OIDCfédération

Imaginez que vous créez une application qui accède à des AWS ressources, comme GitHub Actions, qui utilise des flux de travail pour accéder à Amazon S3 et DynamoDB.

Lorsque vous utilisez ces flux de travail, vous envoyez des demandes aux AWS services qui doivent être signées à l'aide d'une clé d' AWS accès. Cependant, nous vous recommandons vivement de ne pas stocker les AWS informations d'identification à long terme dans des applications extérieures AWS. Configurez plutôt vos applications pour demander des informations d'identification de AWS sécurité temporaires de manière dynamique en cas de besoin à l'aide OIDCde la fédération. Les informations d'identification temporaires fournies correspondent à un AWS rôle qui dispose uniquement des autorisations nécessaires pour effectuer les tâches requises par l'application.

Avec OIDC la fédération, vous n'avez pas besoin de créer de code de connexion personnalisé ni de gérer vos propres identités d'utilisateur. Vous pouvez plutôt l'utiliser OIDC dans des applications, telles que GitHub Actions ou tout autre IdP compatible avec OpenID Connect (OIDC), pour vous authentifier. AWS Ils reçoivent un jeton d'authentification, appelé jeton JSON Web (JWT), puis échangent ce jeton contre des informations d'identification de sécurité temporaires associées à un IAM rôle autorisé à utiliser des ressources spécifiques dans votre Compte AWS. AWS L'utilisation d'un IdP vous aide à Compte AWS garantir votre sécurité, car vous n'avez pas à intégrer et à distribuer des informations de sécurité à long terme dans votre application.

Pour la plupart des scénarios, il est recommandé d'utiliser Amazon Cognito, car cette application agit en tant que broker d'identité et effectue automatiquement la plupart des tâches liées à la fédération. Pour plus d'informations, consultez la section Amazon Cognito pour applications mobiles.

Note

JSONLes Web Tokens (JWTs) émis par les fournisseurs d'identité OpenID Connect (OIDC) contiennent une date d'expiration dans la exp réclamation qui indique la date d'expiration du jeton. IAMfournit une fenêtre de cinq minutes au-delà du délai d'expiration spécifié dans le JWT pour tenir compte du décalage horaire, comme le permet la norme OpenID Connect (OIDC) Core 1.0. Cela signifie qu'ils sont OIDC JWTs reçus IAM après le délai d'expiration, mais dans ce délai de cinq minutes, ils sont acceptés pour une évaluation et un traitement plus approfondis.

Rubriques

• Ressources supplémentaires pour la OIDC fédération
• Créez un fournisseur d'identité OpenID Connect (OIDC) dans IAM
• Obtenir l'empreinte numérique d'un fournisseur d'identité OpenID Connect

Ressources supplémentaires pour la OIDC fédération

Les ressources suivantes peuvent vous aider à en savoir plus sur OIDC la fédération :

• Utilisez OpenID Connect dans vos GitHub flux de travail en configurant OpenID Connect dans Amazon Web Services

• Amazon Cognito Identity dans le Guide Amplify Libraries for Android et Amazon Cognito Identity dans le Guide Amplify Libraries for Swift.

• Le blog Automatisation des rôles d'identité AWS IAM Web basés sur OpenID Connect à l'aide de Microsoft Entra ID on AWS the Partner Network APN () explique comment authentifier des processus automatisés en arrière-plan ou des applications exécutées sans autorisation. AWS machine-to-machine OIDC

• L'article Fédération d'identité Web avec applications mobiles traite de OIDC la fédération et montre un exemple d'utilisation de OIDC la fédération pour accéder au contenu d'Amazon S3.