Vertrauensanbieter für Benutzeridentitäten - AWS Verifizierter Zugriff
IAM Identity CenterOIDC-Vertrauensanbieter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Vertrauensanbieter für Benutzeridentitäten

Sie können wählen, ob Sie AWS IAM Identity Center entweder einen OpenID Connect-kompatiblen Vertrauensanbieter für Benutzeridentitäten verwenden möchten.

Verwenden Sie IAM Identity Center als Vertrauensanbieter

Sie können es AWS IAM Identity Center als Vertrauensanbieter für Benutzeridentitäten mit AWS verifiziertem Zugriff verwenden.

Voraussetzungen und Überlegungen

  • Ihre IAM Identity Center-Instanz muss eine Instanz AWS Organizations sein. Eine IAM Identity Center-Instanz mit einem eigenständigen AWS Konto funktioniert nicht.

  • Ihre IAM Identity Center-Instanz muss in derselben AWS Region aktiviert sein, in der Sie den Verified Access Trust Provider erstellen möchten.

Einzelheiten zu den verschiedenen Instanztypen finden Sie im AWS IAM Identity CenterBenutzerhandbuch unter Organisations- und Kontoinstanzen von IAM Identity Center verwalten.

Erstellen Sie einen IAM Identity Center Trust Provider

Nachdem IAM Identity Center für Ihr AWS Konto aktiviert wurde, können Sie das folgende Verfahren verwenden, um IAM Identity Center als Ihren Vertrauensanbieter für verifizierten Zugriff einzurichten.

So erstellen Sie einen IAM Identity Center-Vertrauensanbieter (Konsole) AWS

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Verified Access Trust Provider und dann Create Verified Access Trust Provider aus.

  3. (Optional) Geben Sie unter Namenstag und Beschreibung einen Namen und eine Beschreibung für den Vertrauensanbieter ein.

  4. Geben Sie als Referenzname für die Richtlinie einen Bezeichner ein, der später bei der Arbeit mit Richtlinienregeln verwendet werden soll.

  5. Wählen Sie unter Vertrauensanbietertyp die Option Benutzervertrauensdienstanbieter aus.

  6. Wählen Sie unter Benutzer-Trust-Provider-Typ die Option IAM Identity Center aus.

  7. (Optional) Sie fügen ein Tag hinzu, indem Sie neuen Tag hinzufügen auswählen und den Schlüssel und den Wert für den Tag eingeben.

  8. Wählen Sie Create Verified Access Trust Provider.

So erstellen Sie einen IAM Identity Center Trust Provider (AWSCLI)

Löschen Sie einen IAM Identity Center-Vertrauensanbieter

Bevor Sie einen Trust Provider löschen können, müssen Sie die gesamte Endpoint- und Gruppenkonfiguration aus der Instance entfernen, an die der Trust Provider angehängt ist.

Um einen IAM Identity Center Trust Provider (AWSKonsole) zu löschen

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Verified Access Trust Provider und dann unter Verified Access Trust Providers den Trust Provider aus, den Sie löschen möchten.

  3. Wählen Sie Aktionen und dann Vertrauensanbieter mit verifiziertem Zugriff löschen aus.

  4. Bestätigen Sie den Löschvorgang, indem Sie die Eingabe delete in das Textfeld eingeben.

  5. Wählen Sie Löschen aus.

So löschen Sie einen IAM Identity Center Trust Provider (AWSCLI)

Verwendung eines OpenID Connect-Vertrauensanbieters

AWSVerified Access unterstützt Identitätsanbieter, die standardmäßige OpenID Connect (OIDC) -Methoden verwenden. Sie können OIDC-kompatible Anbieter als Vertrauensanbieter für Benutzeridentitäten mit Verified Access verwenden. Aufgrund der Vielzahl potenzieller OIDC-Anbieter AWS ist es jedoch nicht möglich, jede OIDC-Integration mit Verified Access zu testen.

Verified Access bezieht die Vertrauensdaten, die es auswertet, von den OIDC-Anbietern. UserInfo Endpoint Der Scope Parameter wird verwendet, um zu bestimmen, welche Vertrauensdatensätze abgerufen werden. Nachdem die Vertrauensdaten empfangen wurden, wird die Verified Access-Richtlinie anhand dieser Daten bewertet.

Anmerkung

Verified Access verwendet bei der Bewertung der Verified Access-Richtlinie keine Vertrauensdaten aus den vom OIDC-Anbieter ID token gesendeten Daten. Nur vertrauenswürdige Daten von werden anhand UserInfo Endpoint der Richtlinie bewertet.

Voraussetzungen für die Erstellung eines OIDC-Vertrauensanbieters

Sie müssen die folgenden Informationen direkt von Ihrem Trust Provider-Dienst einholen:

  • Aussteller

  • Endpunkt der Autorisierung

  • Token-Endpunkt

  • UserInfo Endpunkt

  • Client-ID

  • Clientschlüssel

  • Scope

Erstellen Sie einen OIDC-Vertrauensanbieter

Gehen Sie wie folgt vor, um einen OIDC als Ihren Vertrauensanbieter zu erstellen.

So erstellen Sie einen OIDC-Vertrauensanbieter (Konsole) AWS

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Vertrauensanbieter mit verifiziertem Zugriff und dann Vertrauensanbieter mit verifiziertem Zugriff erstellen aus.

  3. (Optional) Geben Sie unter Namenstag und Beschreibung einen Namen und eine Beschreibung für den Vertrauensanbieter ein.

  4. Geben Sie als Referenzname für die Richtlinie einen Bezeichner ein, der später bei der Arbeit mit Richtlinienregeln verwendet werden soll.

  5. Wählen Sie unter Vertrauensanbietertyp die Option Benutzervertrauensdienstanbieter aus.

  6. Wählen Sie unter Benutzervertrauensanbietertyp die Option OIDC (OpenID Connect) aus.

  7. Geben Sie für Issuer die ID des OIDC-Emittenten ein.

  8. Geben Sie für Autorisierungsendpunkt die vollständige URL des Autorisierungsendpunkts ein.

  9. Geben Sie für Token-Endpunkt die vollständige URL des Token-Endpunkts ein.

  10. Geben Sie für Benutzerendpunkt die vollständige URL des Benutzerendpunkts ein.

  11. Geben Sie die OAuth 2.0-Client-ID als Client-ID ein.

  12. Geben Sie den geheimen OAuth 2.0-Clientschlüssel für Client-Schlüssel ein.

  13. Geben Sie eine durch Leerzeichen getrennte Liste von Bereichen ein, die mit Ihrem Identitätsanbieter definiert wurden. Für Scope ist mindestens der Bereich „openid“ erforderlich.

  14. (Optional) Sie fügen ein Tag hinzu, indem Sie neuen Tag hinzufügen auswählen und den Schlüssel und den Wert für den Tag eingeben.

  15. Wählen Sie Create Verified Access Trust Provider aus.

Anmerkung

Sie müssen der Zulassungsliste Ihres OIDC-Anbieters eine Weiterleitungs-URI hinzufügen. Zu diesem Zweck sollten Sie den ApplicationDomain Endpunkt „Verified Access“ verwenden. Dies finden Sie in derAWS Management Console, auf der Registerkarte Details für Ihren verifizierten Zugriffs-Endpunkt oder indem Sie AWS CLI den Endpunkt beschreiben. Fügen Sie Folgendes zur Zulassungsliste Ihres OIDC-Anbieters hinzu: https:///oauth2/idpresponse ApplicationDomain

So erstellen Sie einen OIDC Trust Provider (CLI) AWS

Ändern Sie einen OIDC-Vertrauensanbieter

Nachdem Sie einen Vertrauensanbieter erstellt haben, können Sie dessen Konfiguration aktualisieren.

Um einen OIDC-Vertrauensanbieter (AWSKonsole) zu ändern

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich die Option Verified Access Trust Providers aus, und wählen Sie dann unter Verified Access Trust Providers den Vertrauensanbieter aus, den Sie ändern möchten.

  3. Wählen Sie Aktionen und dann Vertrauensanbieter mit verifiziertem Zugriff ändern aus.

  4. Ändern Sie die Optionen, die Sie ändern möchten.

  5. Wählen Sie Vertrauensanbieter mit verifiziertem Zugriff ändern aus.

So ändern Sie einen OIDC-Vertrauensanbieter (CLI) AWS

Löschen Sie einen OIDC-Vertrauensanbieter

Bevor Sie einen Benutzer-Vertrauensanbieter löschen können, müssen Sie zunächst die gesamte Endpunkt- und Gruppenkonfiguration aus der Instanz entfernen, an die der Trust Provider angehängt ist.

Um einen OIDC-Vertrauensanbieter (AWSKonsole) zu löschen

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich die Option Verified Access Trust Providers aus, und wählen Sie dann unter Verified Access Trust Providers den Vertrauensanbieter aus, den Sie löschen möchten.

  3. Wählen Sie Aktionen und dann Vertrauensanbieter mit verifiziertem Zugriff löschen aus.

  4. Bestätigen Sie den Löschvorgang, indem Sie die Eingabe delete in das Textfeld eingeben.

  5. Wählen Sie Löschen aus.

So löschen Sie einen OIDC-Vertrauensanbieter (CLI) AWS