Verified Access 的使用者身分信任提供者 - AWS 已驗證的存取
IAM Identity CenterOIDC 信任提供者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Verified Access 的使用者身分信任提供者

您可以選擇使用 AWS IAM Identity Center 或 OpenID Connect 相容的使用者身分信任提供者。

使用 IAM Identity Center 做為信任提供者

您可以使用 AWS IAM Identity Center 做為具有 AWS Verified Access 的使用者身分信任提供者。

先決條件和考量事項

  • 您的 IAM Identity Center 執行個體必須是 AWS Organizations 執行個體。獨立 AWS 帳戶 IAM Identity Center 執行個體將無法運作。

  • 您的 IAM Identity Center 執行個體必須在您要建立驗證存取信任提供者的相同 AWS 區域中啟用。

  • 已驗證的存取可以提供存取權給 IAM Identity Center 中指派給最多 1,000 個群組的使用者。

如需不同執行個體類型的詳細資訊,請參閱《 使用者指南》中的管理 IAM Identity Center 的組織和帳戶執行個體。 AWS IAM Identity Center

建立 IAM Identity Center 信任提供者

在 AWS 您的帳戶上啟用 IAM Identity Center 後,您可以使用下列程序將 IAM Identity Center 設定為 Verified Access 的信任提供者。

建立 IAM Identity Center 信任提供者AWS (主控台)

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇驗證存取信任提供者,然後選擇建立驗證存取信任提供者

  3. (選用) 針對名稱標籤描述,輸入信任提供者的名稱和描述。

  4. 針對政策參考名稱,輸入稍後使用政策規則時使用的識別符。

  5. 信任提供者類型下,選取使用者信任提供者

  6. 使用者信任提供者類型下,選取 IAM Identity Center

  7. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  8. 選擇建立已驗證的存取信任提供者

建立 IAM Identity Center 信任提供者 (AWS CLI)

刪除 IAM Identity Center 信任提供者

您必須先從信任提供者連接的執行個體中移除所有端點和群組組態,才能刪除信任提供者。

刪除 IAM Identity Center 信任提供者AWS (主控台)

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇驗證存取信任提供者,然後在驗證存取信任提供者下選取要刪除的信任提供者

  3. 選擇動作,然後選擇刪除已驗證的存取信任提供者

  4. 在文字方塊delete中輸入 以確認刪除。

  5. 選擇 刪除

刪除 IAM Identity Center 信任提供者 (AWS CLI)

使用 OpenID Connect 信任提供者

AWS Verified Access 支援使用標準 OpenID Connect (OIDC) 方法的身分提供者。您可以使用 OIDC 相容提供者做為具有 Verified Access 的使用者身分信任提供者。不過,由於潛在的 OIDC 提供者種類繁多, AWS 無法測試每個與 Verified Access 的 OIDC 整合。

Verified Access 會從 OIDC 提供者的 取得其評估的信任資料UserInfo EndpointScope 參數用於判斷要擷取的信任資料集。收到信任資料後,系統會針對它評估 Verified Access 政策。

注意

驗證存取在評估驗證存取政策時,不會使用來自 OIDC 供應商所ID token傳送之 的信任資料。只有來自 的信任資料UserInfo Endpoint才會根據 政策進行評估。

建立 OIDC 信任提供者的先決條件

您將需要直接從信任提供者服務收集以下資訊:

  • 發行者

  • 授權端點

  • 權杖端點

  • UserInfo 端點

  • 用戶端 ID

  • Client secret (用戶端密碼)

  • 範圍

建立 OIDC 信任提供者

使用下列程序來建立 OIDC 做為您的信任提供者。

建立 OIDC 信任提供者AWS (主控台)

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇驗證存取信任提供者,然後選擇建立驗證存取信任提供者

  3. (選用) 針對名稱標籤描述,輸入信任提供者的名稱和描述。

  4. 針對政策參考名稱,輸入稍後使用政策規則時使用的識別符。

  5. 信任提供者類型下,選取使用者信任提供者

  6. 使用者信任提供者類型下,選取 OIDC (OpenID Connect)

  7. 針對 OIDC (OpenID Connect),選擇信任提供者。

  8. 對於發行者,輸入 OIDC 發行者的識別符。

  9. 針對授權端點,輸入授權端點的完整 URL。

  10. 針對權杖端點,輸入權杖端點的完整 URL。

  11. 針對使用者端點,輸入使用者端點的完整 URL。

  12. (原生應用程式 OIDC) 針對公有簽署金鑰 URL,輸入公有簽署金鑰端點的完整 URL。

  13. 輸入用戶端 ID 的 OAuth 2.0 用戶端識別碼。

  14. 輸入用戶端秘密的 OAuth 2.0 用戶端秘密

  15. 輸入由您的身分提供者定義的以空格分隔的範圍清單。範圍至少openid需要 範圍

  16. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  17. 選擇建立已驗證的存取信任提供者

  18. 您必須將重新導向 URI 新增至 OIDC 提供者的允許清單。

    • HTTP 應用程式 – 使用下列 URI:https://application_domain/oauth2/idpresponse。在 主控台中,您可以在 Verified Access 端點的詳細資訊索引標籤中找到應用程式網域。當您描述 Verified Access 端點時,使用 AWS CLI 或 AWS SDK,應用程式網域會包含在輸出中。

    • TCP 應用程式 – 使用下列 URI:http://localhost:8000

建立 OIDC 信任提供者 (AWS CLI)

修改 OIDC 信任提供者

建立信任提供者之後,您可以更新其組態。

修改 OIDC 信任提供者AWS (主控台)

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇驗證存取信任提供者,然後在驗證存取信任提供者下選取要修改的信任提供者

  3. 選擇動作,然後選擇修改已驗證的存取信任提供者

  4. 修改您要變更的選項。

  5. 選擇修改已驗證的存取信任提供者

修改 OIDC 信任提供者 (AWS CLI)

刪除 OIDC 信任提供者

您必須先從信任提供者連接的執行個體中移除所有端點和群組組態,才能刪除使用者信任提供者。

刪除 OIDC 信任提供者AWS (主控台)

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇驗證存取信任提供者,然後在驗證存取信任提供者下選取要刪除的信任提供者

  3. 選擇動作,然後選擇刪除已驗證的存取信任提供者

  4. 在文字方塊delete中輸入 以確認刪除。

  5. 選擇 刪除

刪除 OIDC 信任提供者 (AWS CLI)