Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAM Identity Center-Anmeldeinformationsanbieter
Dieser Authentifizierungsmechanismus wird verwendet AWS IAM Identity Center , um Single Sign-On (SSO) -Zugriff auf Ihren Code AWS-Services zu erhalten.
Anmerkung
In der AWS SDK-API-Dokumentation wird der IAM Identity Center-Anmeldeinformationsanbieter als SSO-Anmeldeinformationsanbieter bezeichnet.
Nachdem Sie IAM Identity Center aktiviert haben, definieren Sie ein Profil für die zugehörigen Einstellungen in Ihrer geteilten Datei. AWS
config
Dieses Profil wird verwendet, um eine Verbindung zum IAM Identity Center-Zugriffsportal herzustellen. Wenn sich ein Benutzer erfolgreich bei IAM Identity Center authentifiziert hat, gibt das Portal kurzfristige Anmeldeinformationen für die diesem Benutzer zugeordnete IAM-Rolle zurück. Informationen darüber, wie das SDK temporäre Anmeldeinformationen aus der Konfiguration erhält und sie für AWS-Service Anfragen verwendet, finden Sie unter. Verstehen Sie die IAM Identity Center-Authentifizierung
Es gibt zwei Möglichkeiten, IAM Identity Center über die config
Datei zu konfigurieren:
-
Konfiguration des SSO-Token-Anbieters (empfohlen) — Verlängerte Sitzungsdauer.
-
Legacy-Konfiguration, die nicht aktualisiert werden kann — Verwendet eine feste, achtstündige Sitzung.
In beiden Konfigurationen müssen Sie sich erneut anmelden, wenn Ihre Sitzung abläuft.
Um benutzerdefinierte Sitzungsdauern festzulegen, müssen Sie die Konfiguration des SSO-Token-Anbieters verwenden.
Die folgenden beiden Leitfäden enthalten zusätzliche Informationen zu IAM Identity Center:
Voraussetzungen
Sie müssen zuerst IAM Identity Center aktivieren. Einzelheiten zur Aktivierung der IAM Identity Center-Authentifizierung finden Sie unter Erste Schritte im AWS IAM Identity Center Benutzerhandbuch.
Folgen Sie alternativ den Authentifizierung von IAM Identity Center Anweisungen in diesem Handbuch. Diese Anweisungen bieten eine vollständige Anleitung, von der Aktivierung von IAM Identity Center bis hin zur Konfiguration der erforderlichen gemeinsamen config
Datei, die im Folgenden beschrieben wird.
Konfiguration des SSO-Token-Anbieters
Anmerkung
Informationen AWS CLI zum Erstellen dieser Konfiguration für Sie finden Sie unter Konfigurieren Ihres Profils mit dem aws configure sso
Assistenten im AWS CLI.
Wenn Sie die Konfiguration des SSO-Token-Anbieters verwenden, aktualisiert Ihr AWS SDK oder Tool Ihre Sitzung automatisch bis zu Ihrem verlängerten Sitzungszeitraum. Weitere Informationen zur Sitzungsdauer und Höchstdauer finden Sie im Benutzerhandbuch unter Konfiguration der Sitzungsdauer des AWS Zugriffsportals und der integrierten IAM Identity AWS IAM Identity Center Center-Anwendungen.
Der sso-session
Abschnitt der config
Datei wird verwendet, um Konfigurationsvariablen für den Erwerb von SSO-Zugriffstoken zu gruppieren, die dann zum Abrufen von AWS Anmeldeinformationen verwendet werden können. Weitere Informationen zum Formatieren von Abschnitten in einer config
Datei finden Sie unterFormat der Konfigurationsdatei.
Sie definieren einen sso-session
-Abschnitt und ordnen ihn einem Profil zu. sso_region
und sso_start_url
müssen innerhalb des sso-session
-Abschnitts festgelegt werden. Normalerweise sso_account_id
und sso_role_name
muss in dem profile
Abschnitt festgelegt werden, damit das SDK AWS Anmeldeinformationen anfordern kann.
Anmerkung
Ausführliche Informationen darüber, wie die SDKs und Tools Anmeldeinformationen mithilfe dieser Konfiguration verwenden und aktualisieren, finden Sie unterVerstehen Sie die IAM Identity Center-Authentifizierung.
Im folgenden Beispiel wird das SDK so konfiguriert, dass es IAM Identity Center-Anmeldeinformationen anfordert. Es unterstützt auch die automatische Token-Aktualisierung.
[profile
dev
] sso_session =my-sso
sso_account_id =111122223333
sso_role_name =SampleRole
[sso-sessionmy-sso
] sso_region =us-east-1
sso_start_url =https://my-sso-portal.awsapps.com/start
sso_registration_scopes =sso:account:access
Sie können sso-session
Konfigurationen für mehrere Profile wiederverwenden.
[profile
dev
] sso_session =my-sso
sso_account_id =111122223333
sso_role_name =SampleRole
[profile prod] sso_session =my-sso
sso_account_id =111122223333
sso_role_name =SampleRole2
[sso-sessionmy-sso
] sso_region =us-east-1
sso_start_url =https://my-sso-portal.awsapps.com/start
sso_registration_scopes =sso:account:access
sso_account_id
und sso_role_name
sind nicht für alle Szenarien der SSO-Token-Konfiguration erforderlich. Wenn Ihre Anwendung nur AWS-Services diese Unterstützung für die Trägerauthentifizierung verwendet, sind herkömmliche AWS Anmeldeinformationen nicht erforderlich. Bei der Bearer-Authentifizierung handelt es sich um ein HTTP-Authentifizierungsschema, das Sicherheitstoken, sogenannte Bearer-Token, verwendet. In diesem Szenario sind sso_account_id
und sso_role_name
nicht erforderlich. Sehen Sie in der jeweiligen Anleitung AWS-Service nach, ob sie die Bearer-Token-Autorisierung unterstützt.
Registrierungsbereiche werden als Teil eines konfiguriert. sso-session
Der Geltungsbereich ist ein MechanismusOAuth 2.0, mit dem der Zugriff einer Anwendung auf das Konto eines Benutzers beschränkt wird. Eine Anwendung kann einen oder mehrere Bereiche anfordern, und das für die Anwendung ausgegebene Zugriffstoken ist auf die zugewiesenen Bereiche beschränkt. Diese Bereiche definieren die Berechtigungen, die für die Autorisierung für den registrierten OIDC-Client angefordert werden, und die vom Client abgerufenen Zugriffstoken. Informationen zu den unterstützten Zugriffsbereichsoptionen finden Sie unter Zugriffsbereiche im AWS IAM Identity Center Benutzerhandbuch. Im folgenden Beispiel wird der sso_registration_scopes
Zugriff für die Auflistung von Konten und Rollen bereitgestellt.
[sso-session
my-sso
] sso_region =us-east-1
sso_start_url =https://my-sso-portal.awsapps.com/start
sso_registration_scopes =sso:account:access
Das Authentifizierungstoken wird auf der Festplatte unter dem ~/.aws/sso/cache
Verzeichnis zwischengespeichert, wobei der Dateiname auf dem Sitzungsnamen basiert.
Nicht aktualisierbare Legacy-Konfiguration
Die automatisierte Token-Aktualisierung wird bei Verwendung der nicht aktualisierbaren Legacy-Konfiguration nicht unterstützt. Wir empfehlen, Konfiguration des SSO-Token-Anbieters stattdessen das zu verwenden.
Um die alte, nicht aktualisierbare Konfiguration zu verwenden, müssen Sie die folgenden Einstellungen in Ihrem Profil angeben:
-
sso_start_url
-
sso_region
-
sso_account_id
-
sso_role_name
Sie geben das Benutzerportal für ein Profil mit den Einstellungen sso_start_url
und sso_region
an. Sie geben Berechtigungen mit den sso_role_name
Einstellungen sso_account_id
und an.
Im folgenden Beispiel werden die vier erforderlichen Werte in der config
Datei festgelegt.
[profile
my-sso-profile
] sso_start_url =https://my-sso-portal.awsapps.com/start
sso_region =us-west-2
sso_account_id =111122223333
sso_role_name =SSOReadOnlyRole
Das Authentifizierungstoken wird auf der Festplatte unter dem ~/.aws/sso/cache
Verzeichnis zwischengespeichert, dessen Dateiname auf dem sso_start_url
basiert.
Einstellungen des IAM Identity Center-Anmeldeinformationsanbieters
Konfigurieren Sie diese Funktionalität wie folgt:
sso_start_url
- Einstellung für gemeinsam genutzte AWSconfig
Dateien-
Die URL, die auf das IAM Identity Center-Zugriffsportal Ihrer Organisation verweist. Weitere Informationen zum IAM Identity Center-Zugriffsportal finden Sie im AWS IAM Identity Center Benutzerhandbuch unter Verwenden des AWS Zugriffsportals.
Um diesen Wert zu finden, öffnen Sie die IAM Identity Center-Konsole
, sehen Sie sich das Dashboard an und suchen Sie nach der URL des AWS Zugriffsportals. sso_region
- Einstellung für gemeinsam genutzte AWSconfig
Dateien-
Die AWS-Region , die Ihren IAM Identity Center-Portalhost enthält, d. h. die Region, die Sie vor der Aktivierung von IAM Identity Center ausgewählt haben. Dies ist unabhängig von Ihrer AWS Standardregion und kann unterschiedlich sein.
Eine vollständige Liste der AWS-Regionen und ihrer Codes finden Sie unter Regionale Endpunkte in der Allgemeine Amazon Web Services-Referenz. Um diesen Wert zu finden, öffnen Sie die IAM Identity Center-Konsole, rufen
Sie das Dashboard auf und suchen Sie nach Region. sso_account_id
- Einstellung für gemeinsam genutzte AWSconfig
Dateien-
Die numerische ID AWS-Konto , die über den AWS Organizations Dienst hinzugefügt wurde, um sie für die Authentifizierung zu verwenden.
Um die Liste der verfügbaren Konten zu sehen, gehen Sie zur IAM Identity Center-Konsole
und öffnen Sie die AWS-KontenSeite. Die Liste der verfügbaren Konten, die die ListAccountsAPI-Methode verwenden, finden Sie auch in der AWS IAM Identity Center Portal-API-Referenz. Sie können beispielsweise die AWS CLI Methode list-accounts aufrufen. sso_role_name
- Einstellung für gemeinsam genutzte Dateien AWSconfig
-
Der Name eines als IAM-Rolle bereitgestellten Berechtigungssatzes, der die daraus resultierenden Berechtigungen des Benutzers definiert. Die Rolle muss in dem von AWS-Konto angegebenen Namen existieren.
sso_account_id
Verwenden Sie den Rollennamen, nicht den Amazon Resource Name (ARN) der Rolle.Mit den Berechtigungssätzen sind IAM-Richtlinien und benutzerdefinierte Berechtigungsrichtlinien verknüpft. Sie definieren die Zugriffsebene, die Benutzer auf die ihnen zugewiesenen AWS-Konten Rechte haben.
Um die Liste der verfügbaren Berechtigungssätze pro zu sehen AWS-Konto, gehen Sie zur IAM Identity Center-Konsole
und öffnen Sie die AWS-KontenSeite. Wählen Sie den richtigen Namen für den Berechtigungssatz aus, der in der AWS-Konten Tabelle aufgeführt ist. Die Liste der verfügbaren Berechtigungssätze, die die ListAccountRolesAPI-Methode verwenden, finden Sie auch in der AWS IAM Identity Center Portal-API-Referenz. Sie können die AWS CLI Methode beispielsweise aufrufen list-account-roles . sso_registration_scopes
- Einstellung für gemeinsam genutzte AWSconfig
Dateien-
Eine durch Kommas getrennte Liste gültiger Bereichszeichenfolgen, für die autorisiert werden sollen.
sso-session
Bereiche autorisieren den Zugriff auf über IAM-Identity-Center-Bearer-Token autorisierte Endpunkte. Ein Mindestbereich vonsso:account:access
muss gewährt werden, um ein Aktualisierungstoken vom IAM Identity Center-Dienst zurückzuerhalten. Die unterstützten Zugriffsbereichszeichenfolgen finden Sie unter Zugriffsbereiche im AWS IAM Identity Center Benutzerhandbuch. Diese Einstellung gilt nicht für die Legacy-Konfiguration, die nicht aktualisiert werden kann. Token, die mit der Legacy-Konfiguration ausgegeben wurden, sind implizit auf den Gültigkeitsbereichsso:account:access
beschränkt.
Kompatibilität mit SDKs AWS
Die folgenden SDKs unterstützen die in diesem Thema beschriebenen Funktionen und Einstellungen. Alle teilweisen Ausnahmen werden vermerkt. Alle Einstellungen für JVM-Systemeigenschaften werden AWS SDK for Kotlin nur von AWS SDK for Java und vom unterstützt.
SDK | Unterstützt | Hinweise oder weitere Informationen |
---|---|---|
AWS CLI v2 | Ja | |
SDK for C++ | Ja | |
SDK for Go V2 (1.x) |
Ja | |
SDK for Go 1.x (V1) | Ja | Um die Einstellungen für gemeinsam genutzte config Dateien zu verwenden, müssen Sie das Laden aus der Konfigurationsdatei aktivieren; siehe Sessions. |
SDK for Java 2.x | Ja | Konfigurationswerte werden auch in der credentials Datei unterstützt. |
SDK for Java 1.x | Nein | |
SDK für 3.x JavaScript | Ja | |
SDK für 2.x JavaScript | Ja | |
SDK für Kotlin | Ja | |
SDK for .NET 3.x | Ja | |
SDK for PHP 3.x | Ja | |
SDK for Python (Boto3) |
Ja | |
SDK for Ruby 3.x | Ja | |
SDK für Rust | Teilweise | Nur ältere, nicht aktualisierbare Konfiguration. |
Tools für PowerShell | Ja |