建立OpenID Connect (OIDC) 身分提供者

文章推薦指數: 80 %
投票人數:10人

建立及管理OIDC 提供者(主控台) · 在導覽窗格中,請選擇Identity providers (身分提供者)。

· 在您要刪除的IAM 身分提供者旁邊,勾選核取方塊。

新的視窗將開啟。

· 在欄位中 ... 建立OpenIDConnect(OIDC)身分提供者-AWSIdentityandAccessManagementAWS文件AWSIdentityandAccessManagement使用者指南建立及管理OIDC提供者(主控台)建立及管理IAMOIDC身分提供者(AWSCLI)建立及管理OIDC身分提供者(AWSAPI)建立OpenIDConnect(OIDC)身分提供者IAMOIDC身分提供者是IAM中的實體,負責描述可支援OpenIDConnect(OIDC)標準的外部身分提供者(IdP)服務,例如,Google或Salesforce。

如果想要在OIDC相容的IdP和您的AWS帳戶之間建立信任,請使用IAMOIDC身分提供者。

在建立需要存取AWS資源的行動應用程式或Web應用程式時,這非常有用,但您不想建立自訂登入代碼或管理自己的使用者身分。

如需有關此案例的詳細資訊,請參閱關於Web聯合身分。

您可以使用AWSManagementConsole、AWSCommandLineInterface、ToolsforWindowsPowerShell或IAMAPI來建立和管理IAMOIDC身分提供者。

在您建立IAMOIDC身分提供者之後,您必須建立一個或多個IAM角色。

角色是AWS中的一個身分,並不擁有自己的憑證(如同做為使用者)。

但在此情況中,角色是以動態指派給聯合身分使用者,而該使用者由您組織的身分提供者(IdP)進行驗證。

角色可允許您組織的IdP請求暫時性安全憑證以存取AWS。

指派給角色的政策決定可在AWS中執行的聯合身分使用者。

若要為第三方身分提供者建立角色,請參閱針對第三方身分提供者建立角色(聯合身分)。

主題建立及管理OIDC提供者(主控台)建立及管理IAMOIDC身分提供者(AWSCLI)建立及管理OIDC身分提供者(AWSAPI)取得OpenIDConnect身分提供者的指紋 建立及管理OIDC提供者(主控台) 按照這些指示,在AWSManagementConsole中建立和管理IAMOIDC身分提供者。

重要如果您正在使用來自Google、Facebook或AmazonCognito的OIDC身分提供者,請勿使用此程序建立個別的IAM身分提供者。

這些OIDC身分提供者已內建於AWS,並且可供您使用。

請依照下列步驟為您的身分提供者建立新角色,請參閱建立Web身分的角色或OpenIDConnect聯合身分(主控台)。

建立IAMOIDC身分提供者(主控台) 在建立IAMOIDC身分提供者之前,您必須使用IdP來註冊您的應用程式,才能接收用戶端ID。

用戶端ID(也稱為觀眾)是您在向IdP註冊應用程式時向您發佈的應用程式的唯一識別符。

如需有關取得用戶端ID的詳細資訊,請參閱文件以取得您的IdP。

注意AWS會透過我們的信任憑證授權機構(CA)程式庫保護與某些OIDC身分提供者(IdP)的通訊,而不是使用憑證指紋來驗證您的IdP伺服器憑證。

這些OIDCIdP包括Google,以及使用AmazonS3儲存貯體來託管JSONWeb金鑰組(JWKS)端點的IdP。

在這些情況下,舊式指紋會保留在您的組態中,但不再用於驗證。

在以下網址開啟IAM主控台:https://console.aws.amazon.com/iam/。

在導覽窗格中,請選擇Identityproviders(身分提供者),然後選擇Addprovider(新增提供者)。

對於Configureprovider(設定提供者),選擇OpenIDConnect(OpenID連線)。

針對ProviderURL(提供者URL),輸入IdP的URL。

URL必須符合這些限制: URL區分大小寫。

URL必須以https://開頭。

URL不應包含連接埠號碼。

在您的AWS帳戶中,每個IAMOIDC身分提供者必須使用唯一的URL。

選擇Getthumbprint(取得指紋)來驗證您的IdP伺服器憑證。

若要瞭解如何操作,請參閱取得OpenIDConnect身分提供者的指紋。

針對Audience(觀眾),輸入您向IdP註冊並在步驟 1中收到之應用程式的用戶端ID,這將向AWS發出請求。

如果此IdP有其他用戶端ID(也稱觀眾),則稍後可以在提供者詳細資訊頁面上新增它們。

(選用)對於Addtags(新增標籤),您可以新增鍵值組,以協助您識別和整理IdP。

您也可以使用標籤來控制對AWS資源的存取。

若要進一步了解如何標記IAMOIDC身分提供者,請參閱標記OpenIDConnect(OIDC)身分提供者。

選擇Addtag(新增標籤)。

輸入每個標籤鍵值組的值。

請確認您提供的資訊。

完成後,請選擇Addprovider(新增提供者)。

將IAM角色指派給您的身分提供者,以為受管于身分提供者的外部使用者身分提供許可,便於存取帳戶中的AWS資源。

若要進一步了解如何建立聯合身分角色,請參閱針對第三方身分提供者建立角色(聯合身分)。

新增或移除IAMOIDC身分提供者的指紋(主控台)在以下網址開啟IAM主控台:https://console.aws.amazon.com/iam/。

在導覽窗格中,請選擇Identityproviders(身分提供者)。

然後選擇您要更新的IAM身分提供者名稱。

在Thumbprints(指紋)區段中,請選擇Manage(管理)。

若要輸入新的指紋值,請選擇Addthumbprint新增指紋。

若要移除指紋,請選擇要移除的指紋旁的Remove(移除)。

注意IAMOIDC身分提供者必須至少有1個和最多可有5個指紋。

完成後,請選擇Savechanges(儲存變更)。

新增IAMOIDC身分提供者的對象(主控台) 在導覽窗格中,選擇Identityproviders(身分提供者),然後選擇您所要更新IAM身分提供者的名稱。

在Audiences(對象)區段中,選擇Actions(動作)並選取Addaudience(新增對象)。

輸入您向IdP註冊並在步驟 1中收到之應用程式的用戶端ID,這將向AWS發出請求。

然後選擇Addaudiences(新增對象)。

注意IAMOIDC身分提供者必須至少有1個和最多可有100個對象。

移除IAMOIDC身分提供者的對象(主控台) 在導覽窗格中,選擇Identityproviders(身分提供者),然後選擇您所要更新IAM身分提供者的名稱。

在Audiences(對象)區段中,選取您要移除之對象旁邊的選項按鈕,然後選取Actions(動作)。

選擇Removeaudience(移除對象)。

新的視窗將開啟。

如果您移除對象,與對象聯合的身分無法擔任與對象相關聯的角色。

在視窗中,閱讀警告,並在欄位中輸入單字remove,確認您要移除對象。

選擇Remove(移除)以移除對象。

刪除IAMOIDC身分提供者(主控台)在以下網址開啟IAM主控台:https://console.aws.amazon.com/iam/。

在導覽窗格中,請選擇Identityproviders(身分提供者)。

在您要刪除的IAM身分提供者旁邊,勾選核取方塊。

新的視窗將開啟。

在欄位中輸入單字delete,確認您要刪除提供者。

再選擇Delete(刪除)。

建立及管理IAMOIDC身分提供者(AWSCLI) 您可以使用以下AWSCLI命令,建立及管理IAMOIDC身分提供者。

建立OIDC身分提供者(AWSCLI) (選用)若要取得AWS帳戶中所有IAMOIDC身分提供者的清單,請執行下列命令: awsiam list-open-id-connect-providers 若要建立新的IAMOIDC身分提供者,請執行下列命令: awsiam create-open-id-connect-provider 更新現有IAMOIDC身分提供者的伺服器憑證指紋清單(AWSCLI) 若要更新現有IAMOIDC身分提供者的伺服器憑證指紋清單,請執行下列命令: awsiamupdate-open-id-connect-provider-thumbprint 標記現有的IAMOIDC身分提供者(AWSCLI) 若要標記現有IAMOIDC身分提供者,請執行下列命令: awsiam tag-open-id-connect-provider 列出現有IAMOIDC身分提供者(AWSCLI)的標籤 若要列出現有IAMOIDC身分提供者的標籤,請執行下列命令: aws iamlist-open-id-connect-provider-tags 移除IAMOIDC身分提供者(AWSCLI)的標籤 若要移除IAMOIDC身分提供者的標籤,請執行下列命令: awsiam untag-open-id-connect-provider 標記現有的IAMOIDC身分提供者(AWSCLI) 若要標記現有IAMOIDC身分提供者,請執行下列命令: awsiam tag-open-id-connect-provider 列出現有IAMOIDC身分提供者(AWSCLI)的標籤 若要列出現有IAMOIDC身分提供者的標籤,請執行下列命令: aws iamlist-open-id-connect-provider-tags 移除IAMOIDC身分提供者(AWSCLI)的標籤 若要移除IAMOIDC身分提供者的標籤,請執行下列命令: awsiam untag-open-id-connect-provider 從現有IAMOIDC身分提供者新增或移除用戶端ID(AWSCLIAPI) (選用)若要取得AWS帳戶中所有IAMOIDC身分提供者的清單,請執行下列命令: awsiam list-open-id-connect-providers (選用)若要取得有關IAMOIDC身分提供者的詳細資訊,請執行下列命令: awsiam get-open-id-connect-provider 若要將新的用戶端ID新增到現有IAMOIDC身分提供者,請執行下列命令: awsiamadd-client-id-to-open-id-connect-provider 若要從現有IAMOIDC身分提供者中移除用戶端,請執行下列命令: awsiam remove-client-id-from-open-id-connect-provider 若要刪除IAMOIDC身分提供者(AWSCLI) (選用)若要取得AWS帳戶中所有IAMOIDC身分提供者的清單,請執行下列命令: awsiam list-open-id-connect-providers (選用)若要取得有關IAMOIDC身分提供者的詳細資訊,請執行下列命令: awsiam get-open-id-connect-provider 若要刪除IAMOIDC身分提供者,請執行下列命令: awsiam delete-open-id-connect-provider 建立及管理OIDC身分提供者(AWSAPI) 您可以使用以下IAMAPI命令來建立及管理OIDC提供者。

建立OIDC身分提供者(AWSAPI) (選用)若要取得AWS帳戶中所有IAMOIDC身分提供者的清單,請呼叫下列操作: ListOpenIDConnectProviders 若要建立新的IAMOIDC身分提供者,請呼叫下列操作: CreateOpenIDConnectProvider 更新現有IAMOIDC身分提供者的伺服器憑證指紋清單(AWSAPI) 若要更新現有IAMOIDC身分提供者的伺服器憑證指紋清單,請呼叫下列操作: UpdateOpenIDConnectProviderThumbprint 標記現有IAMOIDC身分提供者(AWSAPI) 若要標記現有IAMOIDC身分提供者,請叫用下列操作: TagOpenIDConnectProvider 列出現有IAMOIDC身分提供者(AWSAPI)的標籤 若要列出現有IAMOIDC身分提供者的標籤,請叫用下列操作: ListOpenIDConnectProviderTags 移除現有IAMOIDC身分提供者(AWSAPI)的標籤 若要移除現有IAMOIDC身分提供者的標籤,請叫用下列操作: UntagOpenIDConnectProvider 標記現有IAMOIDC身分提供者(AWSAPI) 若要標記現有IAMOIDC身分提供者,請叫用下列操作: TagOpenIDConnectProvider 列出現有IAMOIDC身分提供者(AWSAPI)的標籤 若要列出現有IAMOIDC身分提供者的標籤,請叫用下列操作: ListOpenIDConnectProviderTags 移除現有IAMOIDC身分提供者(AWSAPI)的標籤 若要移除現有IAMOIDC身分提供者的標籤,請叫用下列操作: UntagOpenIDConnectProvider 從現有IAMOIDC身分提供者新增或移除用戶端ID(AWSAPI) (選用)若要取得AWS帳戶中所有IAMOIDC身分提供者的清單,請呼叫下列操作: ListOpenIDConnectProviders (選用)若要取得有關IAMOIDC身分提供者的詳細資訊,請呼叫下列操作: GetOpenIDConnectProvider 若要將新的用戶端ID新增到現有IAMOIDC身分提供者,請呼叫下列操作: AddClientIDToOpenIDConnectProvider 若要從現有IAMOIDC身分提供者中移除用戶端ID,請呼叫下列操作: RemoveClientIDFromOpenIDConnectProvider 刪除OIDC身分提供者(AWSAPI) (選用)若要取得AWS帳戶中所有IAMOIDC身分提供者的清單,請呼叫下列操作: ListOpenIDConnectProviders (選用)若要取得有關IAMOIDC身分提供者的詳細資訊,請呼叫下列操作: GetOpenIDConnectProvider 若要刪除IAMOIDC身分提供者,請呼叫下列操作: DeleteOpenIDConnectProvider 文件慣用形式建立IAM身分提供者取得OIDC身分提供者的指紋此頁面是否有幫助?-是感謝您,讓我們知道我們做得很好!若您有空,歡迎您告知我們值得讚許的地方,這樣才能保持良好服務。

此頁面是否有幫助?-否感謝讓我們知道此頁面仍須改善。

很抱歉,讓您失望。

若您有空,歡迎您提供改善文件的方式。



請為這篇文章評分?