Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
OAuth 2.0-Anforderungen für die Kontoverknüpfung
Jeder C2C-Connector ist auf einen OAuth 2.0-Autorisierungsserver angewiesen, um Endbenutzer zu authentifizieren. Über diesen Server verknüpfen Endbenutzer ihre Drittanbieterkonten mit der Geräteplattform des Kunden. Die Kontoverknüpfung ist der erste Schritt, den ein Endbenutzer benötigt, um Geräte zu verwenden, die von Ihrem C2C-Anschluss unterstützt werden. Weitere Informationen zu den verschiedenen Rollen bei der Kontoverknüpfung und OAuth 2.0 finden Sie unterRollen für die Kontoverknüpfung.
Ihr C2C-Connector muss zwar keine spezifische Geschäftslogik implementieren, um den Autorisierungsablauf zu unterstützen, aber der mit Ihrem C2C-Connector verknüpfte OAuth2 .0-Autorisierungsserver muss die Anforderungen erfüllen. OAuth Anforderungen an die Konfiguration
Anmerkung
Verwaltete Integrationen unterstützen AWS IoT Device Management nur OAuth 2.0 mit einem Autorisierungscodefluss. Weitere Informationen finden Sie in RFC 6749
Die Kontoverknüpfung ist ein Prozess, der es verwalteten Integrationen und dem Connector ermöglicht, mithilfe eines Zugriffstokens auf die Geräte eines Endbenutzers zuzugreifen. Dieses Token bietet verwaltete Integrationen für AWS IoT Device Management mit Zustimmung des Endbenutzers, sodass der Connector über API-Aufrufe mit den Daten des Endbenutzers interagieren kann. Weitere Informationen finden Sie unter Workflow zur Kontoverknüpfung.
Wir empfehlen, diese sensiblen Token nicht in irgendwelchen Protokollen zu protokollieren. Wenn sie jedoch in Protokollen gespeichert werden, empfehlen wir Ihnen, die Datenschutzrichtlinien für CloudWatch Logs zu verwenden, um die Token in den Protokollen zu maskieren. Weitere Informationen finden Sie unter Hilfe zum Schutz sensibler Protokolldaten durch Maskierung.
Managed Integrations for erhält ein Zugriffstoken AWS IoT Device Management nicht direkt, sondern über den Authorization Code Grant Type. Zunächst müssen verwaltete Integrationen für AWS IoT Device Management einen Autorisierungscode erhalten. Anschließend wird der Code gegen ein Zugriffstoken und ein Aktualisierungstoken ausgetauscht. Das Aktualisierungstoken wird verwendet, um ein neues Zugriffstoken anzufordern, wenn das alte Zugriffstoken abläuft. Wenn sowohl das Zugriffstoken als auch das Aktualisierungstoken abgelaufen sind, müssen Sie die Kontoverknüpfung erneut ausführen. Sie können dies mit der StartAccountAssociationRefresh API-Operation tun.
Wichtig
Das ausgegebene Zugriffstoken muss pro Benutzer, aber nicht pro Client gültig sein. OAuth Das Token sollte nicht den Zugriff auf alle Geräte aller Benutzer unter dem Client ermöglichen.
Der Autorisierungsserver muss einen der folgenden Schritte ausführen:
-
Stellen Sie Zugriffstoken aus, die eine extrahierbare Endbenutzer-ID (Ressourcenbesitzer) enthalten, z. B. ein JWT-Token.
-
Gibt die Endbenutzer-ID für jedes ausgegebene Zugriffstoken zurück.
OAuth Anforderungen an die Konfiguration
Die folgende Tabelle zeigt die erforderlichen Parameter von Ihrem OAuth Autorisierungsserver für verwaltete Integrationen für AWS IoT Device Management, um die Kontoverknüpfung durchzuführen:
| Feld | Erforderlich | Kommentar |
|
|
Ja |
Eine öffentliche Kennung für Ihre Anwendung. Sie wird zur Initiierung von Authentifizierungsabläufen verwendet und kann öffentlich geteilt werden. |
|
|
Ja |
Ein geheimer Schlüssel, der zur Authentifizierung der Anwendung beim Autorisierungsserver verwendet wird, insbesondere beim Austausch eines Autorisierungscodes gegen ein Zugriffstoken. Er sollte vertraulich behandelt und nicht öffentlich weitergegeben werden. |
|
|
Ja |
Die Art der Autorisierung, die von dieser Autorisierungskonfiguration unterstützt wird. Derzeit ist "OAuth 2.0" der einzige Wert, der unterstützt wird. |
|
|
Ja |
Die Autorisierungs-URL für den Cloud-Drittanbieter. |
|
|
Ja |
Die Token-URL für den Cloud-Drittanbieter. |
|
|
Ja |
Authentifizierungsschema entweder „HTTP_BASIC“ oder „REQUEST_BODY_CREDENTIALS“. HTTP_BASIC signalisiert, dass die Client-Anmeldeinformationen im Autorisierungsheader enthalten sind, während die Ladder signalisiert, dass sie im Anforderungstext enthalten sind. |
Der OAuth Server, den Sie verwenden, muss so konfiguriert sein, dass die Zeichenkettenwerte des Zugriffstokens Base64-kodiert mit dem UTF-8-Zeichensatz sein müssen.
