本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对客户托管的应用程序使用可信身份传播
可信身份传播使客户托管的应用程序能够代表用户请求访问 Amazon 服务中的数据。对数据访问的管理基于用户身份,因此,管理员可以根据用户的现有用户和组成员资格,授予访问权限。用户的身份、代表他们执行的操作以及其他事件都记录在服务特定的日志和 CloudTrail事件中。
通过可信身份传播,用户可以登录客户管理的应用程序,并且该应用程序可以在请求访问 Amazon 服务中的数据时传递用户的身份。
重要
要访问 Amazon 服务,客户托管的应用程序必须从 IAM Identity Center 外部的可信令牌发行者那里获取令牌。可信令牌发布者是可创建签名令牌的 OAuth 2.0 授权服务器。这些令牌授权发起 Amazon 服务访问请求(接收应用程序)的应用程序。有关更多信息,请参阅 通过可信令牌发布者使用应用程序。
设置客户托管的 OAuth 2.0 应用程序以使用可信身份传播
要设置客户托管的 OAuth 2.0 应用程序,以实现可信身份传播,您必须先将其添加到 IAM Identity Center。使用以下过程将您的应用程序添加到 IAM Identity Center。
步骤 1:选择应用程序类型
-
选择应用程序。
-
选择客户托管选项卡。
-
选择添加应用程序。
-
在选择应用程序类型页面,选择设置首选项下的我有想设置的应用程序。
-
在应用程序类型下,选择 OAuth 2.0。
-
选择下一步,进入下一页:步骤 2:指定应用程序详细信息。
步骤 2:指定应用程序详细信息
-
在指定应用程序详细信息页面的应用程序名称和描述下,输入应用程序的显示名称,如
MyApp。然后,输入描述。 -
在用户和组分配方法下,选择下列选项之一:
-
需要分配 - 仅允许分配给此应用程序的 IAM Identity Center 用户和组访问该应用程序。
应用程序图块可见性-只有直接或通过群组分配分配到应用程序的用户才能在访问门户中查看应用程序图块,前提是应用程序在 Amazon Web Services 访问门户中的 Amazon Web Services 可见性设置为可见。
-
不需要分配 - 允许所有授权的 IAM Identity Center 用户和组访问此应用程序。
应用程序磁贴可见性 - 除非将应用程序可见性在 Amazon Web Services 访问门户中设置为不可见,否则所有登录 Amazon Web Services 访问门户的用户都能看到应用程序磁贴。
-
-
在 Amazon Web Services 访问门户下,输入可以让用户访问应用程序的 URL,并指定应用程序磁贴在 Amazon Web Services 访问门户中是可见还是不可见。如果选择不可见,则即使已分配的用户也无法查看应用程序磁贴。
-
在标签(可选)下,选择添加新标签,然后为键和值(可选)指定值。
有关标签的信息,请参阅 为 Amazon IAM Identity Center 资源添加标签。
-
选择下一步,进入下一页:步骤 3:指定身份验证设置。
步骤 3:指定身份验证设置
要将支持 OAuth 2.0 的客户托管应用程序添加到 IAM Identity Center,您必须指定可信令牌发布者。可信令牌发布者是可创建签名令牌的 OAuth 2.0 授权服务器。这些令牌授权那些发起请求(请求应用程序)以访问 Amazon 托管应用程序(接收应用程序)的应用程序。
-
在指定身份验证设置页面的可信令牌发布者下,执行以下任一操作:
-
使用现有的可信令牌发布者:
在要使用的可信令牌发布者的名称旁边,选择其复选框。
-
添加新的可信令牌发布者:
-
选择创建可信令牌发布者。
-
将打开一个新的浏览器标签页。按照 如何向 IAM Identity Center 控制台添加可信令牌发布者 中的步骤 5 至步骤 8 操作。
-
完成这些步骤后,返回您正用于设置应用程序的浏览器窗口,然后选择刚刚添加的可信令牌发布者。
-
在可信令牌发布者列表中,选中刚刚添加的可信令牌发布者名称旁边的复选框。
选择可信令牌发布者后,将出现配置选定的可信令牌发布者部分。
-
-
-
在配置选定的可信令牌发布者下,输入 Aud 声明。Aud 声明用于确定可信令牌发布者生成的令牌的目标受众(接收者)。有关更多信息,请参阅 Aud 声明。
-
要使用户在使用此应用程序时无需重新进行身份验证,请选择自动刷新活动应用程序会话的用户身份验证。选中后,此选项将每 60 分钟刷新一次会话的访问令牌,直到会话过期或用户结束会话。
-
选择下一步,进入下一页:步骤 4:指定应用程序凭证。
步骤 4:指定应用程序凭证
完成此过程中的步骤,为应用程序指定用于与可信应用程序执行令牌交换操作的凭证。这些凭证将在一个基于资源的策略中使用。该策略要求您指定一个主体,该主体必须有权执行该策略中指定的操作。即使可信应用程序位于同一个 Amazon Web Services 账户中,您也必须指定一个主体。
注意
在使用策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为最低权限许可。
该策略需要使用 sso-oauth:CreateTokenWithIAM 操作。
-
在指定应用程序凭证页面,执行以下任一操作:
-
要快速指定一个或多个 IAM 角色:
-
选择输入一个或多个 IAM 角色。
-
在输入 IAM 角色下,指定现有 IAM 角色的 Amazon 资源名称 (ARN)。要指定 ARN,请使用以下语法。由于 IAM 资源是全球资源,因此,ARN 的区域部分是空的。
arn:aws:iam::account:role/role-name-with-path有关更多信息,请参阅 Amazon Identity and Access Management 用户指南中的使用基于资源的策略进行跨账户存取和 IAM ARN。
-
-
要手动编辑策略(如果指定非Amazon 凭据,则为必填项),请执行以下操作:
-
选择编辑应用程序策略。
-
在 JSON 文本框中键入或粘贴文本,修改策略。
-
解决策略验证过程中产生的任何安全警告、错误或常规警告。有关更多信息,请参阅 Amazon Identity and Access Management 用户指南中的验证 IAM 策略。
-
-
-
选择下一步,进入下一页:步骤 5:审核和配置。
步骤 5:审核和配置
-
在审查和配置页面中,审查您所做的选择。要进行更改,请选择所需的配置部分,选择编辑,然后进行所需的更改。
-
完成后,选择添加应用程序。
-
您添加的应用程序将显示在客户托管的应用程序列表中。
-
在 IAM Identity Center 中设置客户托管的应用程序后,必须为身份传播指定一个或多个 Amazon 服务或可信应用程序。这样,用户就能够登录客户托管的应用程序,并访问可信应用程序中的数据。
有关更多信息,请参阅 指定可信的应用程序 。
指定可信的应用程序
设置客户托管的应用程序后,必须为身份传播指定一个或多个可信 Amazon 服务或可信应用程序。指定一项 Amazon 服务,该服务包含客户托管应用程序的用户需要访问的数据。当您的用户登录客户托管的应用程序时,该应用程序会将用户的身份传递给可信的应用程序。
使用以下过程选择服务,然后为该服务指定要信任的单个应用程序。
-
选择应用程序。
-
选择客户托管选项卡。
-
在客户托管的应用程序列表中,选择要发起访问请求的 OAuth 2.0 应用程序。这是用户要登录的应用程序。
-
在详细信息页面的用于身份传播的可信应用程序下,选择指定可信应用程序。
-
在设置类型下,选择单个应用程序并指定访问权限,然后选择下一步。
-
在选择服务页面,选择拥有所需应用程序的 Amazon 服务,客户托管的应用程序可以信任这些应用程序进行身份传播,然后选择下一步。
您选择的服务定义了可以信任的应用程序。您将在下一个步骤中选择应用程序。
-
在选择应用程序页面,选择单个应用程序,为每个可以接收访问请求的应用程序选择复选框,然后选择下一步。
-
在配置访问权限页面的配置方法下,执行以下任一操作:
-
选择每个应用程序的访问权限 - 选择此选项可为每个应用程序配置不同的访问权限级别。选择要为其配置访问权限级别的应用程序,然后选择编辑访问权限。在要应用的访问权限级别中,根据需要更改访问权限级别,然后选择保存更改。
-
对所有应用程序应用相同的访问权限级别 - 如果不需要针对每个应用程序配置访问权限级别,请选择此选项。
-
-
选择下一步。
-
在审查配置页面中,审查您所做的选择。要进行更改,请选择所需的配置部分,选择编辑访问权限,然后进行所需的更改。
-
完成后,选择可信应用程序。