Selecionar o tipo de aplicação Etapa 2: especificar detalhes da aplicação Etapa 3: especificar as configurações de autenticação Etapa 4: especificar as credenciais da aplicação Etapa 5: revisar e configurar

Configure aplicativos OAuth 2.0 gerenciados pelo cliente para propagação confiável de identidade

Para configurar um aplicativo OAuth 2.0 gerenciado pelo cliente para propagação confiável de identidade, você deve primeiro adicioná-lo ao IAM Identity Center. Use o procedimento a seguir para adicionar a aplicação ao IAM Identity Center.

Tópicos

Etapa 1: selecionar o tipo de aplicação
Etapa 2: especificar detalhes da aplicação
Etapa 3: especificar as configurações de autenticação
Etapa 4: especificar as credenciais da aplicação
Etapa 5: revisar e configurar

Etapa 1: selecionar o tipo de aplicação

Abra o console do IAM Identity Center.
Selecione Aplicações.
Escolha a guia Gerenciada pelo cliente.
Escolha Adicionar aplicação.
Na página Selecionar tipo de aplicação, em Preferências de configuração, escolha Eu tenho uma aplicação que quero configurar.
Em Tipo de aplicativo, escolha OAuth 2.0.
Escolha Avançar para prosseguir para a próxima página, Etapa 2: especificar detalhes da aplicação.

Etapa 2: especificar detalhes da aplicação

Na página Especificar detalhes da aplicação, em Nome e descrição da aplicação, insira um Nome de exibição para a aplicação, como MyApp. Insira uma Descrição.
Em Método de atribuição de usuário e grupo, escolha uma das seguintes opções:
- Exigir atribuições: permita apenas que usuários e grupos do IAM Identity Center atribuídos a essa aplicação a acessem.
  
  Visibilidade do bloco do aplicativo — Somente usuários atribuídos ao aplicativo diretamente ou por meio de uma atribuição em grupo podem visualizar o quadro do aplicativo no portal de AWS acesso, desde que a visibilidade do aplicativo no portal de AWS acesso esteja definida como Visível.
- Não exigir atribuições: permita que todos os usuários e grupos autorizados do IAM Identity Center acessem essa aplicação.
  
  Visibilidade do bloco do aplicativo — O bloco do aplicativo é visível para todos os usuários que entram no portal de AWS acesso, a menos que a visibilidade do aplicativo no portal de AWS acesso esteja definida como Não visível.
Em portal de AWS acesso, insira a URL na qual os usuários podem acessar o aplicativo e especifique se o mosaico do aplicativo ficará visível ou não no portal de AWS acesso. Se você escolher Não visível, nem mesmo os usuários atribuídos poderão visualizar o bloco da aplicação.
Expanda Tags (opcional), escolha Adicionar nova tag e especifique valores de Chave e Valor (opcional).

Para obter mais informações sobre tags, consulte Recursos de marcação AWS IAM Identity Center.
Escolha Avançar e prossiga para a próxima página, Etapa 3: especificar as configurações de autenticação.

Etapa 3: especificar as configurações de autenticação

Para adicionar um aplicativo gerenciado pelo cliente que suporte OAuth 2.0 ao IAM Identity Center, você deve especificar um emissor de token confiável. Um emissor de token confiável é um servidor de autorização OAuth 2.0 que cria tokens assinados. Esses tokens autorizam as aplicações que iniciam as solicitações (aplicações solicitantes) a acessar as aplicações gerenciadas pela AWS (aplicações recebedoras).

Na página Especificar configurações de autenticação, em Emissores de token confiáveis, faça uma das seguintes alternativas:
- Para usar um emissor de tokens confiáveis existente:
  
  Marque a caixa de seleção ao lado do nome do emissor de tokens confiáveis que você deseja excluir.
- Para adicionar um novo emissor de tokens confiáveis:
  1. Escolha Criar emissor de tokens confiáveis.
  2. Uma nova guia de navegador é aberta. Siga as etapas de 5 a 8 em Como adicionar um emissor de tokens confiáveis ao console do IAM Identity Center.
  3. Depois de concluir essas etapas, volte à janela do navegador que você está usando para a configuração da aplicação e selecione o emissor de tokens confiáveis que acabou de adicionar.
  4. Na lista de emissores de tokens confiáveis, marque a caixa de seleção ao lado do nome do emissor de tokens confiáveis que você acabou de adicionar.
    
    Depois de selecionar um emissor de tokens confiáveis, a seção Configurar os emissores de tokens confiáveis selecionados é exibida.
Em Configurar os emissores de token confiáveis selecionados, insira a declaração Aud. A declaração Aud identifica o público-alvo (destinatários) do token gerado pelo emissor de tokens confiáveis. Para obter mais informações, consulte Declaração de Aud.
Para evitar que os usuários precisem ser autenticados novamente quando estiverem usando essa aplicação, selecione Habilitar concessão de tokens de atualização. Quando selecionada, essa opção atualiza o token de acesso da sessão a cada 60 minutos, até que a sessão expire ou o usuário encerre a sessão.
Escolha Avançar e prossiga para a próxima página, Etapa 4: especificar as credenciais da aplicação.

Etapa 4: especificar as credenciais da aplicação

Conclua as etapas deste procedimento para especificar as credenciais que a aplicação usa para realizar ações de troca de tokens com aplicações confiáveis. Essas credenciais são usadas em uma política baseada no recurso. A política exige que você especifique uma entidade principal que tenha permissões para fazer as ações nela especificadas. Você deve especificar uma entidade principal, mesmo que as aplicações confiáveis estejam na mesma Conta da AWS.

nota

Ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para a realização de uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo.

Essa política exige a ação sso-oauth:CreateTokenWithIAM.

Na página Especificar credenciais da aplicação, escolha uma das seguintes opções:
- Para especificar rapidamente um ou mais perfis do IAM:
  1. Selecione Inserir um ou mais perfis do IAM.
  2. Em Inserir perfis do IAM, especifique o nome do recurso da Amazon (ARN) de um perfil do IAM existente. Para especificar o ARN, use a sintaxe a seguir. A parte da região do ARN está em branco porque os recursos do IAM são globais.
    
    arn:aws:iam::account:role/role-name-with-path
    
    Para obter mais informações, consulte Acesso entre contas usando políticas baseadas em recursos e IAM ARNs no Guia do usuário.AWS Identity and Access Management
- Para editar manualmente a política (necessária se você especificar informações não AWS credenciais):
  1. Selecione Editar a política da aplicação.
  2. Modifique a política digitando ou colando texto na caixa de texto JSON.
  3. Resolva todos os avisos de segurança, erros ou avisos gerais gerados durante a validação de política. Para obter mais informações, consulte Validating IAM policies no AWS Identity and Access Management User Guide.
Escolha Avançar e prossiga para a próxima página, Etapa 5: revisar e configurar.

Etapa 5: revisar e configurar

Na página Revisar e configurar, revise as escolhas feitas. Para fazer alterações, escolha a seção de configuração desejada, escolha Editar e faça as alterações necessárias.
Depois de terminar, escolha Adicionar aplicativo.
A aplicação que você adicionou aparece na lista Aplicações gerenciadas pelo cliente.
Depois de configurar seu aplicativo gerenciado pelo cliente no IAM Identity Center, você deve especificar um ou mais aplicativos Serviços da AWS, ou aplicativos confiáveis, para propagação de identidade. Isso permite que os usuários façam login na aplicação gerenciada pelo cliente e acessem os dados na aplicação confiável.

Para obter mais informações, consulte Especificar aplicações confiáveis .

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Aplicações gerenciadas pelo cliente

Especificar aplicações confiáveis