Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration d'un serveur d'autorisation externe
Le serveur d'autorisation est le serveur chargé d'authentifier et d'autoriser les SDK et les agents clients.
Par défaut, Session Manager utilise le Broker comme serveur d'autorisation pour générer des jetons d'accès OAuth 2.0 pour les SDK clients et des instructions logicielles pour les agents. Si vous utilisez le Broker comme serveur d'autorisation, aucune configuration supplémentaire n'est requise.
Vous pouvez configurer le gestionnaire de session pour utiliser Amazon Cognito comme serveur d'autorisation externe au lieu du Broker. Pour plus d'informations sur Amazon Cognito, consultez le guide Amazon Cognito.
Pour utiliser Amazon Cognito comme serveur d'autorisation
-
Créez un groupe d'utilisateurs Amazon Cognito. Pour plus d'informations sur les groupes d'utilisateurs, consultez les fonctionnalités d'Amazon Cognito dans le Guide du développeur Amazon Cognito.
Utilisez la create-user-poolcommande et spécifiez le nom du pool et la région dans laquelle le créer.
Dans cet exemple, nous nommons le pool
dcv-session-manager-client-app
et nous le créons dansus-east-1
.$
aws cognito-idp create-user-pool --pool-namedcv-session-manager-client-app
--regionus-east-1
Exemple de sortie
{ "UserPoolClient": { "UserPoolId": "us-east-1_QLEXAMPLE", "ClientName": "dcv-session-manager-client-app", "ClientId": "15hhd8jij74hf32f24uEXAMPLE", "LastModifiedDate": 1602510048.054, "CreationDate": 1602510048.054, "RefreshTokenValidity": 30, "AllowedOAuthFlowsUserPoolClient": false } }
Notez le
userPoolId
, car vous en aurez besoin lors de l'étape suivante. -
Créez un nouveau domaine pour votre groupe d'utilisateurs. Utilisez la create-user-pool-domaincommande et spécifiez un nom de domaine et celui
userPoolId
du groupe d'utilisateurs que vous avez créé à l'étape précédente.Dans cet exemple, le nom de domaine est
mydomain-544fa30f-c0e5-4a02-8d2a-a3761EXAMPLE
et nous le créons dansus-east-1
.$
aws cognito-idp create-user-pool-domain --domainmydomain-544fa30f-c0e5-4a02-8d2a-a3761EXAMPLE
--user-pool-idus-east-1_QLEXAMPLE
--regionus-east-1
Exemple de sortie
{ "DomainDescription": { "UserPoolId": "us-east-1_QLEXAMPLE", "AWSAccountId": "123456789012", "Domain": "mydomain-544fa30f-c0e5-4a02-8d2a-a3761EXAMPLE", "S3Bucket": "aws-cognito-prod-pdx-assets", "CloudFrontDistribution": "dpp0gtexample.cloudfront.net", "Version": "20201012133715", "Status": "ACTIVE", "CustomDomainConfig": {} } }
Le format du domaine du pool d'utilisateurs est le suivant :
https://
. Dans cet exemple, le domaine du pool d'utilisateurs estdomain_name
.auth.region
.amazoncognito.comhttps://mydomain-544fa30f-c0e5-4a02-8d2a-a3761EXAMPLE.auth.us-east-1.amazoncognito.com
. -
Créez un client de groupe d'utilisateurs. Utilisez la create-user-pool-clientcommande et spécifiez le
userPoolId
groupe d'utilisateurs que vous avez créé, le nom du client et la région dans laquelle le créer. Ajoutez l'--generate-secret
option qui permet de spécifier que vous souhaitez générer un secret pour le client de pool d'utilisateurs que vous créez.Dans ce cas, le nom du client est
dcv-session-manager-client-app
et nous le créons dans laus-east-1
région.$
aws cognito-idp create-user-pool-client --user-pool-idus-east-1_QLEXAMPLE
--client-namedcv-session-manager-client-app
--generate-secret --regionus-east-1
Exemple de sortie
{ "UserPoolClient": { "UserPoolId": "us-east-1_QLEXAMPLE", "ClientName": "dcv-session-manager-client-app", "ClientId": "2l9273hp6k2ut5cugg9EXAMPLE", "ClientSecret": "1vp5e8nec7cbf4m9me55mbmht91u61hlh0a78rq1qki1lEXAMPLE", "LastModifiedDate": 1602510291.498, "CreationDate": 1602510291.498, "RefreshTokenValidity": 30, "AllowedOAuthFlowsUserPoolClient": false } }
Note
Prenez note du
ClientId
etClientSecret
. Vous devrez fournir ces informations aux développeurs lorsqu'ils demanderont des jetons d'accès pour les demandes d'API. -
Créez un nouveau serveur de ressources OAuth2.0 pour le groupe d'utilisateurs. Un serveur de ressources est un serveur dédié aux ressources à accès protégé. Il gère les demandes authentifiées de jetons d'accès.
Utilisez la create-resource-servercommande et spécifiez le
userPoolId
groupe d'utilisateurs, un identifiant et un nom uniques pour le serveur de ressources, l'étendue et la région dans laquelle le créer.Dans cet exemple, nous utilisons
dcv-session-manager
comme identifiant et nom, et nous utilisonssm_scope
comme nom et description de l'étendue.$
aws cognito-idp create-resource-server --user-pool-idus-east-1_QLEXAMPLE
--identifierdcv-session-manager
--namedcv-session-manager
--scopes ScopeName=sm_scope
,ScopeDescription=sm_scope
--regionus-east-1
Exemple de sortie
{ "ResourceServer": { "UserPoolId": "us-east-1_QLEXAMPLE", "Identifier": "dcv-session-manager", "Name": "dcv-session-manager", "Scopes": [ { "ScopeName": "sm_scope", "ScopeDescription": "sm_scope" }] } }
-
Mettez le client du groupe d'utilisateurs.
Utilisez la commande update-user-pool-client. Spécifiez le
userPoolId
pool d'utilisateurs, le clientClientId
du pool d'utilisateurs et la région. Pour--allowed-o-auth-flows
, spécifiezclient_credentials
pour indiquer que le client doit obtenir des jetons d'accès à partir du point de terminaison du jeton en utilisant une combinaison d'un identifiant client et d'un secret client. Pour--allowed-o-auth-scopes
, spécifiez l'identifiant du serveur de ressources et le nom de l'étendue comme suit :
. Ajoutez leresource_server_identifier
/scope_name
--allowed-o-auth-flows-user-pool-client
pour indiquer que le client est autorisé à suivre le protocole OAuth lors de l'interaction avec les groupes d'utilisateurs Cognito.$
aws cognito-idp update-user-pool-client --user-pool-idus-east-1_QLEXAMPLE
--client-id2l9273hp6k2ut5cugg9EXAMPLE
--allowed-o-auth-flows client_credentials --allowed-o-auth-scopesdcv-session-manager
/sm_scope
--allowed-o-auth-flows-user-pool-client --regionus-east-1
Exemple de sortie
{ "UserPoolClient": { "UserPoolId": "us-east-1_QLEXAMPLE", "ClientName": "dcv-session-manager-client-app", "ClientId": "2l9273hp6k2ut5cugg9EXAMPLE", "ClientSecret": "1vp5e8nec7cbf4m9me55mbmht91u61hlh0a78rq1qki1lEXAMPLE", "LastModifiedDate": 1602512103.099, "CreationDate": 1602510291.498, "RefreshTokenValidity": 30, "AllowedOAuthFlows": [ "client_credentials" ], "AllowedOAuthScopes": [ "dcv-session-manager/sm_scope" ], "AllowedOAuthFlowsUserPoolClient": true } }
Note
Le groupe d'utilisateurs est désormais prêt à fournir et à authentifier les jetons d'accès. Dans cet exemple, l'URL du serveur d'autorisation est
https://cognito-idp.
.us-east-1
.amazonaws.com/us-east-1_QLEXAMPLE
/.well-known/jwks.json -
Tester la configuration.
$
curl -H "Authorization: Basic `echo -n2l9273hp6k2ut5cugg9EXAMPLE
:1vp5e8nec7cbf4m9me55mbmht91u61hlh0a78rq1qki1lEXAMPLE
| base64`" -H "Content-Type: application/x-www-form-urlencoded" -X POST "https://mydomain-544fa30f-c0e5-4a02-8d2a-a3761EXAMPLE
.auth.us-east-1
.amazoncognito.com/oauth2/token?grant_type=client_credentials&scope=dcv-session-manager
/sm_scope
"Exemple de sortie
{ "access_token":"eyJraWQiOiJGQ0VaRFpJUUptT3NSaW41MmtqaDdEbTZYb0RnSTQ5b2VUT0cxUUI1Q2VJPSIsImFsZyI6IlJTMjU2In0.eyJzdWIiOiIybDkyNzNocDZrMnV0NWN1Z2c5dWg4ZGx0cCIsInRva2VuX3VzZSI6ImFjY2VzcyIsInNjb3BlIjoiZGN2LXNlc3Npb24tbWFuYWdlclwvcGVybWlzc2lvbnMiLCJhdXRoX3RpbWUiOjE2MDI1MTMyODMsImlzcyI6Imh0dHBzOlwvXC9jb2duaXRvLWlkcC51cy13ZXN0LTIuYW1hem9uYXdzLmNvbVwvdXMtd2VzdC0yX1FMZTA3SU9GViIsImV4cCI6MTYwMjUxNjg4MywiaWF0IjoxNjAyNTEzMjgzLCJ2ZXJzaW9uIjoyLCJqdGkiOiIyMDk2YTg4NS04YWQ0LTRmYjgtYjI2Mi1hMmNkNDk0OGZjNjYiLCJjbGllbnRfaWQiOiIybDkyNzNocDZrMnV0NWN1Z2c5dWg4ZGx0cCJ9.ZLZpS4CiiLq1X_VSm911hNT4g8A0FKZXScVJyyV0ijcyOfUOBcpgSMGqJagLYORFuYwLS5c7g4eO04wIwnw21ABGIDcOMElDPCJkrzjfLEPS_eyK3dNmlXDEvdS-Zkfi0HIDsd6audjTXKzHlZGScr6ROdZtId5dThkpEZiSx0YwiiWe9crAlqoazlDcCsUJHIXDtgKW64pSj3-uQQGg1Jv_tyVjhrA4JbD0k67WS2V9NW-uZ7t4zwwaUmOi3KzpBMi54fpVgPaewiVlUm_aS4LUFcWT6hVJjiZF7om7984qb2gOa14iZxpXPBJTZX_gtG9EtvnS9uW0QygTJRNgsw", "expires_in":3600, "token_type":"Bearer" }
-
Enregistrez le serveur d'autorisation externe à utiliser avec le courtier à l'aide de laregister-auth-server commande.
$
sudo -u root dcv-session-manager-broker register-auth-server --url https://cognito-idp.us-east-1
.amazonaws.com/us-east-1_QLEXAMPLE
/.well-known/jwks.json
Les développeurs peuvent désormais utiliser le serveur pour demander des jetons d'accès. Lorsque vous demandez des jetons d'accès, fournissez l'ID client, le secret client et l'URL du serveur générés ici. Pour plus d'informations sur la demande de jetons d'accès, voir Création, obtention d'un jeton d'accès et demande d'API dans le Guide du développeur du gestionnaire de session NICE DCV.