SAML2.0 e 2.0 OAuth - AWS IAM Identity Center
SAML 2.0OAuth 2.0

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

SAML2.0 e 2.0 OAuth

IAMIdentity Center consente di fornire agli utenti l'accesso Single Sign-On alle applicazioni SAML 2.0 o OAuth 2.0. I seguenti argomenti forniscono una panoramica di alto livello di SAML 2.0 e 2.0. OAuth

SAML 2.0

SAML2.0 è uno standard di settore utilizzato per lo scambio sicuro di SAML asserzioni che trasmettono informazioni su un utente tra un'SAMLautorità (denominata provider di identità o IdP) e un consumatore SAML 2.0 (chiamato service provider o SP). IAMIdentity Center utilizza queste informazioni per fornire un accesso single sign-on federato agli utenti autorizzati a utilizzare le applicazioni all'interno del portale di accesso. AWS

OAuth 2.0

OAuth2.0 è un protocollo che consente alle applicazioni di accedere e condividere i dati degli utenti in modo sicuro senza condividere le password. Questa funzionalità offre agli utenti un modo sicuro e standardizzato per consentire alle applicazioni di accedere alle proprie risorse. L'accesso è facilitato da diversi flussi di sovvenzioni OAuth 2.0.

IAMIdentity Center consente alle applicazioni eseguite su client pubblici di recuperare credenziali temporanee per l'accesso Account AWS e i servizi in modo programmatico per conto degli utenti. I client pubblici sono in genere desktop, laptop o altri dispositivi mobili utilizzati per eseguire applicazioni localmente. Esempi di AWS applicazioni eseguite su client pubblici includono AWS Command Line Interface (AWS CLI) e AWS Software Development Kit (). Kit di strumenti AWS SDKs Per consentire a queste applicazioni di ottenere credenziali, IAM Identity Center supporta parti dei seguenti flussi OAuth 2.0:

Nota

Questi tipi di concessione possono essere utilizzati solo con AWS services chi supporta questa funzionalità. Questi servizi potrebbero non supportare affatto questo tipo di sovvenzione Regioni AWS. Consultate la documentazione AWS services relativa alle differenze regionali.

OpenID Connect (OIDC) è un protocollo di autenticazione basato sul Framework OAuth 2.0. OIDCspecifica come utilizzare OAuth 2.0 per l'autenticazione. Tramite il OIDCservizio IAM Identity Center APIs, un'applicazione registra un client OAuth 2.0 e utilizza uno di questi flussi per ottenere un token di accesso che fornisce le autorizzazioni protette a IAM Identity Center. APIs Un'applicazione specifica gli ambiti di accesso per dichiarare l'utente previsto. API Dopo che l'amministratore di IAM Identity Center ha configurato l'origine dell'identità, gli utenti finali dell'applicazione devono completare una procedura di accesso, se non l'hanno già fatto. Gli utenti finali devono quindi fornire il proprio consenso per consentire all'applicazione di effettuare API chiamate. Queste API chiamate vengono effettuate utilizzando le autorizzazioni degli utenti. In risposta, IAM Identity Center restituisce un token di accesso all'applicazione che contiene gli ambiti di accesso a cui gli utenti hanno acconsentito.

Utilizzo di un flusso di OAuth sovvenzioni 2.0

OAuthI flussi di sovvenzioni 2.0 sono disponibili solo tramite applicazioni AWS gestite che supportano i flussi. Per utilizzare un flusso OAuth 2.0, l'istanza di IAM Identity Center e tutte le applicazioni AWS gestite supportate utilizzate devono essere distribuite in un'unica Regione AWS soluzione. Consulta la documentazione relativa AWS service a ciascuna di esse per determinare la disponibilità regionale delle applicazioni AWS gestite e l'istanza di IAM Identity Center che desideri utilizzare.

Per utilizzare un'applicazione che utilizza un flusso OAuth 2.0, l'utente finale deve inserire il URL punto in cui l'applicazione si connetterà e registrarsi con l'istanza di IAM Identity Center. A seconda dell'applicazione, in qualità di amministratore, è necessario fornire agli utenti il portale di AWS accesso URL o l'emittente URL dell'istanza di IAM Identity Center. È possibile trovare queste due impostazioni nella pagina Impostazioni della console di IAM Identity Center. Per ulteriori informazioni sulla configurazione di un'applicazione client, consulta la documentazione dell'applicazione.

L'esperienza dell'utente finale per accedere a un'applicazione e fornire il consenso dipende dal fatto che l'applicazione utilizzi Concessione del codice di autorizzazione con PKCE o Concessione di autorizzazione del dispositivo meno.

Concessione del codice di autorizzazione con PKCE

Questo flusso viene utilizzato dalle applicazioni eseguite su un dispositivo dotato di browser.

  1. Si apre una finestra del browser.

  2. Se l'utente non si è autenticato, il browser lo reindirizza per completare l'autenticazione dell'utente.

  3. Dopo l'autenticazione, all'utente viene presentata una schermata di consenso che mostra le seguenti informazioni:

    • Il nome dell'applicazione

    • Gli ambiti di accesso per i quali l'applicazione richiede il consenso all'uso

  4. L'utente può annullare la procedura di consenso o dare il proprio consenso e l'applicazione procede con l'accesso in base alle autorizzazioni dell'utente.

Concessione di autorizzazione del dispositivo

Questo flusso può essere utilizzato dalle applicazioni eseguite su un dispositivo con o senza browser. Quando l'applicazione avvia il flusso, presenta un codice utente URL e un codice utente che l'utente deve verificare successivamente nel flusso. Il codice utente è necessario perché l'applicazione che avvia il flusso potrebbe essere in esecuzione su un dispositivo diverso da quello su cui l'utente fornisce il consenso. Il codice garantisce che l'utente acconsenta al flusso avviato sull'altro dispositivo.

  1. Quando il flusso inizia da un dispositivo dotato di browser, si apre una finestra del browser. Quando il flusso inizia da un dispositivo senza browser, l'utente deve aprire un browser su un dispositivo diverso e accedere al sito presentato dall'URLapplicazione.

  2. In entrambi i casi, se l'utente non si è autenticato, il browser lo reindirizza per completare l'autenticazione dell'utente.

  3. Dopo l'autenticazione, all'utente viene presentata una schermata di consenso che mostra le seguenti informazioni:

    • Il nome dell'applicazione

    • Gli ambiti di accesso per i quali l'applicazione richiede il consenso all'uso

    • Il codice utente che l'applicazione ha presentato all'utente

  4. L'utente può annullare la procedura di consenso oppure può dare il proprio consenso e l'applicazione procede con l'accesso in base alle autorizzazioni dell'utente.

Ambiti di accesso

Un ambito definisce l'accesso a un servizio per un servizio a cui è possibile accedere tramite un flusso OAuth 2.0. Gli ambiti sono un modo per il servizio, chiamato anche server di risorse, di raggruppare le autorizzazioni relative alle azioni e alle risorse del servizio e specificano le operazioni granulari che i client 2.0 possono richiedere. OAuth Quando un client OAuth 2.0 si registra al OIDCservizio IAM Identity Center, specifica gli ambiti per dichiarare le azioni previste, per le quali l'utente deve fornire il consenso.

OAuthI client 2.0 utilizzano scope i valori definiti nella sezione 3.3 di OAuth 2.0 (RFC6749) per specificare quali autorizzazioni vengono richieste per un token di accesso. I client possono specificare un massimo di 25 ambiti quando richiedono un token di accesso. Quando un utente fornisce il consenso durante un flusso di concessione del codice di autorizzazione con PKCE o concessione di autorizzazione al dispositivo, IAM Identity Center codifica gli ambiti nel token di accesso restituito.

AWS aggiunge gli ambiti a IAM Identity Center per i supporti. AWS services La tabella seguente elenca gli ambiti supportati dal OIDC servizio IAM Identity Center quando si registra un client pubblico.

Ambiti di accesso supportati dal OIDC servizio IAM Identity Center durante la registrazione di un client pubblico

Ambito Descrizione Servizi supportati da
sso:account:access Accedi agli account e ai set di autorizzazioni gestiti da IAM Identity Center. IAMIdentity Center
codewhisperer:analysis Abilita l'accesso all'analisi del codice di Amazon Q Developer. ID Builder AWS e IAM Identity Center
codewhisperer:completions Abilita l'accesso ai suggerimenti sul codice in linea di Amazon Q. ID Builder AWS e IAM Identity Center
codewhisperer:conversations Abilita l'accesso alla chat di Amazon Q. ID Builder AWS e IAM Identity Center
codewhisperer:taskassist Abilita l'accesso ad Amazon Q Developer Agent per lo sviluppo software. ID Builder AWS e IAM Identity Center
codewhisperer:transformations Abilita l'accesso ad Amazon Q Developer Agent per la trasformazione del codice. ID Builder AWS e IAM Identity Center
codecatalyst:read_write Leggi e scrivi sulle tue CodeCatalyst risorse Amazon, permettendo l'accesso a tutte le tue risorse esistenti. ID Builder AWS e IAM Identity Center