Fournisseur d'identifiants IAM Identity Center - AWS SDKs et outils
PrérequisConfiguration du fournisseur de jetons SSOAncienne configuration non actualisableParamètres du fournisseur d'informations d'identification IAM Identity CenterSupport par AWS SDKs et outils

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fournisseur d'identifiants IAM Identity Center

Note

Pour vous aider à comprendre la mise en page des pages de paramètres ou à interpréter le tableau Support by AWS SDKs et outils ci-dessous, voirComprendre les pages de paramètres de ce guide.

Ce mécanisme d'authentification permet AWS IAM Identity Center d'obtenir un accès par authentification unique (SSO) Services AWS à votre code.

Note

Dans la documentation de l'API du AWS SDK, le fournisseur d'informations d'identification IAM Identity Center est appelé fournisseur d'informations d'identification SSO.

Après avoir activé IAM Identity Center, vous définissez un profil pour ses paramètres dans votre AWS config fichier partagé. Ce profil est utilisé pour se connecter au portail d'accès IAM Identity Center. Lorsqu'un utilisateur s'authentifie avec succès auprès d'IAM Identity Center, le portail renvoie des informations d'identification à court terme pour le rôle IAM associé à cet utilisateur. Pour savoir comment le SDK obtient des informations d'identification temporaires à partir de la configuration et les utilise pour les Service AWS demandes, consultezComment l'authentification IAM Identity Center est-elle résolue AWS SDKs et quels outils ?.

Il existe deux manières de configurer IAM Identity Center via le config fichier :

  • Configuration du fournisseur de jetons SSO (recommandée) — Durées de session prolongées. Inclut la prise en charge de durées de session personnalisées.

  • Configuration ancienne non actualisable : utilise une session fixe de huit heures.

Dans les deux configurations, vous devez vous reconnecter à l'expiration de votre session.

Les deux guides suivants contiennent des informations supplémentaires sur IAM Identity Center :

Pour en savoir plus sur la façon dont les outils SDKs et utilisent et actualisent les informations d'identification à l'aide de cette configuration, voirComment l'authentification IAM Identity Center est-elle résolue AWS SDKs et quels outils ?.

Prérequis

Vous devez d'abord activer IAM Identity Center. Pour plus de détails sur l'activation de l'authentification IAM Identity Center, consultez la section Activation AWS IAM Identity Center dans le guide de AWS IAM Identity Center l'utilisateur.

Note

Sinon, pour connaître les prérequis complets et la configuration de config fichiers partagés nécessaire, détaillés sur cette page, consultez les instructions de configurationUtilisation d'IAM Identity Center pour authentifier le AWS SDK et les outils.

Configuration du fournisseur de jetons SSO

Lorsque vous utilisez la configuration du fournisseur de jetons SSO, votre AWS SDK ou outil actualise automatiquement votre session jusqu'à votre période de session prolongée. Pour plus d'informations sur la durée de session et la durée maximale, voir Configurer la durée de session du portail d' AWS accès et des applications intégrées d'IAM Identity Center dans le guide de l'AWS IAM Identity Center utilisateur.

La sso-session section du config fichier est utilisée pour regrouper les variables de configuration permettant d'acquérir des jetons d'accès SSO, qui peuvent ensuite être utilisés pour acquérir des AWS informations d'identification. Pour plus de détails sur cette section d'un config fichier, consultezFormat du fichier de configuration.

L'exemple de config fichier partagé suivant configure le SDK ou l'outil à l'aide d'un dev profil pour demander les informations d'identification IAM Identity Center.

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Les exemples précédents montrent que vous définissez une sso-session section et que vous l'associez à un profil. Généralement, sso_account_id et sso_role_name doit être défini dans la profile section afin que le SDK puisse demander des AWS informations d'identification. sso_regionsso_start_url, et sso_registration_scopes doit être défini dans la sso-session section.

sso_account_idet sso_role_name ne sont pas obligatoires pour tous les scénarios de configuration de jetons SSO. Si votre application utilise uniquement Services AWS cette authentification par support, les informations d' AWS identification traditionnelles ne sont pas nécessaires. L'authentification du porteur est un schéma d'authentification HTTP qui utilise des jetons de sécurité appelés jetons porteurs. Dans ce scénario, sso_account_id et sso_role_name ne sont pas obligatoires. Consultez le Service AWS guide individuel pour déterminer si le service prend en charge l'autorisation par jeton au porteur.

Les étendues d'enregistrement sont configurées dans le cadre d'unsso-session. Le champ d'application est un mécanisme dans OAuth 2.0 pour limiter l'accès d'une application au compte d'un utilisateur. L'exemple précédent vise sso_registration_scopes à fournir l'accès nécessaire pour répertorier les comptes et les rôles.

L'exemple suivant montre comment vous pouvez réutiliser la même sso-session configuration sur plusieurs profils.

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Le jeton d'authentification est mis en cache sur le disque sous le ~/.aws/sso/cache répertoire avec un nom de fichier basé sur le nom de session.

Ancienne configuration non actualisable

L'actualisation automatique des jetons n'est pas prise en charge avec l'ancienne configuration non actualisable. Nous vous recommandons d'utiliser le à la Configuration du fournisseur de jetons SSO place.

Pour utiliser l'ancienne configuration non actualisable, vous devez spécifier les paramètres suivants dans votre profil :

  • sso_start_url

  • sso_region

  • sso_account_id

  • sso_role_name

Vous spécifiez le portail utilisateur d'un profil avec les sso_region paramètres sso_start_url et. Vous spécifiez les autorisations à l'aide sso_account_id des sso_role_name paramètres et.

L'exemple suivant définit les quatre valeurs requises dans le config fichier.

[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole

Le jeton d'authentification est mis en cache sur le disque sous le ~/.aws/sso/cache répertoire avec un nom de fichier basé sur lesso_start_url.

Paramètres du fournisseur d'informations d'identification IAM Identity Center

Configurez cette fonctionnalité à l'aide des méthodes suivantes :

sso_start_url- réglage AWS config du fichier partagé

URL pointant vers l'URL de l'émetteur du centre d'identité IAM ou l'URL du portail d'accès de votre organisation. Pour plus d'informations, consultez la section Utilisation du portail AWS d'accès dans le guide de AWS IAM Identity Center l'utilisateur.

Pour trouver cette valeur, ouvrez la console IAM Identity Center, consultez le tableau de bord, recherchez l'URL du portail AWS d'accès.

  • À partir de la version 2.22.0 du AWS CLI, vous pouvez également utiliser la valeur de l'URL de l'AWS émetteur.

sso_region- réglage AWS config du fichier partagé

Celui Région AWS qui contient l'hôte de votre portail IAM Identity Center, c'est-à-dire la région que vous avez sélectionnée avant d'activer IAM Identity Center. Elle est indépendante de votre AWS région par défaut et peut être différente.

Pour une liste complète des Régions AWS et de leurs codes, consultez la section Points de terminaison régionaux dans le Référence générale d'Amazon Web Services. Pour trouver cette valeur, ouvrez la console IAM Identity Center, consultez le tableau de bord et recherchez Region.

sso_account_id- réglage AWS config du fichier partagé

L'ID numérique du Compte AWS qui a été ajouté via le AWS Organizations service à utiliser pour l'authentification.

Pour consulter la liste des comptes disponibles, accédez à la console IAM Identity Center et ouvrez la Comptes AWSpage. Vous pouvez également consulter la liste des comptes disponibles à l'aide de la méthode ListAccountsAPI dans le manuel de référence des API du AWS IAM Identity Center portail. Par exemple, vous pouvez appeler la AWS CLI méthode list-accounts.

sso_role_name- réglage AWS config du fichier partagé

Nom d'un ensemble d'autorisations fourni en tant que rôle IAM qui définit les autorisations obtenues par l'utilisateur. Le rôle doit exister dans le champ Compte AWS spécifié parsso_account_id. Utilisez le nom du rôle, et non le nom Amazon Resource Name (ARN) du rôle.

Les ensembles d'autorisations sont associés à des politiques IAM et à des politiques d'autorisations personnalisées et définissent le niveau d'accès des utilisateurs à ce qui leur est attribué Comptes AWS.

Pour voir la liste des ensembles d'autorisations disponibles par Compte AWS, accédez à la console IAM Identity Center et ouvrez la Comptes AWSpage. Choisissez le nom du jeu d'autorisations correct répertorié dans le Comptes AWS tableau. Vous pouvez également consulter la liste des ensembles d'autorisations disponibles à l'aide de la méthode ListAccountRolesAPI dans le manuel de référence des API du AWS IAM Identity Center portail. Par exemple, vous pouvez appeler la AWS CLI méthode list-account-roles.

sso_registration_scopes- réglage AWS config du fichier partagé

Une liste séparée par des virgules de chaînes de portée valides à autoriser pour. sso-session Une application peut demander une ou plusieurs étendues, et le jeton d'accès délivré à l'application est limité aux étendues accordées. Une portée minimale de sso:account:access doit être accordée pour récupérer un jeton d'actualisation auprès du service IAM Identity Center. Pour obtenir la liste des options d'étendue d'accès disponibles, voir Étendue d'accès dans le Guide de l'AWS IAM Identity Center utilisateur.

Ces étendues définissent les autorisations demandées pour être autorisées pour le client OIDC enregistré et les jetons d'accès récupérés par le client. Les étendues autorisent l'accès aux points de terminaison autorisés par le porteur du jeton IAM Identity Center.

Ce paramètre ne s'applique pas à l'ancienne configuration non actualisable. Les jetons émis à l'aide de l'ancienne configuration sont sso:account:access implicitement limités à leur portée.

Support par AWS SDKs et outils

Les éléments suivants SDKs prennent en charge les fonctionnalités et les paramètres décrits dans cette rubrique. Toute exception partielle est notée. Tous les paramètres de propriété du système JVM sont pris en charge par le AWS SDK for Java et le Kit AWS SDK pour Kotlin seul.

SDK Pris en charge Remarques ou informations supplémentaires
AWS CLI v2 Oui
SDK pour C++ Oui
SDK pour Go V2 (1.x) Oui
SDK pour Go 1.x (V1) Oui Pour utiliser les paramètres des config fichiers partagés, vous devez activer le chargement à partir du fichier de configuration ; voir Sessions.
SDK pour Java 2.x Oui Les valeurs de configuration sont également prises en charge dans credentials le fichier.
SDK pour Java 1.x Non
SDK pour 3.x JavaScript Oui
SDK pour 2.x JavaScript Oui
SDK pour Kotlin Oui
SDK pour .NET 3.x Oui
SDK pour PHP 3.x Oui
SDK pour Python (Boto3) Oui
SDK pour Ruby 3.x Oui
SDK pour Rust Partielle Configuration ancienne non actualisable uniquement.
SDK pour Swift Oui
Outils pour PowerShell Oui