您將信任的字符發行者新增至 IAM Identity Center 主控台時,您必須指定OIDC探索端點 URL。這URL通常由其相對 URL、 所指/.well-known/openid-configuration。在 IAM Identity Center 主控台中,這URL稱為發行者 URL。
注意
您必須貼上探索端點URL的 ,直到 和沒有 為止.well-known/openid-configuration。如果 .well-known/openid-configuration包含 URL,信任的字符發行者組態將無法運作。因為 IAM Identity Center 不會驗證此 URL,如果 URL 未正確形成,信任的字符發行者設定會失敗,不會發出通知。
探索OIDC端點URL必須只能透過連接埠 80 和 443 存取。
IAM Identity Center 使用此功能URL來取得受信任字符發行者的其他資訊。例如,IAMIdentity Center 使用此功能URL來取得驗證受信任字符發行者產生字符所需的資訊。當您將信任的字符發行者新增至 IAM Identity Center 時,您必須指定此 URL。若要尋找 URL,請參閱您用來為應用程式產生字符的 OAuth 2.0 授權伺服器提供者文件,或直接聯絡提供者尋求協助。
屬性對應
屬性映射可讓 IAM Identity Center 將受信任字符發行者發出的字符中表示的使用者,比對到 IAM Identity Center 中的單一使用者。當您將信任的字符發行者新增至 IAM Identity Center 時,必須指定屬性映射。此屬性映射用於由受信任字符發行者產生的字符中的宣告。宣告中的值用於搜尋 IAM Identity Center。搜尋會使用指定的屬性來擷取 IAM Identity Center 中的單一使用者,該使用者將做為其中的使用者使用 AWS。您選擇的宣告必須對應到 IAM Identity Center 身分存放區中可用屬性的固定清單中的一個屬性。您可以選擇下列其中一個 IAM Identity Center 身分存放區屬性:使用者名稱、電子郵件和外部 ID。您在 IAM Identity Center 中指定的屬性值對於每個使用者必須是唯一的。
Aud 宣告
aud 宣告會識別要為其指定權杖的對象 (收件人)。當請求存取的應用程式透過未聯合身分IAM中心的身分提供者進行身分驗證時,該身分提供者必須設定為信任的字符發行者。接收存取請求 (接收應用程式) 的應用程式必須將信任的字符發行者產生的字符交換為 IAM Identity Center 產生的字符。
如需如何在受信任字符發行者註冊接收應用程式時取得 aud 宣告值的資訊,請參閱您受信任字符發行者的文件,或聯絡受信任字符發行者管理員尋求協助。
