可信身份传播概述 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

可信身份传播概述

可信身份传播建立在 OAuth 2.0 授权框架之上,允许应用程序在不共享密码的情况下,安全访问和共享用户数据。OAuth 2.0 提供对应用程序资源的安全委派访问。之所以说访问权限是被委派的,是因为需要资源管理员批准,或者授权用户登录的应用程序访问其他应用程序。

为避免共享用户密码,可信身份传播会使用令牌。令牌为可信应用程序提供了一种标准方法,可以声明用户是谁以及两个应用程序之间允许哪些请求。 Amazon 与可信身份传播集成的托管应用程序直接从 IAM Identity Center 获取令牌。IAM Identity Center 还为应用程序提供了一个选项,用于交换来自外部 OAuth 2.0 授权服务器的身份令牌和访问令牌。这使得应用程序可以在外部进行身份验证和获取令牌 Amazon,将令牌兑换 IAM Identity Center 令牌,并使用新令牌向 Amazon 服务发出请求。有关更多信息,请参阅 通过可信令牌发布者使用应用程序

OAuth 2.0 流程在用户登录应用程序时启动。用户登录的应用程序会发起访问其他应用程序资源的请求。发起(请求)的应用程序可以通过向授权服务器请求令牌,代表用户访问接收端应用程序。授权服务器将返回令牌,而发起端应用程序会将该令牌连同访问请求一起,传递给接收端应用程序。