设置客户托管的 OAuth 2.0 应用程序以使用可信身份传播 - Amazon IAM Identity Center
选择应用程序类型步骤 2:指定应用程序详细信息步骤 3:指定身份验证设置步骤 4:指定应用程序凭证步骤 5:审核和配置
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置客户托管的 OAuth 2.0 应用程序以使用可信身份传播

要设置客户托管的 OAuth 2.0 应用程序,以实现可信身份传播,您必须先将其添加到 IAM Identity Center。使用以下过程将您的应用程序添加到 IAM Identity Center。

步骤 1:选择应用程序类型

  1. 打开 IAM Identity Center 控制台

  2. 选择应用程序

  3. 选择客户托管选项卡。

  4. 选择添加应用程序

  5. 选择应用程序类型页面,选择设置首选项下的我有想设置的应用程序

  6. 在 “应用程序类型” 下,选择 OAuth 2.0

  7. 选择下一步,进入下一页:步骤 2:指定应用程序详细信息

步骤 2:指定应用程序详细信息

  1. 指定应用程序详细信息页面的应用程序名称和描述下,输入应用程序的显示名称,如 MyApp。然后,输入描述

  2. 用户和组分配方法下,选择下列选项之一:

    • 需要分配 - 仅允许分配给此应用程序的 IAM Identity Center 用户和组访问该应用程序。

      应用程序磁贴可见性-只有直接分配到或通过组分配到应用程序的用户才能在 Amazon Web Services 访问门户中查看应用程序磁贴(前提是应用程序可见性在 Amazon Web Services 访问门户中设置为可见)。

    • 不需要分配 - 允许所有授权的 IAM Identity Center 用户和组访问此应用程序。

      应用程序磁贴可见性-除非将应用程序可见性在 Amazon Web Services 访问门户中设置为不可见,否则所有登录 Amazon Web Services 访问门户的用户都能看到应用程序磁贴。

  3. Amazon Web Services 访问门户下,输入可以让用户访问应用程序的 URL,并指定应用程序磁贴在 Amazon Web Services 访问门户中是可见还是不可见。如果选择不可见,则即使已分配的用户也无法查看应用程序磁贴。

  4. 标签(可选)下,选择添加新标签,然后为值(可选)指定值。

    有关标签的信息,请参阅 为资源添加标签 Amazon IAM Identity Center

  5. 选择下一步,进入下一页:步骤 3:指定身份验证设置

步骤 3:指定身份验证设置

要将支持 OAuth 2.0 的客户托管应用程序添加到 IAM Identity Center,您必须指定可信令牌发布者。可信令牌发布者是可创建签名令牌的 OAuth 2.0 授权服务器。这些令牌用于对发起请求以访问 Amazon 托管应用程序(接收端应用程序)的应用程序(请求端应用程序)进行授权。

  1. 指定身份验证设置页面的可信令牌发布者下,执行以下任一操作:

    • 使用现有的可信令牌发布者:

      在要使用的可信令牌发布者的名称旁边,选择其复选框。

    • 添加新的可信令牌发布者:

      1. 选择创建可信令牌发布者

      2. 将打开一个新的浏览器标签页。按照 如何向 IAM Identity Center 控制台添加可信令牌发布者 中的步骤 5 至步骤 8 操作。

      3. 完成这些步骤后,返回您正用于设置应用程序的浏览器窗口,然后选择刚刚添加的可信令牌发布者。

      4. 在可信令牌发布者列表中,选中刚刚添加的可信令牌发布者名称旁边的复选框。

        选择可信令牌发布者后,将出现配置选定的可信令牌发布者部分。

  2. 配置选定的可信令牌发布者下,输入 Aud 声明Aud 声明用于确定可信令牌发布者生成的令牌的目标受众(接收者)。有关更多信息,请参阅 Aud 声明

  3. 要让用户在使用此应用程序时无需重新进行身份验证,请选择启用刷新令牌授予。选中后,此选项将每 60 分钟刷新一次会话的访问令牌,直到会话过期或用户结束会话。

  4. 选择下一步,进入下一页:步骤 4:指定应用程序凭证

步骤 4:指定应用程序凭证

完成此过程中的步骤,为应用程序指定用于与可信应用程序执行令牌交换操作的凭证。这些凭证将在一个基于资源的策略中使用。该策略要求您指定一个主体,该主体必须有权执行该策略中指定的操作。即使可信应用程序位于同一个 Amazon Web Services 账户中,您也必须指定一个主体

注意

在使用策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为最低权限许可。

该策略需要使用 sso-oauth:CreateTokenWithIAM 操作。

  1. 指定应用程序凭证页面,执行以下任一操作:

    • 要快速指定一个或多个 IAM 角色:

      1. 选择输入一个或多个 IAM 角色

      2. 输入 IAM 角色下,指定现有 IAM 角色的 Amazon 资源名称 (ARN)。要指定 ARN,请使用以下语法。由于 IAM 资源是全球资源,因此,ARN 的区域部分是空的。

          arn:aws:iam::account:role/role-name-with-path

        有关更多信息,请参阅Amazon Identity and Access Management 用户指南 ARNs中的使用基于资源的策略进行跨账户访问IAM

    • 要手动编辑策略(如果指定非Amazon 凭证,则为必需操作):

      1. 选择编辑应用程序策略

      2. 在 JSON 文本框中键入或粘贴文本,修改策略。

      3. 解决策略验证过程中产生的任何安全警告、错误或常规警告。有关更多信息,请参阅 Amazon Identity and Access Management 用户指南中的验证 IAM 策略

  2. 选择下一步,进入下一页:步骤 5:审核和配置

步骤 5:审核和配置

  1. 审查和配置页面中,审查您所做的选择。要进行更改,请选择所需的配置部分,选择编辑,然后进行所需的更改。

  2. 完成后,选择添加应用程序

  3. 您添加的应用程序将显示在客户托管的应用程序列表中。

  4. 在 IAM Identity Center 中设置客户托管的应用程序后,您必须为身份传播指定一个或多个 Amazon Web Services 服务可信的应用程序,或可信的应用程序。这样,用户就能够登录客户托管的应用程序,并访问可信应用程序中的数据。

    有关更多信息,请参阅 指定可信的应用程序