信頼できる ID の伝播の概要

信頼できる ID の伝達により、 AWS リソースへのユーザーアクセスをより簡単に定義、付与、記録できます。信頼された ID 伝達は OAuth 2.0 認証フレームワーク 上に構築されており、アプリケーションはパスワードを共有せずにユーザーデータに安全にアクセスして共有できます。OAuth 2.0 は、アプリケーションリソースへの安全な委任アクセスを提供します。リソース管理者が、ユーザーがサインインしているアプリケーションに、他のアプリケーションへのアクセスを承認または委任するため、アクセスが委任されます。

ユーザーパスワードを共有しないようにするため、信頼できる ID の伝播ではトークンを使用します。トークンは、信頼できるアプリケーションがユーザーを誰にするか、2 つのアプリケーション間で許可されるリクエストを主張するための標準的な方法を提供します。信頼できる ID 伝達と統合される AWS マネージドアプリケーションは、IAMIdentity Center から直接トークンを取得します。IAM Identity Center には、アプリケーションが外部の 2.0 認証サーバーから取得した ID OAuth トークンとアクセストークンを交換するオプションもあります。これにより、アプリケーションが の外部でトークンを認証して取得し AWS、トークンを IAM Identity Center トークンと交換し、新しいトークンを使用して AWS サービスにリクエストできるようになります。詳細については、「信頼できるトークン発行者によるアプリケーションの使用」を参照してください。

2.0 OAuth プロセスは、ユーザーがアプリケーションにサインインしたときに開始されます。ユーザーがサインインするアプリケーションは、他のアプリケーションのリソースへのアクセスリクエストを開始します。開始 (リクエスト) アプリケーションは、承認サーバーにトークンをリクエストすることで、ユーザーに代わって受信側のアプリケーションにアクセスできます。認可サーバーはトークンを返し、開始側アプリケーションはそのトークンをアクセスするリクエストとともに受信側アプリケーションに渡します。