Rollen für die Kontoverknüpfung - Verwaltete Integrationen für AWS IoT Device Management

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rollen für die Kontoverknüpfung

Um einen C2C-Connector zu erstellen, benötigen Sie einen OAuth 2.0-Autorisierungsserver und eine Kontoverknüpfung. Weitere Informationen finden Sie unter Workflow zur Kontoverknüpfung.

OAuth 2.0 definiert die folgenden vier Rollen bei der Implementierung der Kontoverknüpfung:

  1. Autorisierungsserver

  2. Besitzer der Ressource (Endbenutzer)

  3. Ressourcenserver

  4. Client

Im Folgenden wird jede dieser OAuth Rollen definiert:

Autorisierungsserver

Der Autorisierungsserver ist der Server, der die Identität eines Endbenutzers in einer Drittanbieter-Cloud identifiziert und authentifiziert. Die von diesem Server bereitgestellten Zugriffstoken können das Kundenplattformkonto des AWS Endbenutzers mit seinem Plattformkonto eines Drittanbieters verknüpfen. Dieser Vorgang wird als Kontoverknüpfung bezeichnet.

Der Autorisierungsserver unterstützt die Kontoverknüpfung, indem er Folgendes bereitstellt:

  • Zeigt eine Anmeldeseite an, auf der sich der Endbenutzer bei Ihrem System anmelden kann. Dies wird in der Regel als Autorisierungsendpunkt bezeichnet.

  • Authentifiziert den Endbenutzer in Ihrem System.

  • Generiert einen Autorisierungscode, der den Endbenutzer identifiziert.

  • Übergibt den Autorisierungscode an verwaltete Integrationen für AWS IoT Device Management.

  • Akzeptiert den Autorisierungscode von verwalteten Integrationen für AWS IoT Device Management und gibt ein Zugriffstoken zurück, mit dem verwaltete Integrationen für AWS IoT Device Management auf die Daten des Endbenutzers in Ihrem System zugreifen können. Dies erfolgt in der Regel über eine separate URI, die als Token-URI oder Endpunkt bezeichnet wird.

Wichtig

Der Autorisierungsserver muss den OAuth 2.0-Autorisierungscodefluss unterstützen, um mit verwalteten Integrationen für AWS IoT Device Management Connector verwendet zu werden. Verwaltete Integrationen für AWS IoT Device Management unterstützen auch den Autorisierungscodefluss mit Proof Key for Code Exchange (PKCE).

Der Autorisierungsserver muss entweder:

  • Zugriffstoken ausgeben, die eine extrahierbare Endbenutzer- oder Ressourcenbesitzer-ID enthalten, z. B. JWT-Token

  • In der Lage sein, die Endbenutzer-ID für jedes ausgegebene Zugriffstoken zurückzugeben

Andernfalls kann Ihr Connector den erforderlichen AWS.ActivateUser Vorgang nicht unterstützen. Dadurch wird die Verwendung von Connectoren bei verwalteten Integrationen verhindert.

Wenn der Connector-Entwickler oder -Besitzer keinen eigenen Autorisierungsserver unterhält, muss der verwendete Autorisierungsserver die Autorisierung für Ressourcen bereitstellen, die von der Drittanbieterplattform des Connector-Entwicklers verwaltet werden. Das bedeutet, dass alle Token, die über verwaltete Integrationen vom Autorisierungsserver empfangen werden, aussagekräftige Sicherheitsgrenzen für Geräte (die Ressource) vorsehen müssen. Beispielsweise erlaubt ein Endbenutzer-Token keine Befehle auf dem Gerät eines anderen Endbenutzers. Die durch das Token bereitgestellten Berechtigungen sind Ressourcen innerhalb der Plattform zugeordnet. Betrachten Sie das Beispiel von Lights Incorporated. Wenn ein Endbenutzer den Ablauf der Kontoverknüpfung mit seinem Connector startet, wird er auf die Anmeldeseite von Lights Incorporated umgeleitet, auf der sein Autorisierungsserver angezeigt wird. Sobald sie sich angemeldet und dem Client Berechtigungen erteilt haben, stellen sie ein Token bereit, das dem Connector Zugriff auf Ressourcen innerhalb seines Lights Incorporated-Kontos gewährt.

Eigentümer der Ressource (Endbenutzer)

Als Eigentümer der Ressource gewähren Sie einem Kunden mit verwalteten Integrationen für AWS IoT Device Management den Zugriff auf Ressourcen, die mit Ihrem Konto verknüpft sind, indem Sie eine Kontoverknüpfung durchführen. Stellen Sie sich zum Beispiel die intelligente Glühbirne vor, die ein Endbenutzer in die mobile Anwendung von Lights Incorporated integriert hat. Der Ressourcenbesitzer bezieht sich auf das Endbenutzerkonto, das das Gerät gekauft und integriert hat. In unserem Beispiel wird der Ressourcenbesitzer als Lights Incorporated OAuth2 2.0-Konto modelliert. Als Besitzer der Ressource bietet dieses Konto die Erlaubnis, Befehle zu erteilen und das Gerät zu verwalten.

Ressourcenserver

Dies ist der Server, auf dem geschützte Ressourcen gehostet werden, für deren Zugriff eine Autorisierung erforderlich ist (Gerätedaten). Der AWS Kunde muss im Namen eines Endbenutzers auf geschützte Ressourcen zugreifen, und zwar über verwaltete Integrationen für AWS IoT Device Management-Konnektoren nach der Kontoverknüpfung. Betrachtet man die intelligente Glühbirne von früher als Beispiel: Der Ressourcenserver ist ein cloudbasierter Dienst von Lights Incorporated, der die Glühbirne verwaltet, nachdem sie integriert wurde. Über den Ressourcenserver kann der Ressourcenbesitzer Befehle an die intelligente Glühbirne senden, z. B. sie ein- und ausschalten. Die geschützte Ressource gewährt nur Berechtigungen für das Konto des Endbenutzers und für andere Benutzer, für die accounts/entities er möglicherweise Berechtigungen erteilt hat.

Client

In diesem Zusammenhang ist der Client Ihr C2C-Connector. Ein Client ist definiert als eine Anwendung, der im Namen des Endbenutzers Zugriff auf Ressourcen innerhalb eines Ressourcenservers gewährt wird. Der Prozess der Kontoverknüpfung stellt den Konnektor, den Client, dar, der Zugriff auf die Ressourcen eines Endbenutzers in der Drittanbieter-Cloud anfordert.

Obwohl der Connector der OAuth Client ist, führt Managed Integrations for AWS IoT Device Management Operationen im Namen des Connectors durch. Beispielsweise stellen verwaltete Integrationen für AWS IoT Device Management Anfragen an den Autorisierungsserver, um ein Zugriffstoken zu erhalten. Der Connector wird immer noch als Client betrachtet, da er die einzige Komponente ist, die jemals auf die geschützte Ressource (Gerätedaten) im Ressourcenserver zugreift.

Stellen Sie sich die intelligente Glühbirne vor, die von einem Endbenutzer integriert wurde. Nachdem die Kontoverknüpfung zwischen der Kundenplattform und dem Autorisierungsserver von Lights Incorporated abgeschlossen ist, kommuniziert der Connector selbst mit dem Ressourcenserver, um Informationen über die intelligente Glühbirne des Endbenutzers abzurufen. Der Connector kann dann Befehle vom Endbenutzer empfangen. Dazu gehört das Ein- oder Ausschalten des Lichts in ihrem Namen über den Ressourcenserver von Lights Incorporated. Daher bezeichnen wir den Connector als Client.