Utilizzo di applicazioni con un emittente di token affidabile - AWS IAM Identity Center
Panoramica degli emittenti di token affidabiliPrerequisiti e considerazioni per emittenti di token affidabiliDettagli del reclamo JTIImpostazioni di configurazione dell'emittente di token affidabiliConfigurazione di un emittente di token affidabile

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di applicazioni con un emittente di token affidabile

Gli emittenti di token affidabili consentono di utilizzare la propagazione delle identità affidabili con applicazioni che eseguono l'autenticazione all'esterno di. AWS Con gli emittenti di token affidabili, puoi autorizzare queste applicazioni a effettuare richieste per conto dei rispettivi utenti per accedere alle applicazioni gestite. AWS

I seguenti argomenti descrivono come funzionano gli emittenti di token affidabili e forniscono indicazioni sulla configurazione.

Panoramica degli emittenti di token affidabili

La propagazione affidabile delle identità fornisce un meccanismo che consente alle applicazioni che effettuano l'autenticazione all'esterno di AWS effettuare richieste per conto dei propri utenti utilizzando un emittente di token affidabile. Un emittente di token affidabile è un server di autorizzazione OAuth 2.0 che crea token firmati. Questi token autorizzano le applicazioni che avviano richieste (richieste di applicazioni) per l'accesso ai servizi (applicazioni di ricezione). AWS Le applicazioni richiedenti avviano le richieste di accesso per conto degli utenti autenticati dall'emittente di token affidabile. Gli utenti sono noti sia all'emittente di token affidabile che a IAM Identity Center.

AWS i servizi che ricevono richieste gestiscono l'autorizzazione granulare alle proprie risorse in base agli utenti e all'appartenenza ai gruppi, come indicato nella directory Identity Center. AWS i servizi non possono utilizzare direttamente i token dell'emittente esterno del token.

Per risolvere questo problema, IAM Identity Center offre all'applicazione richiedente, o al AWS driver utilizzato dall'applicazione richiedente, un modo per scambiare il token emesso dall'emittente affidabile del token con un token generato da IAM Identity Center. Il token generato da IAM Identity Center si riferisce all'utente IAM Identity Center corrispondente. L'applicazione richiedente, o il driver, utilizza il nuovo token per avviare una richiesta all'applicazione ricevente. Poiché il nuovo token fa riferimento all'utente corrispondente in IAM Identity Center, l'applicazione ricevente può autorizzare l'accesso richiesto in base all'appartenenza dell'utente o al suo gruppo, come rappresentato in IAM Identity Center.

Importante

La scelta di un server di autorizzazione OAuth 2.0 da aggiungere come emittente di token affidabile è una decisione di sicurezza che richiede un'attenta considerazione. Scegli solo emittenti di token affidabili di cui ti fidi per eseguire le seguenti attività:

  • Autentica l'utente specificato nel token.

  • Autorizza l'accesso di quell'utente all'applicazione ricevente.

  • Genera un token che IAM Identity Center può scambiare con un token creato da IAM Identity Center.

Prerequisiti e considerazioni per emittenti di token affidabili

Prima di configurare un emittente di token affidabile, esamina i seguenti prerequisiti e considerazioni.

  • Configurazione dell'emittente di token affidabile

    È necessario configurare un server di autorizzazione OAuth 2.0 (l'emittente di token affidabile). Sebbene l'emittente affidabile di token sia in genere il provider di identità utilizzato come fonte di identità per IAM Identity Center, non è necessario che lo sia. Per informazioni su come configurare l'emittente di token affidabile, consulta la documentazione del provider di identità pertinente.

    Nota

    Puoi configurare fino a 10 emittenti di token affidabili da utilizzare con IAM Identity Center, purché mappi l'identità di ogni utente nell'emittente di token affidabili a un utente corrispondente in IAM Identity Center.

  • Il server di autorizzazione OAuth 2.0 (l'emittente affidabile del token) che crea il token deve disporre di un endpoint di rilevamento OpenID Connect (OIDC) che IAM Identity Center può utilizzare per ottenere le chiavi pubbliche per verificare le firme dei token. Per ulteriori informazioni, consulta URL dell'endpoint di rilevamento OIDC (URL dell'emittente).

  • Token emessi dall'emittente di token affidabile

    I token emessi dall'emittente affidabile di token devono soddisfare i seguenti requisiti:

    • Il token deve essere firmato e in formato JSON Web Token (JWT) utilizzando l'algoritmo RS256.

    • Il token deve contenere le seguenti attestazioni:

      • Emittente (iss): l'entità che ha emesso il token. Questo valore deve corrispondere al valore configurato nell'endpoint di rilevamento OIDC (URL dell'emittente) nell'emittente del token affidabile.

      • Soggetto (sub): l'utente autenticato.

      • Pubblico (aud): il destinatario previsto del token. Questo è il AWS servizio a cui si accederà dopo lo scambio del token con un token di IAM Identity Center. Per ulteriori informazioni, consulta Reclamo Audi.

      • Ora di scadenza (exp): l'ora dopo la quale scade il token.

    • Il token può essere un token di identità o un token di accesso.

    • Il token deve avere un attributo che può essere mappato in modo univoco a un utente IAM Identity Center.

  • Affermazioni opzionali

    IAM Identity Center supporta tutte le attestazioni opzionali definite nella RFC 7523. Per ulteriori informazioni, consulta la Sezione 3: Formato JWT e requisiti di elaborazione di questa RFC.

    Ad esempio, il token può contenere un claim JTI (JWT ID). Questa affermazione, se presente, impedisce che i token con lo stesso JTI vengano riutilizzati per lo scambio di token. Per ulteriori informazioni sulle dichiarazioni JTI, consulta. Dettagli del reclamo JTI

  • Configurazione di IAM Identity Center per l'utilizzo con un emittente di token affidabile

    È inoltre necessario abilitare IAM Identity Center, configurare la fonte di identità per IAM Identity Center ed effettuare il provisioning degli utenti che corrispondono agli utenti nella directory dell'emittente del token affidabile.

    A tale scopo, devi eseguire una delle seguenti operazioni:

    • Sincronizza gli utenti in IAM Identity Center utilizzando il protocollo System for Cross-domain Identity Management (SCIM) 2.0.

    • Crea gli utenti direttamente in IAM Identity Center.

    Nota

    Gli emittenti di token affidabili non sono supportati se utilizzi il servizio di dominio Active Directory come fonte di identità.

Dettagli del reclamo JTI

Se IAM Identity Center riceve una richiesta di scambio di un token che IAM Identity Center ha già scambiato, la richiesta ha esito negativo. Per rilevare e impedire il riutilizzo di un token per lo scambio di token, puoi includere un claim JTI. IAM Identity Center protegge dalla riproduzione dei token in base alle affermazioni contenute nel token.

Non tutti i server di autorizzazione OAuth 2.0 aggiungono un'attestazione JTI ai token. Alcuni server di autorizzazione OAuth 2.0 potrebbero non consentire di aggiungere un JTI come attestazione personalizzata. I server di autorizzazione OAuth 2.0 che supportano l'uso di un'attestazione JTI potrebbero aggiungere questa dichiarazione solo ai token di identità, solo ai token di accesso o a entrambi. Per ulteriori informazioni, consulta la documentazione del tuo server di autorizzazione OAuth 2.0.

Per informazioni sulla creazione di applicazioni che scambiano token, consulta la documentazione dell'API IAM Identity Center. Per informazioni sulla configurazione di un'applicazione gestita dal cliente per ottenere e scambiare i token corretti, consulta la documentazione dell'applicazione.

Impostazioni di configurazione dell'emittente di token affidabili

Le sezioni seguenti descrivono le impostazioni necessarie per configurare e utilizzare un emittente di token affidabile.

URL dell'endpoint di rilevamento OIDC (URL dell'emittente)

Quando aggiungi un emittente di token affidabile alla console IAM Identity Center, devi specificare l'URL dell'endpoint di rilevamento OIDC. A questo URL si fa comunemente riferimento con il relativo URL,. /.well-known/openid-configuration Nella console IAM Identity Center, questo URL è chiamato URL dell'emittente.

Nota

È necessario incollare l'URL dell'endpoint di rilevamento fino alla fine. .well-known/openid-configuration Se .well-known/openid-configuration è inclusa nell'URL, la configurazione dell'emittente del token affidabile non funzionerà. Poiché IAM Identity Center non convalida questo URL, se l'URL non è formato correttamente, la configurazione dell'emittente di token affidabile fallirà senza notifica.

IAM Identity Center utilizza questo URL per ottenere informazioni aggiuntive sull'emittente affidabile del token. Ad esempio, IAM Identity Center utilizza questo URL per ottenere le informazioni necessarie per verificare i token generati dall'emittente di token affidabile. Quando aggiungi un emittente di token affidabile a IAM Identity Center, devi specificare questo URL. Per trovare l'URL, consulta la documentazione del provider del server di autorizzazione OAuth 2.0 che utilizzi per generare i token per la tua applicazione oppure contatta direttamente il provider per ricevere assistenza.

Mappatura degli attributi

Le mappature degli attributi consentono a IAM Identity Center di abbinare l'utente rappresentato in un token emesso da un emittente di token affidabile a un singolo utente in IAM Identity Center. È necessario specificare la mappatura degli attributi quando si aggiunge l'emittente di token affidabile a IAM Identity Center. Questa mappatura degli attributi viene utilizzata in un claim nel token generato dall'emittente affidabile del token. Il valore nell'attestazione viene utilizzato per effettuare ricerche in IAM Identity Center. La ricerca utilizza l'attributo specificato per recuperare un singolo utente in IAM Identity Center, che verrà utilizzato come utente all'interno AWS. L'affermazione scelta deve essere mappata a un attributo in un elenco fisso di attributi disponibili nell'archivio di identità di IAM Identity Center. Puoi scegliere uno dei seguenti attributi dell'archivio di identità di IAM Identity Center: nome utente, email e ID esterno. Il valore dell'attributo specificato in IAM Identity Center deve essere unico per ogni utente.

Reclamo Audi

Un claim aud identifica il pubblico (destinatari) a cui è destinato un token. Quando l'applicazione che richiede l'accesso viene autenticata tramite un provider di identità non federato a IAM Identity Center, tale provider di identità deve essere configurato come emittente di token affidabile. L'applicazione che riceve la richiesta di accesso (l'applicazione ricevente) deve scambiare il token generato dall'emittente affidabile del token con un token generato da IAM Identity Center.

Per informazioni su come ottenere i valori delle dichiarazioni aud per l'applicazione ricevente quando sono registrati nel Trusted Token Emittent, consulta la documentazione dell'emittente del token affidabile o contatta l'amministratore dell'emittente del token affidabile per ricevere assistenza.

Configurazione di un emittente di token affidabile

Per abilitare la propagazione affidabile dell'identità per un'applicazione che si autentica esternamente su IAM Identity Center, uno o più amministratori devono configurare un emittente di token affidabile. Un emittente di token affidabile è un server di autorizzazione OAuth 2.0 che rilascia token alle applicazioni che avviano le richieste (applicazioni richiedenti). I token autorizzano queste applicazioni a inviare richieste per conto dei loro utenti a un'applicazione (un servizio) ricevente. AWS

Coordinamento dei ruoli e delle responsabilità amministrative

In alcuni casi, un singolo amministratore può eseguire tutte le attività necessarie per configurare un emittente di token affidabile. Se più amministratori svolgono queste attività, è necessario uno stretto coordinamento. La tabella seguente descrive come più amministratori potrebbero coordinarsi per configurare un emittente di token affidabile e configurare il AWS servizio per utilizzarlo.

Nota

L'applicazione può essere qualsiasi AWS servizio integrato con IAM Identity Center e che supporta la propagazione affidabile delle identità.

Per ulteriori informazioni, consulta Attività per la configurazione di un emittente di token affidabile.

Ruolo Esegue queste attività Si coordina con
Amministratore di IAM Identity Center

Aggiunge l'IdP esterno come emittente di token affidabile alla console IAM Identity Center.

Aiuta a configurare la corretta mappatura degli attributi tra IAM Identity Center e l'IdP esterno.

Notifica all'amministratore del AWS servizio quando l'emittente affidabile del token viene aggiunto alla console IAM Identity Center.

Amministratore IdP esterno (trusted token issuer)

AWS amministratore del servizio
Amministratore IdP esterno (trusted token issuer)

Configura l'IdP esterno per l'emissione di token.

Aiuta a configurare la corretta mappatura degli attributi tra IAM Identity Center e l'IdP esterno.

Fornisce il nome del pubblico (Aud claim) all'amministratore del AWS servizio.

Amministratore di IAM Identity Center

AWS amministratore del servizio
AWS amministratore del servizio

Verifica nella console AWS di servizio l'emittente affidabile del token. L'emittente affidabile del token sarà visibile nella console di AWS servizio dopo che l'amministratore di IAM Identity Center lo avrà aggiunto alla console IAM Identity Center.

Configura il AWS servizio per utilizzare l'emittente di token affidabile.

Amministratore di IAM Identity Center

Amministratore IdP esterno (trusted token issuer)

Attività per la configurazione di un emittente di token affidabile

Per configurare un emittente di token affidabile, un amministratore di IAM Identity Center, un amministratore IdP esterno (trusted token issuer) e un amministratore dell'applicazione devono completare le seguenti attività.

Nota

L'applicazione può essere qualsiasi AWS servizio integrato con IAM Identity Center e che supporta la propagazione affidabile delle identità.

  1. Aggiungi l'emittente di token affidabile a IAM Identity Center: l'amministratore di IAM Identity Center aggiunge l'emittente di token affidabile utilizzando la console o le API IAM Identity Center. Questa configurazione richiede di specificare quanto segue:

    • Un nome per l'emittente affidabile del token

    • L'URL dell'endpoint di rilevamento OIDC (nella console IAM Identity Center, questo URL è chiamato URL dell'emittente).

    • Mappatura degli attributi per la ricerca degli utenti. Questa mappatura degli attributi viene utilizzata in un claim nel token generato dall'emittente affidabile del token. Il valore nell'attestazione viene utilizzato per effettuare ricerche in IAM Identity Center. La ricerca utilizza l'attributo specificato per recuperare un singolo utente in IAM Identity Center.

  2. Connetti il AWS servizio a IAM Identity Center: l'amministratore del AWS servizio deve connettere l'applicazione a IAM Identity Center utilizzando la console per l'applicazione o le API dell'applicazione.

    Dopo che l'emittente affidabile del token è stato aggiunto alla console IAM Identity Center, è visibile anche nella console di AWS servizio e può essere selezionato dall'amministratore del AWS servizio.

  3. Configura l'uso dello scambio di token: nella console di AWS servizio, l'amministratore del servizio configura AWS il AWS servizio in modo che accetti i token emessi dall'emittente di token affidabile. Questi token vengono scambiati con token generati da IAM Identity Center. Ciò richiede di specificare il nome dell'emittente affidabile del token riportato nella fase 1 e il valore del claim Aud corrispondente al servizio. AWS

    L'emittente affidabile del token inserisce il valore del claim Aud nel token emesso per indicare che il token è destinato all'uso da parte del servizio. AWS Per ottenere questo valore, contatta l'amministratore dell'emittente del token affidabile.

Come aggiungere un emittente di token affidabile alla console IAM Identity Center

In un'organizzazione con più amministratori, questa attività viene eseguita da un amministratore di IAM Identity Center. Se sei l'amministratore di IAM Identity Center, devi scegliere quale IdP esterno utilizzare come emittente di token affidabile.

Per aggiungere un emittente di token affidabile alla console IAM Identity Center

  1. Apri la console IAM Identity Center.

  2. Seleziona Impostazioni.

  3. Nella pagina Impostazioni, scegli la scheda Autenticazione.

  4. In Trusted token issuers, scegli Crea un emittente di token affidabile.

  5. Nella pagina Configura un IdP esterno per l'emissione di token affidabili, in Dettagli sull'emittente del token affidabile, procedi come segue:

    • Per l'URL dell'emittente, specifica l'URL di rilevamento OIDC dell'IdP esterno che emetterà i token per la propagazione delle identità affidabili. È necessario specificare l'URL dell'endpoint di rilevamento fino alla versione precedente. .well-known/openid-configuration L'amministratore dell'IdP esterno può fornire questo URL.

      Nota

      Nota Questo URL deve corrispondere all'URL nell'attestazione Issuer (iss) nei token emessi per la propagazione di identità affidabili.

    • Per il nome dell'emittente affidabile del token, inserisci un nome per identificare questo emittente di token affidabile in IAM Identity Center e nella console dell'applicazione.

  6. In Attributi della mappa, procedi come segue:

    • Per l'attributo del provider di identità, seleziona un attributo dall'elenco da mappare a un attributo nell'archivio di identità di IAM Identity Center.

    • Per l'attributo IAM Identity Center, seleziona l'attributo corrispondente per la mappatura degli attributi.

  7. In Tag (opzionale), scegli Aggiungi nuovo tag, specifica un valore per Chiave e, facoltativamente, per Valore.

    Per ulteriori informazioni sui tag, consulta Tagging delle risorse AWS IAM Identity Center.

  8. Scegli Crea un emittente di token affidabile.

  9. Dopo aver completato la creazione dell'emittente di token affidabile, contatta l'amministratore dell'applicazione per comunicargli il nome dell'emittente del token affidabile, in modo che possa confermare che l'emittente del token affidabile è visibile nella console applicabile.

  10. L'amministratore dell'applicazione deve selezionare questo emittente di token affidabile nella console applicabile per consentire l'accesso degli utenti all'applicazione dalle applicazioni configurate per la propagazione delle identità affidabili.

Come visualizzare o modificare le impostazioni dell'emittente di token affidabili nella console IAM Identity Center

Dopo aver aggiunto un emittente di token affidabile alla console IAM Identity Center, puoi visualizzare e modificare le impostazioni pertinenti.

Se prevedi di modificare le impostazioni dell'emittente di token affidabili, tieni presente che così facendo gli utenti potrebbero perdere l'accesso a tutte le applicazioni configurate per utilizzare l'emittente di token affidabili. Per evitare di interrompere l'accesso degli utenti, consigliamo di coordinarsi con gli amministratori di tutte le applicazioni configurate per utilizzare l'emittente di token affidabile prima di modificare le impostazioni.

Per visualizzare o modificare le impostazioni dell'emittente di token affidabili nella console IAM Identity Center

  1. Apri la console IAM Identity Center.

  2. Seleziona Impostazioni.

  3. Nella pagina Impostazioni, scegli la scheda Autenticazione.

  4. In Emittenti di token affidabili, seleziona l'emittente di token affidabile che desideri visualizzare o modificare.

  5. Seleziona Azioni, quindi scegli Modifica.

  6. Nella pagina Modifica emittente di token affidabili, visualizza o modifica le impostazioni secondo necessità. È possibile modificare il nome dell'emittente del token affidabile, le mappature degli attributi e i tag.

  7. Seleziona Salvataggio delle modifiche.

  8. Nella finestra di dialogo Modifica emittente di token affidabili, ti viene richiesto di confermare che desideri apportare modifiche. Scegli Conferma.

Processo di configurazione e flusso di richiesta per le applicazioni che utilizzano un emittente di token affidabile

Questa sezione descrive il processo di configurazione e il flusso di richiesta per le applicazioni che utilizzano un emittente di token affidabile per la propagazione dell'identità affidabile. Il diagramma seguente fornisce una panoramica di questo processo.

Processo di configurazione e flussi di richiesta per le applicazioni che utilizzano un emittente di token affidabile per la propagazione di identità affidabili

I passaggi seguenti forniscono informazioni aggiuntive su questo processo.

  1. Configura IAM Identity Center e l'applicazione AWS gestita ricevente per utilizzare un emittente di token affidabile. Per informazioni, consulta Attività per la configurazione di un emittente di token affidabile.

  2. Il flusso di richieste inizia quando un utente apre l'applicazione richiedente.

  3. L'applicazione richiedente richiede un token all'emittente affidabile del token per avviare le richieste all'applicazione gestita ricevente. AWS Se l'utente non si è ancora autenticato, questo processo attiva un flusso di autenticazione. Il token contiene le seguenti informazioni:

    • L'oggetto (Sub) dell'utente.

    • L'attributo utilizzato da IAM Identity Center per cercare l'utente corrispondente in IAM Identity Center.

    • Un'affermazione di tipo audience (Aud) che contiene un valore che l'emittente affidabile del token associa all'applicazione AWS gestita ricevente. Se sono presenti altre attestazioni, non vengono utilizzate da IAM Identity Center.

  4. L'applicazione richiedente, o il AWS driver che utilizza, passa il token a IAM Identity Center e richiede che il token venga scambiato con un token generato da IAM Identity Center. Se si utilizza un AWS driver, potrebbe essere necessario configurarlo per questo caso d'uso. Per ulteriori informazioni, consulta la documentazione dell'applicazione AWS gestita pertinente.

  5. IAM Identity Center utilizza l'endpoint OIDC Discovery per ottenere la chiave pubblica che può utilizzare per verificare l'autenticità del token. IAM Identity Center esegue quindi le seguenti operazioni:

    • Verifica il token.

    • Cerca nella directory Identity Center. A tale scopo, IAM Identity Center utilizza l'attributo mappato specificato nel token.

    • Verifica che l'utente sia autorizzato ad accedere all'applicazione ricevente. Se l'applicazione AWS gestita è configurata per richiedere assegnazioni a utenti e gruppi, l'utente deve disporre di un'assegnazione diretta o basata sul gruppo all'applicazione; in caso contrario la richiesta viene rifiutata. Se l'applicazione AWS gestita è configurata per non richiedere assegnazioni a utenti e gruppi, l'elaborazione continua.

      Nota

      AWS i servizi hanno una configurazione di impostazione predefinita che determina se sono necessarie assegnazioni per utenti e gruppi. Si consiglia di non modificare l'impostazione Richiedi assegnazioni per queste applicazioni se si prevede di utilizzarle con una propagazione affidabile delle identità. Anche se sono state configurate autorizzazioni granulari che consentono l'accesso degli utenti a risorse applicative specifiche, la modifica dell'impostazione Richiedi assegnazioni potrebbe causare comportamenti imprevisti, tra cui l'interruzione dell'accesso degli utenti a tali risorse.

    • Verifica che l'applicazione richiedente sia configurata per utilizzare ambiti validi per l'applicazione gestita ricevente. AWS

  6. Se i passaggi di verifica precedenti hanno esito positivo, IAM Identity Center crea un nuovo token. Il nuovo token è un token opaco (crittografato) che include l'identità dell'utente corrispondente in IAM Identity Center, il pubblico (Aud) dell'applicazione AWS gestita ricevente e gli ambiti che l'applicazione richiedente può utilizzare per effettuare richieste all'applicazione gestita AWS ricevente.

  7. L'applicazione richiedente, o il driver che utilizza, avvia una richiesta di risorse all'applicazione ricevente e passa il token generato da IAM Identity Center all'applicazione ricevente.

  8. L'applicazione ricevente effettua chiamate a IAM Identity Center per ottenere l'identità dell'utente e gli ambiti codificati nel token. Potrebbe anche effettuare richieste per ottenere gli attributi utente o l'appartenenza ai gruppi dell'utente dalla directory di Identity Center.

  9. L'applicazione ricevente utilizza la propria configurazione di autorizzazione per determinare se l'utente è autorizzato ad accedere alla risorsa dell'applicazione richiesta.

  10. Se l'utente è autorizzato ad accedere alla risorsa dell'applicazione richiesta, l'applicazione ricevente risponde alla richiesta.

  11. L'identità dell'utente, le azioni eseguite per suo conto e altri eventi registrati nei registri e CloudTrail negli eventi dell'applicazione ricevente. Il modo specifico in cui queste informazioni vengono registrate varia in base all'applicazione.