Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Comprendi l'autenticazione IAM Identity Center
Termini pertinenti di IAM Identity Center
I seguenti termini aiutano a comprendere il processo e la configurazione alla baseAWS IAM Identity Center. La documentazione per le API AWS SDK utilizza nomi diversi da IAM Identity Center per alcuni di questi concetti di autenticazione. È utile conoscere entrambi i nomi.
La tabella seguente mostra come i nomi alternativi si relazionano tra loro.
| Nome IAM Identity Center | Nome dell'API SDK | Description |
|---|---|---|
| Identity Center | sso
|
Sebbene AWS Single Sign-On venga rinominato, i namespace delle sso API manterranno il nome originale per motivi di compatibilità con le versioni precedenti. Per ulteriori informazioni, consulta la ridenominazione di IAM Identity Center nella Guida per l'utente. AWS IAM Identity Center |
Console IAM Identity Center Console amministrativa |
La console che usi per configurare il Single Sign-On. | |
| AWSaccedere all'URL del portale | Un URL univoco per il tuo account IAM Identity Center, ad esempiohttps://. Accedi a questo portale utilizzando le tue credenziali di accesso IAM Identity Center. |
|
| Sessione IAM Identity Center Access Portal | Sessione di autenticazione | Fornisce un token di accesso al portatore al chiamante. |
| Sessione con set di autorizzazioni | La sessione IAM che l'SDK utilizza internamente per effettuare le Servizio AWS chiamate. Nelle discussioni informali, potresti vederla erroneamente definita «sessione di ruolo». | |
| Credenziali del set di autorizzazioni | AWSCredenziali credenziali sigv4 |
Le credenziali che l'SDK utilizza effettivamente per la maggior parte delle Servizio AWS chiamate (in particolare, tutte le chiamate sigv4). Servizio AWS Nelle discussioni informali, potreste vederle erroneamente chiamate «credenziali di ruolo». |
| Provider di credenziali IAM Identity Center | Provider di credenziali SSO | Come si ottengono le credenziali, ad esempio la classe o il modulo che fornisce la funzionalità. |
Comprendi la risoluzione delle credenziali SDK per Servizi AWS
L'API IAM Identity Center scambia le credenziali del token del portatore con credenziali sigv4. La maggior parte Servizi AWS sono API sigv4, con alcune eccezioni come e. Amazon CodeWhisperer Amazon CodeCatalyst Di seguito viene descritto il processo di risoluzione delle credenziali utilizzato per supportare la maggior parte delle Servizio AWS chiamate per il codice dell'applicazione. AWS IAM Identity Center
Avvio di una sessione del portale di accesso AWS
-
Inizia il processo accedendo alla sessione con le tue credenziali.
-
Usa il
aws sso logincomando in AWS Command Line Interface (AWS CLI). Questo avvia una nuova sessione di IAM Identity Center se non hai già una sessione attiva.
-
-
Quando inizi una nuova sessione, ricevi un token di aggiornamento e un token di accesso da IAM Identity Center. AWS CLIInoltre aggiorna un file JSON della cache SSO con un nuovo token di accesso e un token di aggiornamento e lo rende disponibile per l'uso da parte degli SDK.
-
Se hai già una sessione attiva, il AWS CLI comando riutilizza la sessione esistente e scadrà ogni volta che scade la sessione esistente. Per informazioni su come impostare la durata di una sessione di IAM Identity Center, consulta Configurare la durata delle sessioni del portale di AWS accesso degli utenti nella Guida per l'utente. AWS IAM Identity Center
-
La durata massima della sessione è stata estesa a 90 giorni per ridurre la necessità di accessi frequenti.
-
In che modo l'SDK ottiene le credenziali per le chiamate Servizio AWS
Gli SDK forniscono l'accesso a Servizi AWS quando si crea un'istanza di un oggetto client per servizio. Quando il profilo selezionato del AWS config file condiviso è configurato per la risoluzione delle credenziali di IAM Identity Center, IAM Identity Center viene utilizzato per risolvere le credenziali per l'applicazione.
-
Il processo di risoluzione delle credenziali viene completato durante l'esecuzione, quando viene creato un client.
Per recuperare le credenziali per le API sigv4 utilizzando il single sign-on di IAM Identity Center, l'SDK utilizza il token di accesso IAM Identity Center per ottenere una sessione IAM. Questa sessione IAM è chiamata sessione del set di autorizzazioni e fornisce l'AWSaccesso all'SDK assumendo un ruolo IAM.
-
La durata della sessione del set di autorizzazioni è impostata indipendentemente dalla durata della sessione di IAM Identity Center.
-
Per informazioni su come impostare la durata della sessione del set di autorizzazioni, consulta Impostare la durata della sessione nella Guida per l'AWS IAM Identity Centerutente.
-
-
Tieni presente che le credenziali del set di autorizzazioni vengono anche chiamate credenziali e AWScredenziali sigv4 nella maggior parte della documentazione sulle API SDK. AWS
Le credenziali del set di autorizzazioni vengono restituite da una chiamata all'API IAM Identity getRoleCredentialsCenter all'SDK. L'oggetto client dell'SDK utilizza quel ruolo IAM assunto per effettuare chiamate aServizio AWS, ad esempio chiedere ad Amazon S3 di elencare i bucket nel tuo account. L'oggetto client può continuare a funzionare utilizzando le credenziali del set di autorizzazioni fino alla scadenza della sessione del set di autorizzazioni.
Scadenza e aggiornamento della sessione
Quando si utilizza ilConfigurazione del provider di token SSO, il token di accesso orario ottenuto da IAM Identity Center viene aggiornato automaticamente utilizzando il token di aggiornamento.
-
Se il token di accesso è scaduto quando l'SDK tenta di utilizzarlo, l'SDK utilizza il token di aggiornamento per cercare di ottenere un nuovo token di accesso. IAM Identity Center confronta il token di aggiornamento con la durata della sessione del portale di accesso IAM Identity Center. Se il token di aggiornamento non è scaduto, IAM Identity Center risponde con un altro token di accesso.
-
Questo token di accesso può essere utilizzato per aggiornare la sessione del set di autorizzazioni dei client esistenti o per risolvere le credenziali per nuovi client.
Tuttavia, se la sessione del portale di accesso IAM Identity Center è scaduta, non viene concesso alcun nuovo token di accesso. Pertanto, la durata del set di autorizzazioni non può essere rinnovata. Scadrà (e l'accesso verrà perso) ogni volta che scade la durata della sessione del set di autorizzazioni memorizzato nella cache per i client esistenti.
Qualsiasi codice che crea un nuovo client fallirà l'autenticazione non appena scadrà la sessione di IAM Identity Center. Questo perché le credenziali del set di autorizzazioni non vengono memorizzate nella cache. Il codice non sarà in grado di creare un nuovo client e completare il processo di risoluzione delle credenziali finché non avrai un token di accesso valido.
Ricapitolando, quando l'SDK necessita di nuove credenziali del set di autorizzazioni, l'SDK verifica innanzitutto la presenza di eventuali credenziali valide ed esistenti e le utilizza. Questo vale sia che le credenziali siano per un nuovo client o per un client esistente con credenziali scadute. Se le credenziali non vengono trovate o non sono valide, l'SDK chiama l'API IAM Identity Center per ottenere nuove credenziali. Per chiamare l'API, è necessario il token di accesso. Se il token di accesso è scaduto, l'SDK utilizza il token di aggiornamento per cercare di ottenere un nuovo token di accesso dal servizio IAM Identity Center. Questo token viene concesso se la sessione del portale di accesso IAM Identity Center non è scaduta.
