À propos de la fédération d'identité web - AWS Identity and Access Management

À propos de la fédération d'identité web

Supposons que vous vouliez créer une application mobile qui accède à des ressources AWS telles qu'un jeu qui s'exécute sur un appareil mobile et enregistre les informations relatives aux joueurs et aux scores à l'aide d'Amazon S3 et de DynamoDB.

Lors de la création de cette application, vous envoyez aux services AWS des demandes qui doivent être signées à l'aide d'une clé d'accès AWS. Toutefois, nous vous recommandons fortement de ne pas intégrer ou distribuer d'informations d'identification AWS à long terme avec des applications qu'un utilisateur télécharge sur un appareil, y compris à partir d'un magasin chiffré. Il est préférable de créer l'application de façon à ce que celle-ci demande des informations d'identification de sécurité AWS temporaires de manière dynamique, si nécessaire, à l'aide de la fédération d'identité web. Les informations d'identification temporaires sont mappées à un rôle AWS qui dispose uniquement des autorisations nécessaires pour exécuter les tâches requises par l'application mobile.

Lors de l'utilisation de la fédération d'identité web, il n'est pas nécessaire de créer de code de connexion personnalisé ni de gérer vos propres identités utilisateur. Au lieu de cela, les utilisateurs de votre application peuvent se connecter à l'aide d'un fournisseur d'identité externe (IdP) connu tel que Login with Amazon, Facebook, Google, ou tout autre IdP compatible avec OpenID Connect (OIDC). Ils peuvent recevoir un jeton d'authentification, puis échanger ce jeton contre des informations d'identification de sécurité temporaires dans AWS qui sont mappées à un rôle IAM disposant d'autorisations permettant d'utiliser les ressources de votre compte AWS. L'utilisation d'un IdP vous permet de mieux sécuriser votre compte AWS, car vous n'avez pas à intégrer ni distribuer d'informations d'identification de sécurité à long terme dans votre application.

Pour la plupart des scénarios, il est recommandé d'utiliser Amazon Cognito, car cette application agit en tant que broker d'identité et effectue automatiquement la plupart des tâches liées à la fédération. Pour plus d'informations, consultez la section ., Utilisation d'Amazon Cognito pour les applications mobiles.

Si vous n'utilisez pas Amazon Cognito, vous devez écrire le code qui interagit avec un IdP web, tel que Facebook, puis appelle l'API AssumeRoleWithWebIdentity pour échanger le jeton d'authentification fourni par l'IdP afin d'obtenir des informations d'identification de sécurité temporaires AWS. Si vous avez déjà utilisé cette méthode pour des applications existantes, vous pouvez continuer à procéder ainsi.