IAM Identity Center-Anmeldeinformationsanbieter - AWS SDKs und Tools
VoraussetzungenKonfiguration des SSO-Token-AnbietersNicht aktualisierbare Legacy-KonfigurationEinstellungen des IAM Identity Center-AnmeldeinformationsanbietersKompatibilität mit SDKs AWS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM Identity Center-Anmeldeinformationsanbieter

Dieser Authentifizierungsmechanismus wird verwendet AWS IAM Identity Center , um Single Sign-On (SSO) -Zugriff auf Ihren Code AWS-Services zu erhalten.

Anmerkung

In der AWS SDK-API-Dokumentation wird der IAM Identity Center-Anmeldeinformationsanbieter als SSO-Anmeldeinformationsanbieter bezeichnet.

Nachdem Sie IAM Identity Center aktiviert haben, definieren Sie ein Profil für die zugehörigen Einstellungen in Ihrer geteilten Datei. AWS config Dieses Profil wird verwendet, um eine Verbindung zum IAM Identity Center-Zugriffsportal herzustellen. Wenn sich ein Benutzer erfolgreich bei IAM Identity Center authentifiziert hat, gibt das Portal kurzfristige Anmeldeinformationen für die diesem Benutzer zugeordnete IAM-Rolle zurück. Informationen darüber, wie das SDK temporäre Anmeldeinformationen aus der Konfiguration erhält und sie für AWS-Service Anfragen verwendet, finden Sie unter. Verstehen Sie die IAM Identity Center-Authentifizierung

Es gibt zwei Möglichkeiten, IAM Identity Center über die config Datei zu konfigurieren:

  • Konfiguration des SSO-Token-Anbieters (empfohlen) — Verlängerte Sitzungsdauer.

  • Legacy-Konfiguration, die nicht aktualisiert werden kann — Verwendet eine feste, achtstündige Sitzung.

In beiden Konfigurationen müssen Sie sich erneut anmelden, wenn Ihre Sitzung abläuft.

Um benutzerdefinierte Sitzungsdauern festzulegen, müssen Sie die Konfiguration des SSO-Token-Anbieters verwenden.

Die folgenden beiden Leitfäden enthalten zusätzliche Informationen zu IAM Identity Center:

Voraussetzungen

Sie müssen zuerst IAM Identity Center aktivieren. Einzelheiten zur Aktivierung der IAM Identity Center-Authentifizierung finden Sie unter Erste Schritte im AWS IAM Identity Center Benutzerhandbuch.

Folgen Sie alternativ den Authentifizierung von IAM Identity Center Anweisungen in diesem Handbuch. Diese Anweisungen bieten eine vollständige Anleitung, von der Aktivierung von IAM Identity Center bis hin zur Konfiguration der erforderlichen gemeinsamen config Datei, die im Folgenden beschrieben wird.

Konfiguration des SSO-Token-Anbieters

Anmerkung

Informationen AWS CLI zum Erstellen dieser Konfiguration für Sie finden Sie unter Konfigurieren Ihres Profils mit dem aws configure sso Assistenten im AWS CLI.

Wenn Sie die Konfiguration des SSO-Token-Anbieters verwenden, aktualisiert Ihr AWS SDK oder Tool Ihre Sitzung automatisch bis zu Ihrem verlängerten Sitzungszeitraum. Weitere Informationen zur Sitzungsdauer und Höchstdauer finden Sie im Benutzerhandbuch unter Konfiguration der Sitzungsdauer des AWS Zugriffsportals und der integrierten IAM Identity AWS IAM Identity Center Center-Anwendungen.

Der sso-session Abschnitt der config Datei wird verwendet, um Konfigurationsvariablen für den Erwerb von SSO-Zugriffstoken zu gruppieren, die dann zum Abrufen von AWS Anmeldeinformationen verwendet werden können. Weitere Informationen zum Formatieren von Abschnitten in einer config Datei finden Sie unterFormat der Konfigurationsdatei.

Sie definieren einen sso-session-Abschnitt und ordnen ihn einem Profil zu. sso_region und sso_start_url müssen innerhalb des sso-session-Abschnitts festgelegt werden. Normalerweise sso_account_id und sso_role_name muss in dem profile Abschnitt festgelegt werden, damit das SDK AWS Anmeldeinformationen anfordern kann.

Anmerkung

Ausführliche Informationen darüber, wie die SDKs und Tools Anmeldeinformationen mithilfe dieser Konfiguration verwenden und aktualisieren, finden Sie unterVerstehen Sie die IAM Identity Center-Authentifizierung.

Im folgenden Beispiel wird das SDK so konfiguriert, dass es IAM Identity Center-Anmeldeinformationen anfordert. Es unterstützt auch die automatische Token-Aktualisierung. 

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Sie können sso-session Konfigurationen für mehrere Profile wiederverwenden. 

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

sso_account_idund sso_role_name sind nicht für alle Szenarien der SSO-Token-Konfiguration erforderlich. Wenn Ihre Anwendung nur AWS-Services diese Unterstützung für die Trägerauthentifizierung verwendet, sind herkömmliche AWS Anmeldeinformationen nicht erforderlich. Bei der Bearer-Authentifizierung handelt es sich um ein HTTP-Authentifizierungsschema, das Sicherheitstoken, sogenannte Bearer-Token, verwendet. In diesem Szenario sind sso_account_id und sso_role_name nicht erforderlich. Sehen Sie in der jeweiligen Anleitung AWS-Service nach, ob sie die Bearer-Token-Autorisierung unterstützt.

Registrierungsbereiche werden als Teil eines konfiguriert. sso-session Der Geltungsbereich ist ein MechanismusOAuth 2.0, mit dem der Zugriff einer Anwendung auf das Konto eines Benutzers beschränkt wird. Eine Anwendung kann einen oder mehrere Bereiche anfordern, und das für die Anwendung ausgegebene Zugriffstoken ist auf die zugewiesenen Bereiche beschränkt. Diese Bereiche definieren die Berechtigungen, die für die Autorisierung für den registrierten OIDC-Client angefordert werden, und die vom Client abgerufenen Zugriffstoken. Informationen zu den unterstützten Zugriffsbereichsoptionen finden Sie unter Zugriffsbereiche im AWS IAM Identity Center Benutzerhandbuch. Im folgenden Beispiel wird der sso_registration_scopes Zugriff für die Auflistung von Konten und Rollen bereitgestellt. 

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Das Authentifizierungstoken wird auf der Festplatte unter dem ~/.aws/sso/cache Verzeichnis zwischengespeichert, wobei der Dateiname auf dem Sitzungsnamen basiert.

Nicht aktualisierbare Legacy-Konfiguration

Die automatisierte Token-Aktualisierung wird bei Verwendung der nicht aktualisierbaren Legacy-Konfiguration nicht unterstützt. Wir empfehlen, Konfiguration des SSO-Token-Anbieters stattdessen das zu verwenden.

Um die alte, nicht aktualisierbare Konfiguration zu verwenden, müssen Sie die folgenden Einstellungen in Ihrem Profil angeben:

  • sso_start_url

  • sso_region

  • sso_account_id

  • sso_role_name

Sie geben das Benutzerportal für ein Profil mit den Einstellungen sso_start_url und sso_region an. Sie geben Berechtigungen mit den sso_role_name Einstellungen sso_account_id und an.

Im folgenden Beispiel werden die vier erforderlichen Werte in der config Datei festgelegt.

[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole

Das Authentifizierungstoken wird auf der Festplatte unter dem ~/.aws/sso/cache Verzeichnis zwischengespeichert, dessen Dateiname auf dem sso_start_url basiert.

Einstellungen des IAM Identity Center-Anmeldeinformationsanbieters

Konfigurieren Sie diese Funktionalität wie folgt:

sso_start_url- Einstellung für gemeinsam genutzte AWS config Dateien

Die URL, die auf das IAM Identity Center-Zugriffsportal Ihrer Organisation verweist. Weitere Informationen zum IAM Identity Center-Zugriffsportal finden Sie im AWS IAM Identity Center Benutzerhandbuch unter Verwenden des AWS Zugriffsportals.

Um diesen Wert zu finden, öffnen Sie die IAM Identity Center-Konsole, sehen Sie sich das Dashboard an und suchen Sie nach der URL des AWS Zugriffsportals.

sso_region- Einstellung für gemeinsam genutzte AWS config Dateien

Die AWS-Region , die Ihren IAM Identity Center-Portalhost enthält, d. h. die Region, die Sie vor der Aktivierung von IAM Identity Center ausgewählt haben. Dies ist unabhängig von Ihrer AWS Standardregion und kann unterschiedlich sein.

Eine vollständige Liste der AWS-Regionen und ihrer Codes finden Sie unter Regionale Endpunkte in der Allgemeine Amazon Web Services-Referenz. Um diesen Wert zu finden, öffnen Sie die IAM Identity Center-Konsole, rufen Sie das Dashboard auf und suchen Sie nach Region.

sso_account_id- Einstellung für gemeinsam genutzte AWS config Dateien

Die numerische ID AWS-Konto , die über den AWS Organizations Dienst hinzugefügt wurde, um sie für die Authentifizierung zu verwenden.

Um die Liste der verfügbaren Konten zu sehen, gehen Sie zur IAM Identity Center-Konsole und öffnen Sie die AWS-KontenSeite. Die Liste der verfügbaren Konten, die die ListAccountsAPI-Methode verwenden, finden Sie auch in der AWS IAM Identity Center Portal-API-Referenz. Sie können beispielsweise die AWS CLI Methode list-accounts aufrufen.

sso_role_name- Einstellung für gemeinsam genutzte Dateien AWS config

Der Name eines als IAM-Rolle bereitgestellten Berechtigungssatzes, der die daraus resultierenden Berechtigungen des Benutzers definiert. Die Rolle muss in dem von AWS-Konto angegebenen Namen existieren. sso_account_id Verwenden Sie den Rollennamen, nicht den Amazon Resource Name (ARN) der Rolle.

Mit den Berechtigungssätzen sind IAM-Richtlinien und benutzerdefinierte Berechtigungsrichtlinien verknüpft. Sie definieren die Zugriffsebene, die Benutzer auf die ihnen zugewiesenen AWS-Konten Rechte haben.

Um die Liste der verfügbaren Berechtigungssätze pro zu sehen AWS-Konto, gehen Sie zur IAM Identity Center-Konsole und öffnen Sie die AWS-KontenSeite. Wählen Sie den richtigen Namen für den Berechtigungssatz aus, der in der AWS-Konten Tabelle aufgeführt ist. Die Liste der verfügbaren Berechtigungssätze, die die ListAccountRolesAPI-Methode verwenden, finden Sie auch in der AWS IAM Identity Center Portal-API-Referenz. Sie können die AWS CLI Methode beispielsweise aufrufen list-account-roles.

sso_registration_scopes- Einstellung für gemeinsam genutzte AWS config Dateien

Eine durch Kommas getrennte Liste gültiger Bereichszeichenfolgen, für die autorisiert werden sollen. sso-session Bereiche autorisieren den Zugriff auf über IAM-Identity-Center-Bearer-Token autorisierte Endpunkte. Ein Mindestbereich von sso:account:access muss gewährt werden, um ein Aktualisierungstoken vom IAM Identity Center-Dienst zurückzuerhalten. Die unterstützten Zugriffsbereichszeichenfolgen finden Sie unter Zugriffsbereiche im AWS IAM Identity Center Benutzerhandbuch. Diese Einstellung gilt nicht für die Legacy-Konfiguration, die nicht aktualisiert werden kann. Token, die mit der Legacy-Konfiguration ausgegeben wurden, sind implizit auf den Gültigkeitsbereich sso:account:access beschränkt.

Kompatibilität mit SDKs AWS

Die folgenden SDKs unterstützen die in diesem Thema beschriebenen Funktionen und Einstellungen. Alle teilweisen Ausnahmen werden vermerkt. Alle Einstellungen für JVM-Systemeigenschaften werden AWS SDK for Kotlin nur von AWS SDK for Java und vom unterstützt.

SDK Unterstützt Hinweise oder weitere Informationen
AWS CLI v2 Ja
SDK for C++ Ja
SDK for Go V2 (1.x) Ja
SDK for Go 1.x (V1) Ja Um die Einstellungen für gemeinsam genutzte config Dateien zu verwenden, müssen Sie das Laden aus der Konfigurationsdatei aktivieren; siehe Sessions.
SDK for Java 2.x Ja Konfigurationswerte werden auch in der credentials Datei unterstützt.
SDK for Java 1.x Nein
SDK für 3.x JavaScript Ja
SDK für 2.x JavaScript Ja
SDK für Kotlin Ja
SDK for .NET 3.x Ja
SDK for PHP 3.x Ja
SDK for Python (Boto3) Ja
SDK for Ruby 3.x Ja
SDK für Rust Teilweise Nur ältere, nicht aktualisierbare Konfiguration.
Tools für PowerShell Ja