Verified Access 的使用者身分信任提供者 - AWS 已驗證的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Verified Access 的使用者身分信任提供者

您可以選擇使用 AWS IAM Identity Center 或 OpenID Connect 相容的使用者身分信任提供者。

使用 IAM Identity Center 作為信任提供者

您可以使用 AWS IAM Identity Center 作為具有 AWS Verified Access 的使用者身分信任提供者。

先決條件和考量事項

  • 您的 IAM Identity Center 執行個體必須是 AWS Organizations 執行個體。獨立 AWS 帳戶 IAM Identity Center 執行個體將無法運作。

  • 您的 IAM Identity Center 執行個體必須在您要在其中建立驗證存取信任提供者的相同 AWS 區域中啟用。

  • 已驗證的存取可以提供存取權給 IAM Identity Center 中指派給最多 1,000 個群組的使用者。

如需不同執行個體類型的詳細資訊,請參閱 使用者指南中的管理 IAM Identity Center 的組織和帳戶執行個體。 AWS IAM Identity Center

建立 IAM Identity Center 信任提供者

在 AWS 您的帳戶上啟用 IAM Identity Center 後,您可以使用下列程序將 IAM Identity Center 設定為 Verified Access 的信任提供者。

若要建立 IAM Identity Center 信任提供者AWS (主控台)
  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇驗證存取信任提供者 ,然後選擇建立驗證存取信任提供者

  3. (選用) 針對名稱標籤描述 ,輸入信任提供者的名稱和描述。

  4. 對於政策參考名稱 ,輸入在稍後使用政策規則時使用的識別符。

  5. 信任提供者類型 下,選取使用者信任提供者

  6. 使用者信任提供者類型 下,選取IAM身分中心

  7. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  8. 選擇建立已驗證的存取信任提供者

若要建立 IAM Identity Center 信任提供者 (AWS CLI)

刪除 IAM Identity Center 信任提供者

在刪除信任提供者之前,您必須從信任提供者連接的執行個體中移除所有端點和群組組態。

若要刪除 IAM Identity Center 信任提供者AWS (主控台)
  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇 Verified Access 信任提供者 ,然後在 Verified Access 信任提供者 下選取要刪除的信任提供者

  3. 選擇動作 ,然後選擇刪除已驗證的存取信任提供者

  4. 在文字方塊delete中輸入 以確認刪除。

  5. 選擇 刪除

若要刪除 IAM Identity Center 信任提供者 (AWS CLI)

使用 OpenID Connect 信任提供者

AWS Verified Access 支援使用標準 OpenID Connect (OIDC) 方法的身分提供者。您可以使用OIDC相容的提供者作為具有 Verified Access 的使用者身分信任提供者。但是,由於潛在OIDC提供者的範圍廣泛, AWS 無法測試與 Verified Access 的各項OIDC整合。

Verified Access 會從OIDC提供者的 取得評估的信任資料UserInfo Endpoint。參數Scope用於判斷要擷取的信任資料集。收到信任資料後,會針對已驗證的存取政策進行評估。

注意

驗證存取在評估驗證存取政策時,不會使用OIDC提供者ID token傳送的信任資料。只有來自 的信任資料UserInfo Endpoint才會根據 政策進行評估。

建立OIDC信任提供者的先決條件

您需要直接從信任提供者服務收集下列資訊:

  • 發行者

  • 授權端點

  • 權杖端點

  • UserInfo 端點

  • 用戶端 ID

  • Client secret (用戶端密碼)

  • 範圍

建立OIDC信任提供者

使用下列程序,將 建立OIDC為信任提供者。

建立OIDC信任提供者AWS (主控台)
  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇驗證存取信任提供者 ,然後選擇建立驗證存取信任提供者

  3. (選用) 針對名稱標籤描述 ,輸入信任提供者的名稱和描述。

  4. 對於政策參考名稱 ,輸入在稍後使用政策規則時使用的識別符。

  5. 信任提供者類型 下,選取使用者信任提供者

  6. 使用者信任提供者類型 下,選取 OIDC(OpenID Connect)

  7. 針對發行者 ,輸入OIDC發行者的識別碼。

  8. 對於授權端點 ,輸入授權端點URL的完整內容。

  9. 對於權杖端點 ,輸入權杖端點URL的完整內容。

  10. 對於使用者端點 ,輸入使用者端點URL的完整內容。

  11. 輸入用戶端 ID OAuth 的 2.0 用戶端識別碼。

  12. 輸入用戶端秘密 OAuth 的 2.0 用戶端秘密

  13. 輸入由您的身分提供者定義的以空格分隔的範圍清單。範圍 至少需要「開放」範圍

  14. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  15. 選擇建立已驗證的存取信任提供者

注意

您需要將重新導向URI新增至OIDC提供者的允許清單。為此,您需要使用 Verified Access 端點ApplicationDomain的 。這可以在 中 AWS Management Console、驗證存取端點的詳細資訊索引標籤下,或使用 描述端點 AWS CLI 。將下列項目新增至OIDC提供者的允許清單:https://ApplicationDomain//oauth2/idpresponse

建立OIDC信任提供者 (AWS CLI)

修改OIDC信任提供者

建立信任提供者之後,您可以更新其組態。

修改OIDC信任提供者AWS (主控台)
  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇 Verified Access 信任提供者 ,然後在 Verified Access 信任提供者 下選取要修改的信任提供者

  3. 選擇動作 ,然後選擇修改已驗證的存取信任提供者

  4. 修改您要變更的選項。

  5. 選擇修改已驗證的存取信任提供者

修改OIDC信任提供者 (AWS CLI)

刪除OIDC信任提供者

在刪除使用者信任提供者之前,您必須先從信任提供者連接的執行個體中移除所有端點和群組組態。

刪除OIDC信任提供者AWS (主控台)
  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇 Verified Access 信任提供者 ,然後在 Verified Access 信任提供者 下選取要刪除的信任提供者

  3. 選擇動作 ,然後選擇刪除已驗證的存取信任提供者

  4. 在文字方塊delete中輸入 以確認刪除。

  5. 選擇 刪除

刪除OIDC信任提供者 (AWS CLI)