使用具有受信任權杖發行者的應用程式 - AWS IAM Identity Center
受信任權杖發行者概觀受信任權杖發行者的先決條件和考量事項JTI 宣告詳細資訊

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用具有受信任權杖發行者的應用程式

受信任權杖發行者可讓您將受信任身分傳播與在 外部驗證的應用程式搭配使用 AWS。透過受信任的權杖發行者,您可以授權這些應用程式代表其使用者提出存取 AWS 受管應用程式的請求。

下列主題說明受信任權杖發行者的運作方式,並提供設定指引。

主題

受信任權杖發行者概觀

受信任身分傳播提供一種機制,可讓在 外部進行身分驗證的應用程式使用受信任的權杖發行者代表其使用者 AWS 提出請求。受信任權杖發行者是建立已簽署權杖的 OAuth 2.0 授權伺服器。這些權杖會授權應用程式啟動存取 AWS 服務 (接收應用程式) 的請求 (請求應用程式)。請求應用程式代表受信任權杖發行者驗證的使用者啟動存取請求。信任的權杖發行者和 IAM Identity Center 都知道使用者。

AWS 接收請求的 服務會根據其使用者和群組成員資格管理對其資源的精細授權,如 Identity Center 目錄所示。 AWS 服務無法直接使用外部權杖發行者的權杖。

為了解決此問題,IAMIdentity Center 為請求應用程式或請求應用程式使用的 AWS 驅動程式提供了一種方法,以將受信任權杖發行者發出的權杖交換為 IAM Identity Center 產生的權杖。Identity IAM Center 產生的權杖是指對應的 IAM Identity Center 使用者。請求應用程式或驅動程式會使用新的權杖來起始請求給接收的應用程式。由於新的權杖參考 IAM Identity Center 中對應的使用者,接收應用程式可以根據使用者或其群組成員資格來授權請求的存取權,如 IAM Identity Center 中所示。

重要

選擇OAuth將 2.0 授權伺服器新增為受信任的權杖發行者是一項需要仔細考量的安全決策。僅選擇您信任的受信任權杖發行者來執行下列任務:

  • 驗證權杖中指定的使用者。

  • 授權該使用者對接收應用程式的存取權。

  • 產生 IAM Identity Center 可以交換為 IAM Identity Center 建立的權杖的權杖。

受信任權杖發行者的先決條件和考量事項

設定受信任權杖發行者之前,請先檢閱下列先決條件和考量事項。

  • 信任的權杖發行者組態

    您必須設定 OAuth 2.0 授權伺服器 (信任的權杖發行者)。雖然受信任的權杖發行者通常是您用來作為 IAM Identity Center 身分來源的身分提供者,但它不一定是。如需有關如何設定受信任權杖發行者的資訊,請參閱相關身分提供者的文件。

    注意

    您最多可以設定 10 個受信任權杖發行者,以便與 IAM Identity Center 搭配使用,只要您將受信任權杖發行者中的每個使用者身分映射到 IAM Identity Center 中的對應使用者。

  • 建立權杖的 OAuth 2.0 授權伺服器 (受信任權杖發行者) 必須具有 OpenID Connect (OIDC) 探索端點,而 IAM Identity Center 可以用來取得公有金鑰來驗證權杖簽章。如需詳細資訊,請參閱OIDC 探索端點 URL(發行者 URL)

  • 受信任權杖發行者發行的權杖

    來自受信任權杖發行者的權杖必須符合下列要求:

    • 權杖必須使用RS256演算法以 JSON Web 權杖 (JWT) 格式簽署。

    • 權杖必須包含下列宣告:

      • 發行者 (iss) – 發行權杖的實體。此值必須符合信任權杖發行者中OIDC探索端點 (發行者 URL) 中設定的值。

      • 主旨 (子) – 已驗證的使用者。

      • 對象 (音訊) – 權杖的預期收件人。這是權杖從 IAM Identity Center 交換權杖後存取 AWS 的服務。如需詳細資訊,請參閱Aud 宣告

      • 過期時間 (exp) – 權杖過期的時間。

    • 權杖可以是身分權杖或存取權杖。

    • 權杖必須具有可以唯一映射到一個 IAM Identity Center 使用者的屬性。

  • 選用宣告

    IAM Identity Center 支援 7523 RFC 中定義的所有選用宣告。如需詳細資訊,請參閱此 的第 3 節:JWT格式化和處理需求RFC。

    例如,權杖可以包含 JTI(JWT ID) 宣告 。此宣告存在時,可防止具有相同權杖JTI的權杖重複使用於權杖交換。如需JTI宣告的詳細資訊,請參閱 JTI 宣告詳細資訊

  • IAM 使用受信任權杖發行者的 Identity Center 組態

    您也必須啟用 IAM Identity Center、設定 IAM Identity Center 的身分來源,以及佈建對應至信任權杖發行者目錄中使用者的使用者。

    若要執行此操作,您必須執行下列其中一項操作:

    • 使用跨網域IAM身分管理系統 (SCIM) 2.0 通訊協定,將使用者同步到身分中心。

    • 直接在 IAM Identity Center 中建立使用者。

    注意

    如果您使用 Active Directory 網域服務作為身分來源,則不支援信任的權杖發行者。

JTI 宣告詳細資訊

如果 IAM Identity Center 收到交換 IAM Identity Center 已交換權杖的請求,則請求會失敗。若要偵測和防止權杖交換重複使用權杖,您可以包含JTI宣告。IAM Identity Center 會根據權杖中的宣告,防止權杖的重播。

並非所有 OAuth 2.0 授權伺服器都會將JTI宣告新增至權杖。有些 OAuth 2.0 授權伺服器可能不允許您將 新增JTI為自訂宣告。OAuth 支援使用JTI宣告的 2.0 授權伺服器,可能只會將此宣告新增至身分字符、僅限存取字符,或同時新增至兩者。如需詳細資訊,請參閱 2.0 OAuth 授權伺服器的文件。

如需有關建置交換權杖之應用程式的資訊,請參閱 IAM Identity Center API 文件。如需設定客戶受管應用程式以取得和交換正確權杖的相關資訊,請參閱應用程式的文件。