用户身份信任提供商

您可以选择使用 AWS IAM Identity Center 或兼容 OpenID Connect 的用户身份信任提供商。

使用 IAM Identity Center 作为信任提供商

您可以将 AWS IAM Identity Center 用作 AWS Verified Access 的用户身份信任提供商。

先决条件和注意事项

• 您的 IAM Identity Center 实例必须是一个 AWS Organizations 实例。独立 AWS 账户 IAM Identity Center 实例将不起作用。

• 必须在要创建 Verified Access 信任提供商的同一 AWS 区域内启用 IAM Identity Center 实例。

有关不同实例类型的详细信息，请参阅《AWS IAM Identity Center 用户指南》中的 Manage organization and account instances of IAM Identity Center。

创建 IAM Identity Center 信任提供商

在您的 AWS 账户上启用 IAM Identity Center 后，您可以使用以下步骤将 IAM Identity Center 设置为 Verified Access 的信任提供商。

创建 IAM Identity Center 信任提供商（AWS 控制台）

1. 通过以下网址打开 Amazon VPC 控制台：https://console.aws.amazon.com/vpc/。

2. 在导航窗格中，选择 Verified Access 信任提供商，然后选择创建 Verified Access 信任提供商。

3. （可选）在名称标签和描述中，输入信任提供商的名称和描述。

4. 在策略参考名称中输入一个标识符，以便日后处理策略规则时使用。

5. 在信任提供商类型下，选择用户信任提供商。

6. 在用户信任提供商类型下，选择 IAM Identity Center。

7. （可选）若要添加标签，请选择 Add new tag（添加新标签），然后输入该标签的键和值。

8. 选择创建 Verified Access 信任提供商。

创建 IAM Identity Center 信任提供商 (AWS CLI)

• create-verified-access-trust-provider (AWS CLI)

删除 IAM Identity Center 信任提供商

在删除信任提供商前，必须从附加该信任提供商的实例中删除所有端点和组配置。

删除 IAM Identity Center 信任提供商（AWS 控制台）

1. 通过以下网址打开 Amazon VPC 控制台：https://console.aws.amazon.com/vpc/。

2. 在导航窗格中，选择 Verified Access 信任提供商，然后在 Verified Access 信任提供商下选择要删除的信任提供商。

3. 选择操作，然后选择删除 Verified Access 信任提供商。

4. 在文本框中输入 delete 以确认删除。

5. 选择删除。

删除 IAM Identity Center 信任提供商 (AWS CLI)

• delete-verified-access-trust-provider (AWS CLI)

使用 OpenID Connect 信任提供商

AWS Verified Access 支持使用标准 OpenID Connect (OIDC) 方法的身份提供商。您可以使用兼容 OIDC 的提供商作为 Verified Access 的用户身份信任提供商。但是，由于潜在的 OIDC 提供商数量众多，AWS 无法测试每个 OIDC 与 Verified Access 的集成。

Verified Access 从 OIDC 提供商的 UserInfo Endpoint 处获取其评估的信任数据。Scope 参数用于确定将检索哪几组信任数据。收到信任数据后，将根据该数据评估 Verified Access 策略。

注意

在评估 Verified Access 策略时，Verified Access 不使用来自 OIDC 提供商发送的 ID token 的信任数据。仅根据策略评估来自 UserInfo Endpoint 的信任数据。

内容

• 创建 OIDC 信任提供商的先决条件
• 创建 OIDC 信任提供商
• 修改 OIDC 信任提供商
• 删除 OIDC 信任提供商

创建 OIDC 信任提供商的先决条件

您需要直接从信任提供商服务中收集以下信息：

• Issuer

• 授权端点

• 令牌端点

• UserInfo 端点

• 客户端 ID

• 客户端密钥

• 范围

创建 OIDC 信任提供商

按照以下过程创建 OIDC 作为信任提供商。

创建 OIDC 信任提供商（AWS 控制台）

1. 通过以下网址打开 Amazon VPC 控制台：https://console.aws.amazon.com/vpc/。

2. 在导航窗格中，选择 Verified Access 信任提供商，然后选择创建 Verified Access 信任提供商。

3. （可选）在名称标签和描述中，输入信任提供商的名称和描述。

4. 在策略参考名称中输入一个标识符，以便日后处理策略规则时使用。

5. 在信任提供商类型下，选择用户信任提供商。

6. 在用户信任提供者类型下，选择 OIDC (OpenID Connect)。

7. 在发布者中，输入 OIDC 发布者的标识符。

8. 在授权端点中，输入授权端点的完整 URL。

9. 在令牌端点中，输入令牌端点的完整 URL。

10. 在用户端点中，输入用户端点的完整 URL。

11. 在客户端 ID 中输入 OAuth 2.0 客户端标识符。

12. 在客户端密码中输入 OAuth 2.0 客户端密码。

13. 输入由您的身份提供商定义的以空格分隔的范围列表。范围至少需要“openid”范围。

14. （可选）若要添加标签，请选择 Add new tag（添加新标签），然后输入该标签的键和值。

15. 选择创建 Verified Access 信任提供商。

注意

您需要向 OIDC 提供商的允许列表添加重定向 URI。为此，您需要使用 Verified Access 端点的 ApplicationDomain。这可以在 AWS Management Console 中找到，位置是 Verified Access 端点的详细信息选项卡下，或者使用 AWS CLI 描述端点。将以下内容添加到 OIDC 提供商的允许列表：https://ApplicationDomain/oauth2/idpresponse

创建 OIDC 信任提供商 (AWS CLI)

• create-verified-access-trust-provider (AWS CLI)

修改 OIDC 信任提供商

创建信任提供商后，您可以更新其配置。

修改 OIDC 信任提供商（AWS 控制台）

1. 通过以下网址打开 Amazon VPC 控制台：https://console.aws.amazon.com/vpc/。

2. 在导航窗格中，选择 Verified Access 信任提供商，然后在 Verified Access 信任提供商下选择要修改的信任提供商。

3. 选择操作，然后选择修改 Verified Access 信任提供商。

4. 修改要更改的选项。

5. 选择修改 Verified Access 信任提供商。

修改 OIDC 信任提供商 (AWS CLI)

• modify-verified-access-trust-provider (AWS CLI)

删除 OIDC 信任提供商

在删除用户信任提供商前，您首先需要从附加了该信任提供商的实例中删除所有端点和组配置。

删除 OIDC 信任提供商（AWS 控制台）

1. 通过以下网址打开 Amazon VPC 控制台：https://console.aws.amazon.com/vpc/。

2. 在导航窗格中，选择 Verified Access 信任提供商，然后在 Verified Access 信任提供商下选择要删除的信任提供商。

3. 选择操作，然后选择删除 Verified Access 信任提供商。

4. 在文本框中输入 delete 以确认删除。

5. 选择删除。

删除 OIDC 信任提供商 (AWS CLI)

• delete-verified-access-trust-provider (AWS CLI)