Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
In den folgenden Abschnitten werden die Einstellungen beschrieben, die für die Einrichtung und Verwendung eines vertrauenswürdigen Token-Ausstellers erforderlich sind.
URL des OIDC-Discovery-Endpunkts (Aussteller-URL)
Wenn Sie der IAM Identity Center-Konsole einen vertrauenswürdigen Token-Aussteller hinzufügen, müssen Sie die URL des OIDC-Discovery-Endpunkts angeben. Auf diese URL wird üblicherweise mit ihrer relativen URL, verwiesen. /.well-known/openid-configuration In der IAM Identity Center-Konsole wird diese URL als Aussteller-URL bezeichnet.
Anmerkung
Sie müssen die URL des Discovery-Endpunkts bis und ohne einfügen. .well-known/openid-configuration Wenn sie in der URL enthalten .well-known/openid-configuration ist, funktioniert die Konfiguration des vertrauenswürdigen Token-Ausstellers nicht. Da IAM Identity Center diese URL nicht validiert, schlägt die Einrichtung des vertrauenswürdigen Token-Ausstellers ohne Benachrichtigung fehl, wenn die URL nicht korrekt formatiert ist.
Die URL des OIDC-Discovery-Endpunkts darf nur über die Ports 80 und 443 erreichbar sein.
IAM Identity Center verwendet diese URL, um zusätzliche Informationen über den vertrauenswürdigen Token-Aussteller abzurufen. Beispielsweise verwendet IAM Identity Center diese URL, um die Informationen abzurufen, die zur Überprüfung der vom vertrauenswürdigen Token-Emittenten generierten Token erforderlich sind. Wenn Sie einen vertrauenswürdigen Token-Aussteller zu IAM Identity Center hinzufügen, müssen Sie diese URL angeben. Die URL finden Sie in der Dokumentation des OAuth 2.0-Autorisierungsserver-Anbieters, den Sie zum Generieren von Tokens für Ihre Anwendung verwenden, oder wenden Sie sich direkt an den Anbieter, um Unterstützung zu erhalten.
Attributzuordnung
Mithilfe von Attributzuordnungen kann IAM Identity Center den Benutzer, der in einem von einem vertrauenswürdigen Token-Aussteller ausgegebenen Token repräsentiert wird, einem einzelnen Benutzer in IAM Identity Center zuordnen. Sie müssen die Attributzuordnung angeben, wenn Sie den vertrauenswürdigen Token-Aussteller zu IAM Identity Center hinzufügen. Diese Attributzuordnung wird in einem Anspruch in dem Token verwendet, das vom vertrauenswürdigen Token-Emittenten generiert wird. Der Wert im Anspruch wird für die Suche im IAM Identity Center verwendet. Bei der Suche wird das angegebene Attribut verwendet, um einen einzelnen Benutzer in IAM Identity Center abzurufen, der als Benutzer innerhalb von IAM Identity Center verwendet wird. AWS Der von Ihnen gewählte Anspruch muss einem Attribut in einer festen Liste verfügbarer Attribute im IAM Identity Center-Identitätsspeicher zugeordnet werden. Sie können eines der folgenden IAM Identity Center-Identitätsspeicher-Attribute wählen: Benutzername, E-Mail und externe ID. Der Wert für das Attribut, das Sie in IAM Identity Center angeben, muss für jeden Benutzer eindeutig sein.
Ein Anspruch geltend machen
Ein Aud-Antrag identifiziert die Zielgruppe (Empfänger), für die ein Token bestimmt ist. Wenn sich die Anwendung, die den Zugriff anfordert, über einen Identitätsanbieter authentifiziert, der nicht mit dem IAM Identity Center verbunden ist, muss dieser Identitätsanbieter als vertrauenswürdiger Token-Aussteller eingerichtet werden. Die Anwendung, die die Zugriffsanfrage empfängt (die empfangende Anwendung), muss das vom vertrauenswürdigen Token-Aussteller generierte Token gegen ein Token austauschen, das von IAM Identity Center generiert wurde.
Informationen darüber, wie Sie die Aud-Claim-Werte für die empfangende Anwendung abrufen können, da sie beim vertrauenswürdigen Token-Aussteller registriert sind, finden Sie in der Dokumentation Ihres vertrauenswürdigen Token-Ausstellers oder wenden Sie sich an den Administrator des vertrauenswürdigen Token-Ausstellers, um Unterstützung zu erhalten.
