信任的身分傳播概觀

透過受信任的身分傳播，可以更輕鬆地定義、授與及記錄使用者對 AWS 資源的存取。受信任的身份傳播建立在 OAuth 2.0 授權框架上，該框架允許應用程序在不共享密碼的情況下安全地訪問和共享用戶數據。OAuth 2.0 提供對應用程式資源的安全委派存取。由於資源管理員核准或委派使用者登入的應用程式以存取其他應用程式，所以會委派存取權。

為了避免共享用戶密碼，受信任的身份傳播使用令牌。令牌為受信任的應用程序提供了一種標準方法，以聲明用戶是誰以及兩個應用程序之間允許哪些請求。 AWS 與受信任身分傳播整合的受管理應用程式會直接從 IAM 身分中心取得權杖。IAM 身分中心還為應用程序提供了一個選項，用於交換來自外部 OAuth 2.0 授權服務器的身份令牌和訪問令牌。這使得應用程序可以在外部進行身份驗證和獲取令牌 AWS，將令牌交換為 IAM 身份中心令牌，並使用新令牌向 AWS 服務發出請求。如需詳細資訊，請參閱 搭配受信任的權杖發行者使用應用。

OAuth 2.0 程序會在使用者登入應用程式時啟動。使用者登入以啟動要求以存取其他應用程式資源的應用程式。啟動（請求）應用程序可以通過從授權服務器請求令牌來代表用戶訪問接收應用程序。授權服務器返回令牌，並且啟動的應用程序將該令牌（帶有訪問請求）傳遞給接收應用程序。