建立OpenID Connect (OIDC) 身分提供者
文章推薦指數: 80 %
建立及管理OIDC 提供者(主控台) · 在導覽窗格中,請選擇Identity providers (身分提供者)。
· 在您要刪除的IAM 身分提供者旁邊,勾選核取方塊。
新的視窗將開啟。
· 在欄位中 ...
建立OpenIDConnect(OIDC)身分提供者-AWSIdentityandAccessManagementAWS文件AWSIdentityandAccessManagement使用者指南建立及管理OIDC提供者(主控台)建立及管理IAMOIDC身分提供者(AWSCLI)建立及管理OIDC身分提供者(AWSAPI)建立OpenIDConnect(OIDC)身分提供者IAMOIDC身分提供者是IAM中的實體,負責描述可支援OpenIDConnect(OIDC)標準的外部身分提供者(IdP)服務,例如,Google或Salesforce。
如果想要在OIDC相容的IdP和您的AWS帳戶之間建立信任,請使用IAMOIDC身分提供者。
在建立需要存取AWS資源的行動應用程式或Web應用程式時,這非常有用,但您不想建立自訂登入代碼或管理自己的使用者身分。
如需有關此案例的詳細資訊,請參閱關於Web聯合身分。
您可以使用AWSManagementConsole、AWSCommandLineInterface、ToolsforWindowsPowerShell或IAMAPI來建立和管理IAMOIDC身分提供者。
在您建立IAMOIDC身分提供者之後,您必須建立一個或多個IAM角色。
角色是AWS中的一個身分,並不擁有自己的憑證(如同做為使用者)。
但在此情況中,角色是以動態指派給聯合身分使用者,而該使用者由您組織的身分提供者(IdP)進行驗證。
角色可允許您組織的IdP請求暫時性安全憑證以存取AWS。
指派給角色的政策決定可在AWS中執行的聯合身分使用者。
若要為第三方身分提供者建立角色,請參閱針對第三方身分提供者建立角色(聯合身分)。
主題建立及管理OIDC提供者(主控台)建立及管理IAMOIDC身分提供者(AWSCLI)建立及管理OIDC身分提供者(AWSAPI)取得OpenIDConnect身分提供者的指紋
建立及管理OIDC提供者(主控台)
按照這些指示,在AWSManagementConsole中建立和管理IAMOIDC身分提供者。
重要如果您正在使用來自Google、Facebook或AmazonCognito的OIDC身分提供者,請勿使用此程序建立個別的IAM身分提供者。
這些OIDC身分提供者已內建於AWS,並且可供您使用。
請依照下列步驟為您的身分提供者建立新角色,請參閱建立Web身分的角色或OpenIDConnect聯合身分(主控台)。
建立IAMOIDC身分提供者(主控台)
在建立IAMOIDC身分提供者之前,您必須使用IdP來註冊您的應用程式,才能接收用戶端ID。
用戶端ID(也稱為觀眾)是您在向IdP註冊應用程式時向您發佈的應用程式的唯一識別符。
如需有關取得用戶端ID的詳細資訊,請參閱文件以取得您的IdP。
注意AWS會透過我們的信任憑證授權機構(CA)程式庫保護與某些OIDC身分提供者(IdP)的通訊,而不是使用憑證指紋來驗證您的IdP伺服器憑證。
這些OIDCIdP包括Google,以及使用AmazonS3儲存貯體來託管JSONWeb金鑰組(JWKS)端點的IdP。
在這些情況下,舊式指紋會保留在您的組態中,但不再用於驗證。
在以下網址開啟IAM主控台:https://console.aws.amazon.com/iam/。
在導覽窗格中,請選擇Identityproviders(身分提供者),然後選擇Addprovider(新增提供者)。
對於Configureprovider(設定提供者),選擇OpenIDConnect(OpenID連線)。
針對ProviderURL(提供者URL),輸入IdP的URL。
URL必須符合這些限制:
URL區分大小寫。
URL必須以https://開頭。
URL不應包含連接埠號碼。
在您的AWS帳戶中,每個IAMOIDC身分提供者必須使用唯一的URL。
選擇Getthumbprint(取得指紋)來驗證您的IdP伺服器憑證。
若要瞭解如何操作,請參閱取得OpenIDConnect身分提供者的指紋。
針對Audience(觀眾),輸入您向IdP註冊並在步驟 1中收到之應用程式的用戶端ID,這將向AWS發出請求。
如果此IdP有其他用戶端ID(也稱觀眾),則稍後可以在提供者詳細資訊頁面上新增它們。
(選用)對於Addtags(新增標籤),您可以新增鍵值組,以協助您識別和整理IdP。
您也可以使用標籤來控制對AWS資源的存取。
若要進一步了解如何標記IAMOIDC身分提供者,請參閱標記OpenIDConnect(OIDC)身分提供者。
選擇Addtag(新增標籤)。
輸入每個標籤鍵值組的值。
請確認您提供的資訊。
完成後,請選擇Addprovider(新增提供者)。
將IAM角色指派給您的身分提供者,以為受管于身分提供者的外部使用者身分提供許可,便於存取帳戶中的AWS資源。
若要進一步了解如何建立聯合身分角色,請參閱針對第三方身分提供者建立角色(聯合身分)。
新增或移除IAMOIDC身分提供者的指紋(主控台)在以下網址開啟IAM主控台:https://console.aws.amazon.com/iam/。
在導覽窗格中,請選擇Identityproviders(身分提供者)。
然後選擇您要更新的IAM身分提供者名稱。
在Thumbprints(指紋)區段中,請選擇Manage(管理)。
若要輸入新的指紋值,請選擇Addthumbprint新增指紋。
若要移除指紋,請選擇要移除的指紋旁的Remove(移除)。
注意IAMOIDC身分提供者必須至少有1個和最多可有5個指紋。
完成後,請選擇Savechanges(儲存變更)。
新增IAMOIDC身分提供者的對象(主控台)
在導覽窗格中,選擇Identityproviders(身分提供者),然後選擇您所要更新IAM身分提供者的名稱。
在Audiences(對象)區段中,選擇Actions(動作)並選取Addaudience(新增對象)。
輸入您向IdP註冊並在步驟 1中收到之應用程式的用戶端ID,這將向AWS發出請求。
然後選擇Addaudiences(新增對象)。
注意IAMOIDC身分提供者必須至少有1個和最多可有100個對象。
移除IAMOIDC身分提供者的對象(主控台)
在導覽窗格中,選擇Identityproviders(身分提供者),然後選擇您所要更新IAM身分提供者的名稱。
在Audiences(對象)區段中,選取您要移除之對象旁邊的選項按鈕,然後選取Actions(動作)。
選擇Removeaudience(移除對象)。
新的視窗將開啟。
如果您移除對象,與對象聯合的身分無法擔任與對象相關聯的角色。
在視窗中,閱讀警告,並在欄位中輸入單字remove,確認您要移除對象。
選擇Remove(移除)以移除對象。
刪除IAMOIDC身分提供者(主控台)在以下網址開啟IAM主控台:https://console.aws.amazon.com/iam/。
在導覽窗格中,請選擇Identityproviders(身分提供者)。
在您要刪除的IAM身分提供者旁邊,勾選核取方塊。
新的視窗將開啟。
在欄位中輸入單字delete,確認您要刪除提供者。
再選擇Delete(刪除)。
建立及管理IAMOIDC身分提供者(AWSCLI)
您可以使用以下AWSCLI命令,建立及管理IAMOIDC身分提供者。
建立OIDC身分提供者(AWSCLI)
(選用)若要取得AWS帳戶中所有IAMOIDC身分提供者的清單,請執行下列命令:
awsiam
list-open-id-connect-providers
若要建立新的IAMOIDC身分提供者,請執行下列命令:
awsiam
create-open-id-connect-provider
更新現有IAMOIDC身分提供者的伺服器憑證指紋清單(AWSCLI)
若要更新現有IAMOIDC身分提供者的伺服器憑證指紋清單,請執行下列命令:
awsiamupdate-open-id-connect-provider-thumbprint
標記現有的IAMOIDC身分提供者(AWSCLI)
若要標記現有IAMOIDC身分提供者,請執行下列命令:
awsiam
tag-open-id-connect-provider
列出現有IAMOIDC身分提供者(AWSCLI)的標籤
若要列出現有IAMOIDC身分提供者的標籤,請執行下列命令:
aws
iamlist-open-id-connect-provider-tags
移除IAMOIDC身分提供者(AWSCLI)的標籤
若要移除IAMOIDC身分提供者的標籤,請執行下列命令:
awsiam
untag-open-id-connect-provider
標記現有的IAMOIDC身分提供者(AWSCLI)
若要標記現有IAMOIDC身分提供者,請執行下列命令:
awsiam
tag-open-id-connect-provider
列出現有IAMOIDC身分提供者(AWSCLI)的標籤
若要列出現有IAMOIDC身分提供者的標籤,請執行下列命令:
aws
iamlist-open-id-connect-provider-tags
移除IAMOIDC身分提供者(AWSCLI)的標籤
若要移除IAMOIDC身分提供者的標籤,請執行下列命令:
awsiam
untag-open-id-connect-provider
從現有IAMOIDC身分提供者新增或移除用戶端ID(AWSCLIAPI)
(選用)若要取得AWS帳戶中所有IAMOIDC身分提供者的清單,請執行下列命令:
awsiam
list-open-id-connect-providers
(選用)若要取得有關IAMOIDC身分提供者的詳細資訊,請執行下列命令:
awsiam
get-open-id-connect-provider
若要將新的用戶端ID新增到現有IAMOIDC身分提供者,請執行下列命令:
awsiamadd-client-id-to-open-id-connect-provider
若要從現有IAMOIDC身分提供者中移除用戶端,請執行下列命令:
awsiam
remove-client-id-from-open-id-connect-provider
若要刪除IAMOIDC身分提供者(AWSCLI)
(選用)若要取得AWS帳戶中所有IAMOIDC身分提供者的清單,請執行下列命令:
awsiam
list-open-id-connect-providers
(選用)若要取得有關IAMOIDC身分提供者的詳細資訊,請執行下列命令:
awsiam
get-open-id-connect-provider
若要刪除IAMOIDC身分提供者,請執行下列命令:
awsiam
delete-open-id-connect-provider
建立及管理OIDC身分提供者(AWSAPI)
您可以使用以下IAMAPI命令來建立及管理OIDC提供者。
建立OIDC身分提供者(AWSAPI)
(選用)若要取得AWS帳戶中所有IAMOIDC身分提供者的清單,請呼叫下列操作:
ListOpenIDConnectProviders
若要建立新的IAMOIDC身分提供者,請呼叫下列操作:
CreateOpenIDConnectProvider
更新現有IAMOIDC身分提供者的伺服器憑證指紋清單(AWSAPI)
若要更新現有IAMOIDC身分提供者的伺服器憑證指紋清單,請呼叫下列操作:
UpdateOpenIDConnectProviderThumbprint
標記現有IAMOIDC身分提供者(AWSAPI)
若要標記現有IAMOIDC身分提供者,請叫用下列操作:
TagOpenIDConnectProvider
列出現有IAMOIDC身分提供者(AWSAPI)的標籤
若要列出現有IAMOIDC身分提供者的標籤,請叫用下列操作:
ListOpenIDConnectProviderTags
移除現有IAMOIDC身分提供者(AWSAPI)的標籤
若要移除現有IAMOIDC身分提供者的標籤,請叫用下列操作:
UntagOpenIDConnectProvider
標記現有IAMOIDC身分提供者(AWSAPI)
若要標記現有IAMOIDC身分提供者,請叫用下列操作:
TagOpenIDConnectProvider
列出現有IAMOIDC身分提供者(AWSAPI)的標籤
若要列出現有IAMOIDC身分提供者的標籤,請叫用下列操作:
ListOpenIDConnectProviderTags
移除現有IAMOIDC身分提供者(AWSAPI)的標籤
若要移除現有IAMOIDC身分提供者的標籤,請叫用下列操作:
UntagOpenIDConnectProvider
從現有IAMOIDC身分提供者新增或移除用戶端ID(AWSAPI)
(選用)若要取得AWS帳戶中所有IAMOIDC身分提供者的清單,請呼叫下列操作:
ListOpenIDConnectProviders
(選用)若要取得有關IAMOIDC身分提供者的詳細資訊,請呼叫下列操作:
GetOpenIDConnectProvider
若要將新的用戶端ID新增到現有IAMOIDC身分提供者,請呼叫下列操作:
AddClientIDToOpenIDConnectProvider
若要從現有IAMOIDC身分提供者中移除用戶端ID,請呼叫下列操作:
RemoveClientIDFromOpenIDConnectProvider
刪除OIDC身分提供者(AWSAPI)
(選用)若要取得AWS帳戶中所有IAMOIDC身分提供者的清單,請呼叫下列操作:
ListOpenIDConnectProviders
(選用)若要取得有關IAMOIDC身分提供者的詳細資訊,請呼叫下列操作:
GetOpenIDConnectProvider
若要刪除IAMOIDC身分提供者,請呼叫下列操作:
DeleteOpenIDConnectProvider
文件慣用形式建立IAM身分提供者取得OIDC身分提供者的指紋此頁面是否有幫助?-是感謝您,讓我們知道我們做得很好!若您有空,歡迎您告知我們值得讚許的地方,這樣才能保持良好服務。
此頁面是否有幫助?-否感謝讓我們知道此頁面仍須改善。
很抱歉,讓您失望。
若您有空,歡迎您提供改善文件的方式。
延伸文章資訊
- 1OpenID Connect 疑難排解
- 2使用OpenID Connect 整合服務提供者作為連線應用程式
若要整合服務提供者和Salesforce 組織,您可以使用會實作OpenID Connect 來進行使用者驗證之連線應用程式。 ... 讀取、建立、更新或刪除連線的應用程式:.
- 3使用OPENID 帳號申請「教育部教育雲端帳號」 及啟用Google ...
2、請把.kh 刪除,與Openid 帳號相同,以便後續管理。 步驟九:請填寫申請人的Openid 密碼. 1、密碼請與Openid 原始密碼設定相同,以便後續管理。
- 4【問題】無名app 我是不是該換手機了 - 巴哈姆特
... 查圖像叫openid 但我沒下載呀Google play搜尋也沒有強制停止不知有沒有用沒有解除安裝的選項會跟我下載Alexa有關嗎我到也沒用alexa就刪除了以上.
- 5建立OpenID Connect (OIDC) 身分提供者
建立及管理OIDC 提供者(主控台) · 在導覽窗格中,請選擇Identity providers (身分提供者)。 · 在您要刪除的IAM 身分提供者旁邊,勾選核取方塊。新的視窗將開啟。 · ...