AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

创建 OpenID Connect (OIDC) 身份提供商

OIDC 身份提供商是 IAM 中的实体,该实体描述了支持 OpenID Connect (OIDC) 标准的身份提供商 (IdP) 服务。如果您正在创建需要访问 AWS 资源的移动应用或 Web 应用程序,但又不想创建自定义登录代码或管理您自己的用户身份,这会很有用。有关此方案的更多信息,请参阅关于 Web 联合身份验证

您可以使用 AWS 管理控制台、AWS Command Line Interface、Windows PowerShell 工具 或 IAM API 创建和管理 OIDC 身份提供商。

创建和管理 OIDC 提供商(控制台)

按照以下说明在 AWS 管理控制台中创建和管理 OIDC 提供商。

创建 OIDC 身份提供商(控制台)

  1. 在 IAM 中创建 OIDC 身份提供商之前,您必须向 IdP 注册您的应用程序以便接收客户端 ID。客户端 ID(也称为受众)是您的应用的唯一标识符,在您向 IdP 注册您的应用时颁发给您。有关如何获取客户端 ID 的更多信息,请参阅您的 IdP 的文档。

  2. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  3. 在导航窗格中,单击 Identity Providers,然后单击 Create Provider

  4. 对于 Provider Type,单击 Choose a provider type,然后选择 OpenID Connect

  5. 对于 Provider URL,键入 IdP 的 URL。该 URL 必须遵从以下限制:

    • 该 URL 区分大小写。

    • 该 URL 不能包括冒号 (:) 字符,因此不能指定端口号。也就是说,服务器必须在默认端口 443 上侦听。

    • 在您的 AWS 账户中,每个 OIDC 身份提供商都必须有唯一的 URL。

  6. 对于 Audience,键入您向 IdP 注册的、在步骤 1 中接收的并且将向 AWS 发出请求的应用程序的客户端 ID。如果您对于此 IdP 有其他客户端 ID(也称为受众),稍后可以在提供商详细信息页面上添加它们。单击 Next Step (下一步)

  7. 使用 Thumbprint 验证您的 IdP 的服务器证书。要了解如何操作,请参阅获取 OpenID Connect 身份提供商的指纹。单击 Create

  8. 在屏幕顶部的确认消息中,单击 Do this now 以转到 Roles 选项卡,以便为此身份提供商创建角色。有关如何为 OIDC 身份提供商创建角色的更多信息,请参阅针对第三方身份提供商创建角色 (联合)。OIDC 身份提供商必须拥有角色才能访问您的 AWS 账户。要跳过此步骤,以后再创建角色,请单击 Close (关闭)

为 OIDC 身份提供商添加或删除指纹或客户端 ID(也称为受众)(控制台)

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,单击 Identity Providers (身份提供商),然后单击要更新的身份提供商的名称。

  3. 要添加指纹或受众,请单击 Add a Thumbprint (添加指纹)Add an Audience (添加受众)。要删除指纹或受众,请单击要删除的项目旁边的 Remove (删除)

    注意

    OIDC 身份提供商必须具有至少 1 个、最多 5 个指纹。OIDC 身份提供商必须具有至少 1 个且最多 100 个受众。

    完成后,单击 Save Changes (保存更改)

删除 OIDC 身份提供商(控制台)

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,单击 Identity Providers (身份提供商)

  3. 选中要删除的身份提供商旁边的复选框。

  4. 单击 Delete Providers (删除提供商)

创建和管理 OIDC 身份提供商 (AWS CLI)

可以使用以下 AWS CLI 命令来创建和管理 OIDC 提供商。

创建 OIDC 身份提供商 (AWS CLI)

  1. (可选)要获取您 AWS 账户中所有 OIDC 提供商的列表,请运行以下命令:

  2. 要创建新的 OIDC 提供商,请运行以下命令:

更新现有 OIDC 提供商的服务器证书指纹列表 (AWS CLI)

在现有 OIDC 提供商中添加或删除客户端 ID (AWS CLI)

  1. (可选)要获取您 AWS 账户中所有 OIDC 提供商的列表,请运行以下命令:

  2. (可选)要获取有关 OIDC 提供商的详细信息,请运行以下命令:

  3. 要向现有 OIDC 提供商中添加新的客户端 ID,请运行以下命令:

  4. 要从现有 OIDC 提供商中删除客户端,请运行以下命令:

删除 OIDC 身份提供商 (AWS CLI)

  1. (可选)要获取您 AWS 账户中所有 OIDC 提供商的列表,请运行以下命令:

  2. (可选)要获取有关 OIDC 提供商的详细信息,请运行以下命令:

  3. 要删除 OIDC 提供商,请运行以下命令:

创建和管理 OIDC 身份提供商 (AWS API)

可以使用以下 IAM API 命令来创建和管理 OIDC 提供商。

创建 OIDC 身份提供商 (AWS API)

  1. (可选)要获取您 AWS 账户中所有 OIDC 提供商的列表,请调用以下操作:

  2. 要创建新的 OIDC 提供商,请调用以下操作:

更新现有 OIDC 提供商的服务器证书指纹列表 (AWS API)

在现有 OIDC 提供商中添加或删除客户端 ID (AWS API)

  1. (可选)要获取您 AWS 账户中所有 OIDC 提供商的列表,请调用以下操作:

  2. (可选)要获取有关 OIDC 提供商的详细信息,请调用以下操作:

  3. 要向现有 OIDC 提供商中添加新的客户端 ID,请调用以下操作:

  4. 要从现有 OIDC 提供商中删除客户端 ID,请调用以下操作:

删除 OIDC 身份提供商 (AWS API)

  1. (可选)要获取您 AWS 账户中所有 OIDC 提供商的列表,请调用以下操作:

  2. (可选)要获取有关 OIDC 提供商的详细信息,请调用以下操作:

  3. 要删除 OIDC 提供商,请调用以下操作: