Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengonfigurasi server otorisasi eksternal
Server otorisasi adalah server yang bertanggung jawab untuk mengautentikasi dan mengotorisasi SDK dan Agen klien.
Secara default, Session Manager menggunakan Broker sebagai server otorisasi untuk menghasilkan token akses OAuth 2.0 untuk SDK klien dan pernyataan perangkat lunak untuk Agen. Jika Anda menggunakan Broker sebagai server otorisasi, tidak diperlukan konfigurasi tambahan.
Anda dapat mengonfigurasi Pengelola Sesi untuk menggunakan Amazon Cognito sebagai server otorisasi eksternal, bukan Broker. Untuk informasi selengkapnya, lihat Panduan Developer Amazon Cognito.
Menggunakan Amazon Cognito sebagai server otorisasi
-
Membuat kolam pengguna Amazon Cognito. Untuk informasi selengkapnya tentang kolam pengguna, lihat Fitur Amazon Cognito di Panduan Developer Amazon Cognito.
Gunakan create-user-poolperintah, dan tentukan nama pool dan Region untuk membuatnya.
Dalam contoh ini, kita beri nama pool
dcv-session-manager-client-app
dan kita membuatnyaus-east-1
.$
aws cognito-idp create-user-pool --pool-namedcv-session-manager-client-app
--regionus-east-1
Contoh keluaran
{ "UserPoolClient": { "UserPoolId": "us-east-1_QLEXAMPLE", "ClientName": "dcv-session-manager-client-app", "ClientId": "15hhd8jij74hf32f24uEXAMPLE", "LastModifiedDate": 1602510048.054, "CreationDate": 1602510048.054, "RefreshTokenValidity": 30, "AllowedOAuthFlowsUserPoolClient": false } }
Catat
userPoolId
, Anda akan membutuhkannya di langkah berikutnya. -
Buat domain baru untuk kolam pengguna Anda. Gunakan create-user-pool-domainperintah, dan tentukan nama domain dan kumpulan pengguna yang Anda buat di langkah sebelumnya.
userPoolId
Dalam contoh ini, nama domain
mydomain-544fa30f-c0e5-4a02-8d2a-a3761EXAMPLE
dan kita membuatnya dius-east-1
.$
aws cognito-idp create-user-pool-domain --domainmydomain-544fa30f-c0e5-4a02-8d2a-a3761EXAMPLE
--user-pool-idus-east-1_QLEXAMPLE
--regionus-east-1
Contoh keluaran
{ "DomainDescription": { "UserPoolId": "us-east-1_QLEXAMPLE", "AWSAccountId": "123456789012", "Domain": "mydomain-544fa30f-c0e5-4a02-8d2a-a3761EXAMPLE", "S3Bucket": "aws-cognito-prod-pdx-assets", "CloudFrontDistribution": "dpp0gtexample.cloudfront.net", "Version": "20201012133715", "Status": "ACTIVE", "CustomDomainConfig": {} } }
Format domain pool pengguna adalah sebagai berikut:
https://
. Dalam contoh ini, domain pool pengguna adalahdomain_name
.auth.region
.amazoncognito.comhttps://mydomain-544fa30f-c0e5-4a02-8d2a-a3761EXAMPLE.auth.us-east-1.amazoncognito.com
. -
Membuat klien kolam pengguna. Gunakan create-user-pool-clientperintah dan tentukan kumpulan pengguna yang Anda buat, nama untuk klien, dan Wilayah untuk membuatnya.
userPoolId
Juga, sertakan--generate-secret
opsi untuk menentukan bahwa Anda ingin menghasilkan rahasia untuk klien kolam pengguna yang sedang dibuat.Dalam hal ini, nama klien
dcv-session-manager-client-app
dan kami membuatnya dius-east-1
Region.$
aws cognito-idp create-user-pool-client --user-pool-idus-east-1_QLEXAMPLE
--client-namedcv-session-manager-client-app
--generate-secret --regionus-east-1
Contoh keluaran
{ "UserPoolClient": { "UserPoolId": "us-east-1_QLEXAMPLE", "ClientName": "dcv-session-manager-client-app", "ClientId": "2l9273hp6k2ut5cugg9EXAMPLE", "ClientSecret": "1vp5e8nec7cbf4m9me55mbmht91u61hlh0a78rq1qki1lEXAMPLE", "LastModifiedDate": 1602510291.498, "CreationDate": 1602510291.498, "RefreshTokenValidity": 30, "AllowedOAuthFlowsUserPoolClient": false } }
catatan
Catat
ClientId
danClientSecret
. Anda harus memberikan informasi ini kepada pengembang ketika mereka meminta token akses untuk permintaan API. -
Buat server sumber daya OAuth2.0 baru untuk kumpulan pengguna. Sebuah server sumber daya adalah server untuk sumber daya yang dilindungi akses. Ini menangani permintaan otentikasi untuk token akses.
Gunakan create-resource-serverperintah dan tentukan kumpulan pengguna, pengenal unik dan nama untuk server sumber daya, ruang lingkup, dan Wilayah tempat membuatnya.
userPoolId
Dalam contoh ini, kita gunakan
dcv-session-manager
sebagai identifier dan nama, dan kita gunakansm_scope
sebagai nama lingkup dan deskripsi.$
aws cognito-idp create-resource-server --user-pool-idus-east-1_QLEXAMPLE
--identifierdcv-session-manager
--namedcv-session-manager
--scopes ScopeName=sm_scope
,ScopeDescription=sm_scope
--regionus-east-1
Contoh keluaran
{ "ResourceServer": { "UserPoolId": "us-east-1_QLEXAMPLE", "Identifier": "dcv-session-manager", "Name": "dcv-session-manager", "Scopes": [ { "ScopeName": "sm_scope", "ScopeDescription": "sm_scope" }] } }
-
Memperbarui klien kolam pengguna.
Gunakan perintah update-user-pool-client. Tentukan
userPoolId
kumpulan pengguna, klien kumpulan pengguna, dan Wilayah.ClientId
Untuk--allowed-o-auth-flows
, tentukanclient_credentials
untuk menunjukkan bahwa klien harus mendapatkan token akses dari titik akhir token dengan menggunakan kombinasi ID klien dan rahasia klien. Untuk--allowed-o-auth-scopes
, tentukan pengidentifikasi server sumber daya dan nama lingkup sebagai berikut:
. Sertakan protokol OAuth saat berinteraksi dengan kolam pengguna Cognito.resource_server_identifier
/scope_name
--allowed-o-auth-flows-user-pool-client
$
aws cognito-idp update-user-pool-client --user-pool-idus-east-1_QLEXAMPLE
--client-id2l9273hp6k2ut5cugg9EXAMPLE
--allowed-o-auth-flows client_credentials --allowed-o-auth-scopesdcv-session-manager
/sm_scope
--allowed-o-auth-flows-user-pool-client --regionus-east-1
Contoh keluaran
{ "UserPoolClient": { "UserPoolId": "us-east-1_QLEXAMPLE", "ClientName": "dcv-session-manager-client-app", "ClientId": "2l9273hp6k2ut5cugg9EXAMPLE", "ClientSecret": "1vp5e8nec7cbf4m9me55mbmht91u61hlh0a78rq1qki1lEXAMPLE", "LastModifiedDate": 1602512103.099, "CreationDate": 1602510291.498, "RefreshTokenValidity": 30, "AllowedOAuthFlows": [ "client_credentials" ], "AllowedOAuthScopes": [ "dcv-session-manager/sm_scope" ], "AllowedOAuthFlowsUserPoolClient": true } }
catatan
Pool pengguna sekarang siap untuk menyediakan dan mengotentikasi token akses. Dalam contoh ini, URL untuk server otorisasi adalah
https://cognito-idp.
.us-east-1
.amazonaws.com/us-east-1_QLEXAMPLE
/.well-known/jwks.json -
Uji konfigurasi.
$
curl -H "Authorization: Basic `echo -n2l9273hp6k2ut5cugg9EXAMPLE
:1vp5e8nec7cbf4m9me55mbmht91u61hlh0a78rq1qki1lEXAMPLE
| base64`" -H "Content-Type: application/x-www-form-urlencoded" -X POST "https://mydomain-544fa30f-c0e5-4a02-8d2a-a3761EXAMPLE
.auth.us-east-1
.amazoncognito.com/oauth2/token?grant_type=client_credentials&scope=dcv-session-manager
/sm_scope
"Contoh keluaran
{ "access_token":"eyJraWQiOiJGQ0VaRFpJUUptT3NSaW41MmtqaDdEbTZYb0RnSTQ5b2VUT0cxUUI1Q2VJPSIsImFsZyI6IlJTMjU2In0.eyJzdWIiOiIybDkyNzNocDZrMnV0NWN1Z2c5dWg4ZGx0cCIsInRva2VuX3VzZSI6ImFjY2VzcyIsInNjb3BlIjoiZGN2LXNlc3Npb24tbWFuYWdlclwvcGVybWlzc2lvbnMiLCJhdXRoX3RpbWUiOjE2MDI1MTMyODMsImlzcyI6Imh0dHBzOlwvXC9jb2duaXRvLWlkcC51cy13ZXN0LTIuYW1hem9uYXdzLmNvbVwvdXMtd2VzdC0yX1FMZTA3SU9GViIsImV4cCI6MTYwMjUxNjg4MywiaWF0IjoxNjAyNTEzMjgzLCJ2ZXJzaW9uIjoyLCJqdGkiOiIyMDk2YTg4NS04YWQ0LTRmYjgtYjI2Mi1hMmNkNDk0OGZjNjYiLCJjbGllbnRfaWQiOiIybDkyNzNocDZrMnV0NWN1Z2c5dWg4ZGx0cCJ9.ZLZpS4CiiLq1X_VSm911hNT4g8A0FKZXScVJyyV0ijcyOfUOBcpgSMGqJagLYORFuYwLS5c7g4eO04wIwnw21ABGIDcOMElDPCJkrzjfLEPS_eyK3dNmlXDEvdS-Zkfi0HIDsd6audjTXKzHlZGScr6ROdZtId5dThkpEZiSx0YwiiWe9crAlqoazlDcCsUJHIXDtgKW64pSj3-uQQGg1Jv_tyVjhrA4JbD0k67WS2V9NW-uZ7t4zwwaUmOi3KzpBMi54fpVgPaewiVlUm_aS4LUFcWT6hVJjiZF7om7984qb2gOa14iZxpXPBJTZX_gtG9EtvnS9uW0QygTJRNgsw", "expires_in":3600, "token_type":"Bearer" }
-
Daftarkan server otorisasi eksternal untuk digunakan dengan broker dengan menggunakanregister-auth-server perintah.
$
sudo -u root dcv-session-manager-broker register-auth-server --url https://cognito-idp.us-east-1
.amazonaws.com/us-east-1_QLEXAMPLE
/.well-known/jwks.json
Pengembang sekarang dapat menggunakan server untuk meminta token akses. Saat meminta token akses, dan URL server yang dihasilkan di sini. Untuk informasi selengkapnya tentang meminta token akses, lihat Membuat token akses dan membuat permintaan API di Panduan Pengembang Manajer Sesi NICE DCV.