Peran penautan akun - Integrasi terkelola untuk AWS IoT Device Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran penautan akun

Untuk membuat konektor C2C, Anda memerlukan server otorisasi OAuth 2.0 dan penautan akun. Untuk informasi selengkapnya, lihat Alur kerja penautan akun.

OAuth 2.0 mendefinisikan empat peran berikut saat menerapkan penautan akun:

  1. Server otorisasi

  2. Pemilik sumber daya (Pengguna Akhir)

  3. Server sumber daya

  4. Klien

Berikut ini menentukan masing-masing OAuth peran ini:

Server Otorisasi

Server otorisasi adalah server yang mengidentifikasi dan mengotentikasi identitas pengguna akhir di cloud pihak ketiga. Token akses yang disediakan oleh server ini dapat menautkan akun platform pelanggan pengguna AWS akhir dan akun platform pihak ketiga mereka. Proses ini disebut sebagai penautan akun.

Server otorisasi mendukung penautan akun dengan memberikan yang berikut:

  • Menampilkan halaman login bagi pengguna akhir untuk masuk ke sistem Anda. Ini biasanya disebut sebagai titik akhir otorisasi.

  • Mengautentikasi pengguna akhir di sistem Anda.

  • Menghasilkan kode otorisasi yang mengidentifikasi pengguna akhir.

  • Meneruskan kode otorisasi ke integrasi terkelola untuk AWS IoT Device Management.

  • Menerima kode otorisasi dari integrasi terkelola untuk AWS IoT Device Management dan mengembalikan token akses yang dapat digunakan integrasi terkelola untuk AWS IoT Device Management untuk mengakses data pengguna akhir di sistem Anda. Ini biasanya diselesaikan melalui URI terpisah, yang disebut token URI atau endpoint.

penting

Server otorisasi harus mendukung alur Kode Otorisasi OAuth 2.0 untuk digunakan dengan integrasi terkelola untuk AWS IoT Device Management Connector. integrasi terkelola untuk AWS IoT Device Management juga mendukung alur kode otorisasi dengan Proof Key for Code Exchange (PKCE).

Server otorisasi harus:

  • Keluarkan token akses yang berisi ID pengguna akhir atau pemilik sumber daya yang dapat diekstraksi, misalnya token JWT

  • Dapat mengembalikan ID pengguna akhir untuk setiap token akses yang dikeluarkan

Jika tidak, konektor Anda tidak akan dapat mendukung AWS.ActivateUser operasi yang diperlukan. Ini akan mencegah penggunaan konektor dengan integrasi terkelola.

Jika pengembang konektor atau pemilik tidak memelihara server otorisasi mereka sendiri, server otorisasi yang digunakan harus memberikan otorisasi untuk sumber daya yang dikelola oleh platform pihak ketiga pengembang konektor. Ini berarti bahwa setiap token yang diterima oleh integrasi terkelola dari server otorisasi harus memberikan batasan keamanan yang berarti pada perangkat (sumber daya). Misalnya, token pengguna akhir tidak mengizinkan perintah di perangkat pengguna akhir lain; izin yang diberikan oleh token dipetakan ke sumber daya dalam platform. Perhatikan contoh Lights Incorporated. Ketika pengguna akhir memulai alur penautan akun dengan konektornya, mereka diarahkan ke halaman login Lights Incorporated yang menghadap server otorisasi mereka. Setelah mereka masuk dan memberikan izin kepada klien, mereka memberikan token yang memberikan akses konektor ke sumber daya dalam akun Lights Incorporated mereka.

Pemilik sumber daya (Pengguna Akhir)

Sebagai pemilik sumber daya, Anda mengizinkan integrasi terkelola untuk akses pelanggan AWS IoT Device Management ke sumber daya yang terkait dengan akun Anda dengan melakukan penautan akun. Misalnya, pertimbangkan bohlam pintar yang telah dimasukkan pengguna akhir ke aplikasi seluler Lights Incorporated. Pemilik sumber daya mengacu pada akun pengguna akhir yang telah membeli dan melakukan onboard perangkat. Dalam contoh kita, pemilik sumber daya dimodelkan sebagai akun Lights Incorporated OAuth2 .0. Sebagai pemilik sumber daya, akun ini memberikan izin untuk mengeluarkan perintah dan mengelola perangkat.

Server sumber daya

Ini adalah server yang menampung sumber daya yang dilindungi yang memerlukan otorisasi untuk mengakses (data perangkat). AWS Pelanggan perlu mengakses sumber daya yang dilindungi atas nama pengguna akhir, dan mereka melakukannya melalui integrasi terkelola untuk konektor AWS IoT Device Management setelah penautan akun. Mempertimbangkan bohlam pintar dari sebelumnya sebagai contoh, server sumber daya adalah layanan berbasis cloud yang dimiliki oleh Lights Incorporated yang mengelola bohlam setelah di-onboard. Melalui server sumber daya, pemilik sumber daya dapat mengeluarkan perintah ke bohlam pintar, seperti menyalakan dan mematikannya. Sumber daya yang dilindungi hanya memberikan izin ke akun pengguna akhir dan lainnya yang mungkin telah accounts/entities mereka berikan izin.

Klien

Dalam konteks ini, klien adalah konektor C2C Anda. Klien didefinisikan sebagai aplikasi yang diberikan akses ke sumber daya dalam server sumber daya atas nama pengguna akhir. Proses penautan akun mewakili konektor, klien, yang meminta akses ke sumber daya pengguna akhir dalam cloud pihak ketiga.

Meskipun konektornya adalah OAuth klien, integrasi terkelola untuk AWS IoT Device Management melakukan operasi atas nama konektor. Misalnya, integrasi terkelola untuk AWS IoT Device Management membuat permintaan ke server otorisasi untuk mendapatkan token akses. Konektor masih dianggap klien karena merupakan satu-satunya komponen yang pernah mengakses sumber daya yang dilindungi (data perangkat) di server sumber daya.

Pertimbangkan bohlam pintar yang telah di-onboard oleh pengguna akhir. Setelah penautan akun selesai antara platform pelanggan dan server otorisasi Lights Incorporated, konektor itu sendiri akan berkomunikasi dengan server sumber daya untuk mengambil informasi tentang bohlam pintar pengguna akhir. Konektor kemudian dapat menerima perintah dari pengguna akhir. Ini termasuk menyalakan atau mematikan lampu atas nama mereka melalui server sumber daya Lights Incorporated. Dengan demikian, kami menunjuk konektor sebagai klien.