本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
信任的權杖發行者組態設定
下列各節說明設定和使用受信任權杖發行者所需的設定。
OIDC 探索端點 URL(發行者 URL)
當您將受信任權杖發行者新增至 IAM Identity Center 主控台時,您必須指定OIDC探索端點 URL。這URL通常由其相對 URL、 所指/.well-known/openid-configuration。在 IAM Identity Center 主控台中,這URL稱為發行者 URL。
注意
您必須貼上探索端點URL的 ,直到 和沒有 為止.well-known/openid-configuration。如果 .well-known/openid-configuration 包含 URL,信任的權杖發行者組態將無法運作。由於 IAM Identity Center 不會驗證此 URL,如果 URL 未正確形成,受信任的權杖發行者設定將在未通知的情況下失敗。
探索OIDC端點URL只能透過連接埠 80 和 443 存取。
IAM Identity Center 使用此功能URL來取得受信任權杖發行者的其他資訊。例如,IAMIdentity Center 使用此功能URL來取得驗證受信任權杖發行者產生權杖所需的資訊。當您將受信任權杖發行者新增至 IAM Identity Center 時,您必須指定此 URL。若要尋找 URL,請參閱您用來為應用程式產生權杖的 OAuth 2.0 授權伺服器提供者的文件,或直接聯絡提供者以取得協助。
屬性對應
屬性映射可讓 IAM Identity Center 將受信任權杖發行者發出的權杖中表示的使用者與 IAM Identity Center 中的單一使用者進行比對。當您將受信任權杖發行者新增至 IAM Identity Center 時,必須指定屬性映射。此屬性映射用於由受信任權杖發行者產生的權杖中的宣告。宣告中的值用於搜尋 IAM Identity Center。搜尋會使用指定的屬性來擷取 IAM Identity Center 中的單一使用者,該使用者將作為 中的使用者。 AWS您選擇的宣告必須對應到 IAM Identity Center 身分存放區中可用屬性的固定清單中的一個屬性。您可以選擇下列其中一個 IAM Identity Center 身分存放區屬性:使用者名稱、電子郵件和外部 ID。您在 IAM Identity Center 中指定的屬性值必須為每個使用者唯一。
Aud 宣告
aud 宣告會識別要為其指定權杖的受眾 (收件人)。當請求存取的應用程式透過未與 IAM Identity Center 聯合的身分提供者進行身分驗證時,該身分提供者必須設定為受信任的權杖發行者。接收存取請求 (接收應用程式) 的應用程式必須將受信任權杖發行者產生的權杖,交換為 IAM Identity Center 產生的權杖。
如需如何在受信任權杖發行者註冊接收應用程式時取得 aud 宣告值的相關資訊,請參閱受信任權杖發行者的文件,或聯絡受信任權杖發行者管理員以取得協助。
