Usar aplicações com um emissor de tokens confiáveis - AWS IAM Identity Center
Visão geral do emissor de tokens confiáveisPré-requisitos e considerações para emissores de tokens confiáveisJTIdetalhes da reclamação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar aplicações com um emissor de tokens confiáveis

Os emissores de tokens confiáveis permitem que você use a propagação de identidade confiável com aplicativos que se autenticam fora do. AWS Com emissores de tokens confiáveis, você pode autorizar essas aplicações a fazer solicitações em nome dos usuários para acessar aplicações gerenciadas pela AWS .

Os tópicos a seguir descrevem como os emissores de tokens confiáveis funcionam além de fornecer orientação sobre configuração.

Tópicos

Visão geral do emissor de tokens confiáveis

A propagação de identidade confiável fornece um mecanismo que permite que aplicativos que se autenticam externamente AWS façam solicitações em nome de seus usuários com o uso de um emissor de token confiável. Um emissor de token confiável é um servidor de autorização OAuth 2.0 que cria tokens assinados. Esses tokens autorizam aplicativos que iniciam solicitações (solicitando aplicativos) de acesso a AWS serviços (recebimento de aplicativos). As aplicações solicitantes iniciam solicitações de acesso em nome dos usuários que o emissor de tokens confiáveis autentica. Os usuários são conhecidos tanto pelo emissor confiável do token quanto pelo IAM Identity Center.

AWS os serviços que recebem solicitações gerenciam autorizações refinadas para seus recursos com base em seus usuários e membros de grupos, conforme representado no diretório do Identity Center. AWS os serviços não podem usar diretamente os tokens do emissor externo do token.

Para resolver isso, o IAM Identity Center fornece uma maneira de o aplicativo solicitante, ou um AWS driver usado pelo aplicativo solicitante, trocar o token emitido pelo emissor confiável do token por um token gerado pelo IAM Identity Center. O token gerado pelo IAM Identity Center se refere ao usuário correspondente do IAM Identity Center. A aplicação solicitante, ou o driver, usa o novo token para iniciar uma solicitação à aplicação recebedora. Como o novo token faz referência ao usuário correspondente no IAM Identity Center, o aplicativo receptor pode autorizar o acesso solicitado com base no usuário ou na associação ao grupo, conforme representado no IAM Identity Center.

Importante

Escolher um servidor de autorização OAuth 2.0 para adicionar como um emissor de token confiável é uma decisão de segurança que requer uma análise cuidadosa. Escolha somente emissores de token confiáveis em que você confia para realizar as seguintes tarefas:

  • Autenticar o usuário especificado no token.

  • Autorizar o acesso desse usuário à aplicação recebedora.

  • Gere um token que o IAM Identity Center possa trocar por um token criado pelo IAM Identity Center.

Pré-requisitos e considerações para emissores de tokens confiáveis

Antes de configurar um emissor de tokens confiáveis, revise os seguintes pré-requisitos e considerações.

  • Configuração de emissor de tokens confiáveis

    Você deve configurar um servidor de autorização OAuth 2.0 (o emissor confiável do token). Embora o emissor confiável do token seja normalmente o provedor de identidade que você usa como fonte de IAM identidade para o Identity Center, ele não precisa ser. Para obter informações sobre como configurar o emissor de token confiável, consulte a documentação do provedor de identidade relevante.

    nota

    Você pode configurar até 10 emissores de token confiáveis para uso com o IAM Identity Center, contanto que você mapeie a identidade de cada usuário no emissor de token confiável para um usuário correspondente no IAM Identity Center.

  • O servidor de autorização OAuth 2.0 (o emissor confiável do token) que cria o token deve ter um IAM endpoint de descoberta do OpenID OIDC Connect () que o Identity Center possa usar para obter chaves públicas para verificar as assinaturas do token. Para obter mais informações, consulte OIDCendpoint de descoberta URL (emissorURL).

  • Tokens emitidos pelo emissor confiável

    Os tokens do emissor confiável do token devem atender aos seguintes requisitos:

    • O token deve ser assinado e estar no formato JSONWeb Token (JWT) usando o RS256 algoritmo.

    • O token deve conter as seguintes afirmações:

      • Emissor (iss) — A entidade que emitiu o token. Esse valor deve corresponder ao valor configurado no endpoint de OIDC descoberta (emissorURL) no emissor de token confiável.

      • Assunto (sub) — O usuário autenticado.

      • Audiência (aud) — O destinatário pretendido do token. Esse é o AWS serviço que será acessado após a troca do token por um token do IAM Identity Center. Para obter mais informações, consulte Declaração de Aud.

      • Tempo de expiração (exp) — O tempo após o qual o token expira.

    • O token pode ser um token de identidade ou um token de acesso.

    • O token deve ter um atributo que possa ser mapeado exclusivamente para um usuário do IAM Identity Center.

  • Declarações opcionais

    IAMO Identity Center oferece suporte a todas as declarações opcionais definidas no RFC 7523. Para obter mais informações, consulte a Seção 3: Requisitos de JWT formato e processamento desteRFC.

    Por exemplo, o token pode conter uma declaração JTI (JWTID). Essa alegação, quando presente, impede que tokens que tenham o mesmo JTI sejam reutilizados para trocas de tokens. Para obter mais informações sobre JTI reivindicações, consulteJTIdetalhes da reclamação.

  • IAMConfiguração do Identity Center para trabalhar com um emissor de token confiável

    Você também deve habilitar o IAM Identity Center, configurar a fonte de IAM identidade para o Identity Center e provisionar usuários que correspondam aos usuários no diretório do emissor de token confiável.

    Para isso, faça uma das seguintes alternativas:

    • Sincronize os usuários no IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) 2.0.

    • Crie os usuários diretamente no IAM Identity Center.

    nota

    Os emissores de tokens confiáveis não serão compatíveis se você usar o Serviço de Domínios do Active Directory como fonte de identidades.

JTIdetalhes da reclamação

Se o IAM Identity Center receber uma solicitação para trocar um token que o IAM Identity Center já trocou, a solicitação falhará. Para detectar e evitar a reutilização de um token para trocas de tokens, você pode incluir uma JTI reclamação. IAMO Identity Center protege contra a repetição de tokens com base nas reivindicações contidas no token.

Nem todos os servidores de autorização OAuth 2.0 adicionam uma JTI reivindicação aos tokens. Alguns servidores de autorização OAuth 2.0 podem não permitir que você adicione uma JTI como uma declaração personalizada. OAuthOs servidores de autorização 2.0 que suportam o uso de uma JTI declaração podem adicionar essa declaração somente aos tokens de identidade, somente aos tokens de acesso ou a ambos. Para obter mais informações, consulte a documentação do seu servidor de autorização OAuth 2.0.

Para obter informações sobre a criação de aplicativos que trocam tokens, consulte a API documentação do IAM Identity Center. Para obter informações sobre como configurar uma aplicação gerenciada pelo cliente para obter e trocar os tokens corretos, consulte a documentação da aplicação.