Provedores de confiança de identidade de usuário - AWS Acesso verificado
IAM Identity CenterFornecedor de confiança OIDC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Provedores de confiança de identidade de usuário

Você pode optar por usar um AWS IAM Identity Center ou um provedor confiável de identidade de usuário compatível com o OpenID Connect.

Usar o IAM Identity Center como provedor confiável

Você pode usar AWS IAM Identity Center como seu provedor confiável de identidade de usuário com o AWS Acesso Verificado.

Pré-requisitos e considerações

  • Sua instância do Centro de Identidade do IAM deve ser uma instância AWS Organizations. Uma instância do Centro de Identidade do IAM de uma conta da AWS autônoma não funcionará.

  • A instância do Centro de Identidade do IAM deve estar habilitada na mesma região da AWS em que você deseja criar o provedor confiável do Acesso Verificado.

Consulte Gerenciar instâncias da organização e da conta do Centro de Identidade do IAM no Guia do usuário do AWS IAM Identity Center para obter detalhes sobre os diferentes tipos de instância.

Criar um provedor confiável do IAM Identity Center

Depois que o IAM Identity Center for ativado em sua AWS conta, você poderá usar o procedimento a seguir para configurar o IAM Identity Center como seu provedor confiável para Acesso Verificado.

Para criar um provedor confiável de identidade do IAM (AWS console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Provedores de confiança de Acesso Verificado e, em seguida, Criar provedor de confiança de Acesso Verificado.

  3. (Opcional) Em Tag de nome e Descrição, insira um nome e uma descrição para o provedor confiável.

  4. Em Nome de referência da política, insira um identificador para usar posteriormente ao trabalhar com regras de política.

  5. Em Tipo de provedor confiável, selecione Provedor de confiança do usuário.

  6. Em Tipo de provedor de confiança do usuário, selecione IAM Identity Center.

  7. (Opcional) Para adicionar uma tag, escolha Adicionar nova tag e insira a chave e o valor da tag.

  8. Escolha Criar provedor confiável de Acesso Verificado.

Para criar um provedor de confiança (AWS CLI) do IAM Identity Center

Excluir um provedor de confiança do IAM Identity Center

Antes de excluir um provedor confiável, você deve remover todas as configurações de endpoints e grupos da instância à qual o provedor de confiança está conectado.

Para excluir um centro de identidade do IAM (AWS console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Provedores de confiança de Acesso Verificado e, em seguida, selecione o provedor de confiança que você deseja excluir em Provedores de confiança de Acesso Verificado.

  3. Escolha Ações e, em seguida, Excluir provedor confiável de Acesso Verificado.

  4. Confirme a exclusão inserindo delete na caixa de texto.

  5. Escolha Delete (Excluir).

Para excluir um provedor de confiança (AWS CLI) do IAM Identity Center

Usando um provedor de confiança do OpenID Connect

AWS O Acesso Verificado oferece suporte a provedores de identidade que usam métodos padrão do OpenID Connect (OIDC). Você pode usar provedores compatíveis com OIDC como provedores de confiança de identidade de usuário com Acesso Verificado. No entanto, devido à grande variedade de possíveis fornecedores do OIDC, não AWS é possível testar cada integração do OIDC com o Acesso Verificado.

O Acesso Verificado obtém os dados de confiança que avalia do provedor do OIDC UserInfo Endpoint. O Scope parâmetro é usado para determinar quais conjuntos de dados confiáveis serão recuperados. Depois que os dados de confiança são recebidos, a política de Acesso Verificado é avaliada em relação a eles.

nota

O Acesso Verificado não usa dados confiáveis ID token enviados pelo provedor do OIDC ao avaliar a política do Acesso Verificado. Somente os dados confiáveis do UserInfo Endpoint são avaliados de acordo com a política.

Pré-requisitos para criar um provedor de confiança do OIDC

Você precisará coletar as seguintes informações diretamente do serviço do seu provedor de confiança:

  • Emissor

  • Endpoint de Autorização

  • Endpoint de token

  • Endpoint UserInfo

  • ID do cliente

  • Segredo do cliente

  • Escopo

Crie um provedor de confiança do OIDC

Use o procedimento a seguir para criar um OIDC como provedor de confiança.

Para criar um provedor de identidade OIDC do (AWS console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Provedores de confiança de Acesso Verificado e, em seguida, Criar provedor de confiança de Acesso Verificado.

  3. (Opcional) Em Tag de nome e Descrição, insira um nome e uma descrição para o provedor confiável.

  4. Em Nome de referência da política, insira um identificador para usar posteriormente ao trabalhar com regras de política.

  5. Em Tipo de provedor confiável, selecione Provedor de confiança do usuário.

  6. Em Tipo de provedor de confiança do usuário, selecione OIDC (OpenID Connect).

  7. Em Emissor, insira o identificador do emissor do OIDC.

  8. Em Endpoint de autorização, insira o URL completo do endpoint de autorização.

  9. Em Endpoint do token, insira o URL completo do endpoint do token.

  10. Em Endpoint do usuário, insira o URL completo do endpoint do usuário.

  11. Insira o identificador de cliente OAuth 2.0 para ID do cliente.

  12. Insira o segredo do cliente OAuth 2.0 em Segredo do cliente.

  13. Insira uma lista delimitada por espaços dos escopos definidos com seu provedor de identidade. No mínimo, o escopo “openid” é necessário para o Scope.

  14. (Opcional) Para adicionar uma tag, escolha Adicionar nova tag e insira a chave e o valor da tag.

  15. Escolha Criar provedor confiável de Acesso Verificado.

nota

Você precisará adicionar um URI de redirecionamento à lista de permissões do seu provedor OIDC. Você desejará usar o endpoint ApplicationDomain de Acesso Verificado para essa finalidade. Isso pode ser encontrado na AWS Management Console guia Detalhes do seu endpoint de Acesso Verificado ou usando o AWS CLI para descrever o endpoint. Adicione o seguinte à lista de permissões do seu provedor OIDC: https:///oauth2/idpresponse ApplicationDomain

Para criar um provedor de identidade confiável OIDC (AWS CLI)

Modificar um provedor de confiança do OIDC

Depois de criar um provedor confiável, você poderá atualizar a configuração.

Para modificar um provedor de confiança do OIDC (console) AWS

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Provedores de confiança de Acesso Verificado e, em seguida, selecione o provedor de confiança que você deseja modificar em Provedores de confiança de Acesso Verificado.

  3. Escolha Ações e, em seguida, Modificar provedor confiável de Acesso Verificado.

  4. Altere as configurações que deseja modificar.

  5. Escolha Modificar provedor confiável de Acesso Verificado.

Para modificar um provedor de confiança (AWS CLI) do OIDC

Para excluir um provedor OIDC

Antes de excluir um provedor confiável de usuários, primeiro você precisa remover todas as configurações de endpoints e grupos da instância à qual o provedor de confiança está vinculado.

Para excluir um provedor de identidade confiável OIDC do AWS (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Provedores de confiança de Acesso Verificado e, em seguida, selecione o provedor de confiança que você deseja excluir em Provedores de confiança de Acesso Verificado.

  3. Escolha Ações e, em seguida, Excluir provedor confiável de Acesso Verificado.

  4. Confirme a exclusão inserindo delete na caixa de texto.

  5. Escolha Delete (Excluir).

Para excluir um provedor de identidade confiável OIDC (AWS CLI)