Dapatkan cap jempol untuk penyedia identitas OpenID Connect - AWS Identity and Access Management
Dapatkan cap jempol sertifikatInstal OpenSSLKonfigurasi OpenSSL

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dapatkan cap jempol untuk penyedia identitas OpenID Connect

Saat Anda membuat penyedia identitas OpenID Connect (OIDC) di IAM, IAM memerlukan cap jempol untuk otoritas sertifikat perantara (CA) teratas yang menandatangani sertifikat yang digunakan oleh penyedia identitas eksternal (iDP). Sidik jari adalah tanda tangan untuk sertifikat CA yang digunakan untuk menerbitkan sertifikat bagi IdP yang kompatibel dengan OIDC. Saat Anda membuat penyedia identitas IAM OIDC, Anda mempercayai identitas yang diautentikasi oleh IDP tersebut untuk memiliki akses ke identitas Anda. Akun AWS Dengan menggunakan cap jempol sertifikat CA, Anda mempercayai sertifikat apa pun yang dikeluarkan oleh CA tersebut dengan nama DNS yang sama dengan yang terdaftar. Ini menghilangkan perlunya memperbarui kepercayaan di setiap akun ketika Anda memperpanjang sertifikat tanda tangan IdP.

penting

Dalam kebanyakan kasus, server federasi menggunakan dua sertifikat berbeda:

  • Yang pertama membuat koneksi HTTPS antara AWS dan IDP Anda. Ini harus dikeluarkan oleh CA root publik yang terkenal, seperti AWS Certificate Manager. Ini memungkinkan klien untuk memeriksa keandalan dan status sertifikat.

  • Yang kedua digunakan untuk mengenkripsi token, dan harus ditandatangani oleh CA root pribadi atau publik.

Anda dapat membuat penyedia identitas IAM OIDC dengan, Tools for Windows AWS Command Line Interface PowerShell, atau IAM API. Saat Anda menggunakan metode ini, Anda memiliki opsi untuk memberikan sidik jari secara manual. Jika Anda memilih untuk tidak menyertakan sidik jari, IAM akan mengambil cap jempol CA menengah atas dari sertifikat server OIDC iDP. Jika Anda memilih untuk menyertakan sidik jari, Anda harus mendapatkan sidik jari secara manual dan menyediakannya. AWS

Saat Anda membuat penyedia identitas OIDC dengan konsol IAM, IAM mencoba mengambil cap jempol CA perantara teratas dari sertifikat server OIDC iDP untuk Anda.

Kami menyarankan Anda juga mendapatkan sidik jari untuk OIDC iDP Anda secara manual dan memverifikasi bahwa IAM mengambil sidik jari yang benar. Untuk informasi selengkapnya tentang mendapatkan cap jempol sertifikat, lihat bagian berikut.

catatan

AWS mengamankan komunikasi dengan penyedia identitas OIDC (IdPs) menggunakan perpustakaan otoritas sertifikat root tepercaya (CA) kami untuk memverifikasi sertifikat TLS titik akhir JSON Web Key Set (JWKS). Jika IDP OIDC Anda bergantung pada sertifikat yang tidak ditandatangani oleh salah satu CA tepercaya ini, maka kami mengamankan komunikasi menggunakan cap jempol yang diatur dalam konfigurasi IDP. AWS akan kembali ke verifikasi sidik jari jika kami tidak dapat mengambil sertifikat TLS atau jika TLS v1.3 diperlukan.

Dapatkan cap jempol sertifikat

Anda menggunakan browser web dan alat baris perintah OpenSSL untuk mendapatkan cap jempol sertifikat untuk penyedia OIDC. Namun, Anda tidak perlu mendapatkan cap jempol sertifikat secara manual untuk membuat penyedia identitas IAM OIDC. Anda dapat menggunakan prosedur berikut untuk mendapatkan cap jempol sertifikat dari penyedia OIDC Anda.

Untuk mendapatkan sidik jari untuk IdP OIDC

  1. Sebelum mendapatkan sidik jari untuk IdP OIDC, Anda harus mendapatkan alat baris perintah OpenSSL. Anda menggunakan alat ini untuk mengunduh rantai sertifikat IdP OIDC dan menghasilkan sidik jari untuk sertifikat akhir dalam rantai sertifikat. Jika Anda perlu menginstal dan mengonfigurasi OpenSSL, ikuti petunjuk di Instal OpenSSL dan Konfigurasi OpenSSL.

  2. Mulailah dengan URL IdP OIDC (misalnya, https://server.example.com), lalu tambahkan /.well-known/openid-configuration untuk membentuk URL bagi dokumen konfigurasi IdP, seperti berikut:

    https://server.example.com/.well-known/openid-configuration

    Buka URL ini di browser web, ganti server.example.com dengan nama server IdP Anda.

  3. Pada dokumen yang ditampilkan, gunakan fitur Cari pada browser web untuk menemukan teks "jwks_uri". Setelah teks "jwks_uri", terdapat tanda titik dua (:) diikuti oleh URL. Salin nama domain yang sepenuhnya memenuhi syarat dari URL. Jangan sertakan https:// atau jalur apa pun yang mengikuti domain tingkat atas. 

    {
 "issuer": "https://accounts.example.com",
 "authorization_endpoint": "https://accounts.example.com/o/oauth2/v2/auth",
 "device_authorization_endpoint": "https://oauth2.exampleapis.com/device/code",
 "token_endpoint": "https://oauth2.exampleapis.com/token",
 "userinfo_endpoint": "https://openidconnect.exampleapis.com/v1/userinfo",
 "revocation_endpoint": "https://oauth2.exampleapis.com/revoke",
 "jwks_uri": "https://www.exampleapis.com/oauth2/v3/certs",
...

  4. Gunakan alat baris perintah OpenSSL untuk menjalankan perintah berikut. Ganti keys.example.com dengan nama domain yang Anda peroleh di TahapĀ 3.

    openssl s_client -servername keys.example.com -showcerts -connect keys.example.com:443

  5. Di jendela perintah Anda, gulir ke atas hingga Anda melihat sertifikat yang serupa dengan contoh berikut. Jika Anda melihat lebih dari satu sertifikat, cari sertifikat terakhir yang ditampilkan (di bagian akhir output perintah). Ini berisi sertifikat CA menengah teratas dalam rantai otoritas sertifikat.

    -----BEGIN CERTIFICATE-----
 MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
 VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
 BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
 MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
 VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
 b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
 YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
 rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
 Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
 FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
 NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
 -----END CERTIFICATE-----

    Menyalin sertifikat (termasuk baris -----BEGIN CERTIFICATE----- dan -----END CERTIFICATE-----) dan tempel ke dalam file teks. Lalu simpan file dengan nama file certificate.crt.

    catatan

    Rantai sertifikat penyedia identitas OIDC harus dimulai dengan domain atau URL penerbit, kemudian sertifikat perantara, dan diakhiri dengan sertifikat root. Jika urutan rantai sertifikat berbeda atau menyertakan duplikat atau sertifikat tambahan, maka Anda menerima kesalahan ketidakcocokan tanda tangan dan STS gagal memvalidasi JSON Web Token (JWT). Perbaiki urutan sertifikat dalam rantai yang dikembalikan dari server untuk menyelesaikan kesalahan. Untuk informasi selengkapnya tentang standar rantai sertifikat, lihat certificate_list di RFC 5246 di situs web Seri RFC.

  6. Gunakan alat baris perintah OpenSSL untuk menjalankan perintah berikut.

    openssl x509 -in certificate.crt -fingerprint -sha1 -noout

    Jendela perintah Anda menampilkan sidik jari sertifikat, yang terlihat mirip dengan contoh berikut:

    SHA1 Fingerprint=99:0F:41:93:97:2F:2B:EC:F1:2D:DE:DA:52:37:F9:C9:52:F2:0D:9E

    Hapus karakter titik dua (:) dari string ini untuk membuat sidik jari akhir, seperti ini:

    990F4193972F2BECF12DDEDA5237F9C952F20D9E

  7. Jika Anda membuat penyedia identitas IAM OIDC dengan AWS CLI, Tools for Windows, atau IAM API PowerShell, memberikan cap jempol adalah opsional. Jika Anda memilih untuk tidak menyertakan sidik jari selama pembuatan, IAM akan mengambil cap jempol CA menengah atas dari sertifikat server OIDC iDP. Setelah penyedia identitas IAM OIDC dibuat, Anda dapat membandingkan sidik jari ini dengan sidik jari yang diambil oleh IAM.

    Jika Anda membuat penyedia identitas IAM OIDC di konsol IAM, konsol mencoba mengambil cap jempol CA perantara teratas dari sertifikat server OIDC iDP untuk Anda. Anda dapat membandingkan sidik jari ini dengan sidik jari yang diambil oleh IAM. Setelah penyedia identitas IAM OIDC dibuat, Anda dapat melihat sidik jari untuk penyedia identitas IAM OIDC di tab Verifikasi titik akhir pada halaman konsol Ringkasan penyedia OIDC.

    penting

    Jika sidik jari yang Anda peroleh tidak cocok dengan yang Anda lihat di detail cap jempol penyedia identitas IAM OIDC, Anda sebaiknya tidak menggunakan penyedia OIDC. Sebagai gantinya, Anda harus menghapus penyedia OIDC yang dibuat dan kemudian mencoba lagi untuk membuat penyedia OIDC setelah beberapa waktu berlalu. Verifikasi bahwa cap jempol cocok sebelum Anda menggunakan penyedia. Jika sidik jari masih belum sama setelah percobaan kedua, gunakan Forum IAM untuk menghubungi AWS.

Instal OpenSSL

Jika Anda belum menginstal OpenSSL, ikuti petunjuk di bagian ini.

Untuk menginstal OpenSSL di Linux atau Unix

  1. Pergi ke OpenSSL: Sumber, Tarballs (https://openssl.org/source/).

  2. Unduh sumber terbaru dan buat paketnya.

Untuk menginstal OpenSSL di Windows

  1. Buka OpenSSL: Distribusi Biner (https://wiki.openssl.org/index.php/Binaries) untuk daftar situs tempat Anda dapat menginstal versi Windows.

  2. Ikuti petunjuk di situs yang Anda pilih untuk memulai pemasangan.

  3. Jika Anda diminta memasang Microsoft Visual C++ 2008 Redistributables dan itu belum diinstal di sistem Anda, pilih tautan unduhan yang sesuai dengan lingkungan Anda. Ikuti petunjuk yang diberikan oleh Microsoft Visual C++ 2008 Redistributable Setup Wizard.

    catatan

    Jika Anda tidak yakin apakah Microsoft Visual C ++ 2008 Redistributables sudah diinstal pada sistem Anda, Anda dapat mencoba menginstal OpenSSL terlebih dahulu. Installer OpenSSL menampilkan peringatan jika Microsoft Visual C ++ 2008 Redistributables belum diinstal. Pastikan Anda menginstal arsitektur (32-bit atau 64-bit) yang cocok dengan versi OpenSSL yang Anda instal.

  4. Setelah Anda menginstal Microsoft Visual C ++ 2008 Redistributables, pilih versi binari OpenSSL yang sesuai untuk lingkungan Anda dan simpan file secara lokal. Mulai OpenSSL Setup Wizard.

  5. Ikuti petunjuk yang dijelaskan dalam OpenSSL Setup Wizard.

Konfigurasi OpenSSL

Sebelum Anda menggunakan perintah OpenSSL, Anda harus mengkonfigurasi sistem operasi sehingga memiliki informasi tentang lokasi di mana OpenSSL diinstal.

Untuk mengkonfigurasi OpenSSL di Linux atau Unix

  1. Pada baris perintah, atur OpenSSL_HOME variabel ke lokasi instalasi OpenSSL:

    $ export OpenSSL_HOME=path_to_your_OpenSSL_installation

  2. Atur jalur untuk menyertakan instalasi OpenSSL:

    $ export PATH=$PATH:$OpenSSL_HOME/bin
    catatan

    Perubahan apa pun yang Anda lakukan terhadap variabel dengan perintah export hanya berlaku untuk sesi saat ini. Anda dapat membuat perubahan terus-menerus pada variabel lingkungan dengan menyetelnya di file konfigurasi shell Anda. Untuk informasi lebih lanjut, lihat dokumentasi untuk sistem operasi Anda.

Untuk mengkonfigurasi OpenSSL pada Windows

  1. Buka jendela Prompt Perintah.

  2. Mengatur OpenSSL_HOME variabel ke lokasi instalasi OpenSSL:

    C:\> set OpenSSL_HOME=path_to_your_OpenSSL_installation

  3. Atur OpenSSL_CONF variabel ke lokasi file konfigurasi di instalasi OpenSSL Anda:

    C:\> set OpenSSL_CONF=path_to_your_OpenSSL_installation\bin\openssl.cfg

  4. Atur jalur untuk menyertakan instalasi OpenSSL:

    C:\> set Path=%Path%;%OpenSSL_HOME%\bin
    catatan

    Perubahan apa pun yang Anda lakukan terhadap variabel lingkungan Windows dalam jendela Prompt Perintah hanya valid untuk sesi baris perintah saat ini. Anda dapat membuat perubahan persisten pada variabel lingkungan dengan mengaturnya sebagai properti sistem. Prosedur yang tepat tergantung pada versi Windows yang Anda gunakan. (Misalnya, di Windows 7, buka Panel Kontrol, Sistem dan Keamanan, Sistem. Kemudian pilih Pengaturan sistem lanjutan, tab Lanjutan, Variabel Lingkungan.) Untuk informasi selengkapnya, lihat dokumentasi Windows.