Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden Sie Anwendungen mit einem vertrauenswürdigen Token-Emittenten
Vertrauenswürdige Token-Emittenten ermöglichen es Ihnen, Trusted Identity Propagation mit Anwendungen zu verwenden, die sich außerhalb von authentifizieren. AWS Mit vertrauenswürdigen Token-Emittenten können Sie diese Anwendungen autorisieren, im Namen ihrer Benutzer Anfragen für den Zugriff auf verwaltete Anwendungen zu stellen. AWS
Die folgenden Themen beschreiben, wie vertrauenswürdige Token-Emittenten funktionieren, und bieten Anleitungen zur Einrichtung.
**Topics**
+ [Überblick über vertrauenswürdige Token-Emittenten](#trusted-token-issuer-overview)
+ [Voraussetzungen und Überlegungen für vertrauenswürdige Token-Emittenten](#trusted-token-issuer-prerequisites)
+ [Einzelheiten zum JTI-Antrag](#trusted-token-issuer-configuration-jti-claim)
+ [Konfigurationseinstellungen für vertrauenswürdigen Token-Emittenten](trusted-token-issuer-configuration-settings.md)
+ [Einen vertrauenswürdigen Token-Emittenten einrichten](setuptrustedtokenissuer.md)
+ [IAM-Rollensitzungen mit verbesserter Identität](trustedidentitypropagation-identity-enhanced-iam-role-sessions.md)
## Überblick über vertrauenswürdige Token-Emittenten
Die Verbreitung vertrauenswürdiger Identitäten bietet einen Mechanismus, mit dem Anwendungen, die AWS sich außerhalb von authentifizieren, mithilfe eines vertrauenswürdigen Token-Ausstellers Anfragen im Namen ihrer Benutzer stellen können. Ein *vertrauenswürdiger Token-Aussteller* ist ein OAuth 2.0-Autorisierungsserver, der signierte Token erstellt. Diese Token autorisieren Anwendungen, die Anfragen für den Zugriff auf (Empfangen von Anwendungen) initiieren AWS-Services(Anwendungen anfordern). Anfordernde Anwendungen initiieren Zugriffsanfragen im Namen von Benutzern, die vom vertrauenswürdigen Token-Aussteller authentifiziert werden. Die Benutzer sind sowohl dem vertrauenswürdigen Token-Aussteller als auch dem IAM Identity Center bekannt.
AWS-Services Benutzer, die Anfragen erhalten, verwalten eine detaillierte Autorisierung für ihre Ressourcen auf der Grundlage ihrer Benutzer und Gruppenzugehörigkeit, wie sie im Identity Center-Verzeichnis dargestellt sind. AWS-Services kann die Token des externen Token-Emittenten nicht direkt verwenden.
Um dieses Problem zu lösen, bietet IAM Identity Center der anfragenden Anwendung oder einem AWS Treiber, den die anfordernde Anwendung verwendet, die Möglichkeit, das vom vertrauenswürdigen Token-Aussteller ausgegebene Token gegen ein von IAM Identity Center generiertes Token auszutauschen. Das von IAM Identity Center generierte Token bezieht sich auf den entsprechenden IAM Identity Center-Benutzer. Die anfordernde Anwendung oder der Treiber verwendet das neue Token, um eine Anfrage an die empfangende Anwendung zu initiieren. Da das neue Token auf den entsprechenden Benutzer in IAM Identity Center verweist, kann die empfangende Anwendung den angeforderten Zugriff auf der Grundlage der Benutzer- oder Gruppenmitgliedschaft, wie sie in IAM Identity Center dargestellt ist, autorisieren.
**Wichtig**
Die Auswahl eines OAuth 2.0-Autorisierungsservers, der als vertrauenswürdiger Token-Aussteller hinzugefügt werden soll, ist eine Sicherheitsentscheidung, die sorgfältig geprüft werden muss. Wählen Sie nur vertrauenswürdige Token-Emittenten aus, denen Sie vertrauen, dass sie die folgenden Aufgaben ausführen:
Authentifizieren Sie den Benutzer, der im Token angegeben ist.
Autorisieren Sie den Zugriff dieses Benutzers auf die empfangende Anwendung.
Generieren Sie ein Token, das von IAM Identity Center gegen ein von IAM Identity Center erstelltes Token eingetauscht werden kann.
## Voraussetzungen und Überlegungen für vertrauenswürdige Token-Emittenten
Bevor Sie einen vertrauenswürdigen Token-Emittenten einrichten, sollten Sie sich mit den folgenden Voraussetzungen und Überlegungen vertraut machen.
+ **Konfiguration eines vertrauenswürdigen Token-Ausstellers**
Sie müssen einen OAuth 2.0-Autorisierungsserver (den vertrauenswürdigen Token-Aussteller) konfigurieren. Der vertrauenswürdige Token-Aussteller ist zwar in der Regel der Identitätsanbieter, den Sie als Identitätsquelle für IAM Identity Center verwenden, muss es aber nicht sein. Informationen zur Einrichtung des vertrauenswürdigen Token-Ausstellers finden Sie in der Dokumentation des jeweiligen Identitätsanbieters.
**Anmerkung**
Sie können bis zu 10 vertrauenswürdige Token-Aussteller für die Verwendung mit IAM Identity Center konfigurieren, sofern Sie die Identität jedes Benutzers im vertrauenswürdigen Token-Aussteller einem entsprechenden Benutzer im IAM Identity Center zuordnen.
+ Der OAuth 2.0-Autorisierungsserver (der vertrauenswürdige Token-Aussteller), der das Token erstellt, muss über einen [OpenID Connect (OIDC)](https://openid.net/specs/openid-connect-discovery-1_0.html) -Erkennungsendpunkt verfügen, über den IAM Identity Center öffentliche Schlüssel zur Überprüfung der Tokensignaturen abrufen kann. Weitere Informationen finden Sie unter [URL des OIDC-Discovery-Endpunkts (Aussteller-URL)](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url).
+ **Vom vertrauenswürdigen Token-Emittenten ausgegebene Token**
Token des vertrauenswürdigen Token-Emittenten müssen die folgenden Anforderungen erfüllen:
+ Das Token muss signiert und im Format [JSON Web Token (JWT)](https://datatracker.ietf.org/doc/html/rfc7519#section-3) sein, wobei der Algorithmus verwendet wird RS256.
+ Das Token muss die folgenden Ansprüche enthalten:
+ [Issuer](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.1) (iss) — Die Entität, die das Token ausgestellt hat. Dieser Wert muss mit dem Wert übereinstimmen, der im OIDC-Erkennungsendpunkt (Aussteller-URL) im vertrauenswürdigen Token-Aussteller konfiguriert ist.
+ [Betreff](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.2) (Sub) — Der authentifizierte Benutzer.
+ [Zielgruppe](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.3) (aud) — Der beabsichtigte Empfänger des Tokens. Auf diesen wird zugegriffen AWS-Service , nachdem das Token gegen ein Token von IAM Identity Center eingetauscht wurde. Weitere Informationen finden Sie unter [Ein Anspruch geltend machen](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim).
+ [Ablaufzeit](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.4) (exp) — Die Zeit, nach der das Token abläuft.
+ Das Token kann ein Identitätstoken oder ein Zugriffstoken sein.
+ Das Token muss über ein Attribut verfügen, das eindeutig einem IAM Identity Center-Benutzer zugeordnet werden kann.
**Anmerkung**
Die Verwendung eines benutzerdefinierten Signaturschlüssels für JWTs from Microsoft Entra ID wird nicht unterstützt. Um Token von Microsoft Entra ID einem vertrauenswürdigen Token-Aussteller zu verwenden, können Sie keinen benutzerdefinierten Signaturschlüssel verwenden.
+ **Optionale Ansprüche**
IAM Identity Center unterstützt alle optionalen Ansprüche, die in RFC 7523 definiert sind. Weitere Informationen finden Sie in [Abschnitt 3: JWT-Format und Verarbeitungsanforderungen](https://datatracker.ietf.org/doc/html/rfc7523#section-3) dieses RFC.
Das Token kann beispielsweise einen [JTI-Anspruch (JWT-ID](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.7)) enthalten. Dieser Anspruch verhindert, sofern vorhanden, dass Token mit derselben JTI für den Tokenaustausch wiederverwendet werden. Weitere Informationen zu JTI-Ansprüchen finden Sie unter. [Einzelheiten zum JTI-Antrag](#trusted-token-issuer-configuration-jti-claim)
+ **IAM Identity Center-Konfiguration für die Zusammenarbeit mit einem vertrauenswürdigen Token-Emittenten**
Sie müssen außerdem IAM Identity Center aktivieren, die Identitätsquelle für IAM Identity Center konfigurieren und Benutzer bereitstellen, die den Benutzern im Verzeichnis des vertrauenswürdigen Token-Ausstellers entsprechen.
Dazu müssen Sie einen der folgenden Schritte ausführen:
+ Synchronisieren Sie Benutzer mithilfe des SCIM 2.0-Protokolls (System for Cross-Domain Identity Management) mit dem IAM Identity Center.
+ Erstellen Sie die Benutzer direkt im IAM Identity Center.
## Einzelheiten zum JTI-Antrag
Wenn IAM Identity Center eine Anfrage zum Austausch eines Tokens erhält, das IAM Identity Center bereits ausgetauscht hat, schlägt die Anfrage fehl. Um die Wiederverwendung eines Tokens für den Token-Austausch zu erkennen und zu verhindern, können Sie einen JTI-Anspruch angeben. IAM Identity Center schützt vor der Wiederholung von Tokens, die auf den Ansprüchen im Token basieren.
Nicht alle OAuth 2.0-Autorisierungsserver fügen Tokens einen JTI-Anspruch hinzu. Bei einigen OAuth 2.0-Autorisierungsservern können Sie möglicherweise keinen JTI als benutzerdefinierten Anspruch hinzufügen. OAuth 2.0-Autorisierungsserver, die die Verwendung eines JTI-Anspruchs unterstützen, fügen diesen Anspruch möglicherweise nur zu Identitätstoken, nur Zugriffstoken oder beiden hinzu. Weitere Informationen finden Sie in der Dokumentation zu Ihrem OAuth 2.0-Autorisierungsserver.
Informationen zum Erstellen von Anwendungen, die Token austauschen, finden Sie in der IAM Identity Center API-Dokumentation. Informationen zur Konfiguration einer vom Kunden verwalteten Anwendung zum Abrufen und Austauschen der richtigen Token finden Sie in der Dokumentation zur Anwendung.
# Konfigurationseinstellungen für vertrauenswürdigen Token-Emittenten
In den folgenden Abschnitten werden die Einstellungen beschrieben, die für die Einrichtung und Verwendung eines vertrauenswürdigen Token-Ausstellers erforderlich sind.
**Topics**
+ [URL des OIDC-Discovery-Endpunkts (Aussteller-URL)](#oidc-discovery-endpoint-url)
+ [Attributzuordnung](#trusted-token-issuer-attribute-mappings)
+ [Ein Anspruch geltend machen](#trusted-token-issuer-aud-claim)
## URL des OIDC-Discovery-Endpunkts (Aussteller-URL)
Wenn Sie der IAM Identity Center-Konsole einen vertrauenswürdigen Token-Aussteller hinzufügen, müssen Sie die URL des OIDC-Discovery-Endpunkts angeben. Auf diese URL wird üblicherweise mit ihrer relativen URL, verwiesen. `/.well-known/openid-configuration` In der IAM Identity Center-Konsole wird diese URL als *Aussteller-URL* bezeichnet.
**Anmerkung**
Sie müssen die URL des Discovery-Endpunkts *bis und* ohne einfügen. `.well-known/openid-configuration` Wenn sie in der URL enthalten `.well-known/openid-configuration` ist, funktioniert die Konfiguration des vertrauenswürdigen Token-Ausstellers nicht. Da IAM Identity Center diese URL nicht validiert, schlägt die Einrichtung des vertrauenswürdigen Token-Ausstellers ohne Benachrichtigung fehl, wenn die URL nicht korrekt formatiert ist.
Die URL des OIDC-Discovery-Endpunkts darf nur über die Ports 80 und 443 erreichbar sein.
IAM Identity Center verwendet diese URL, um zusätzliche Informationen über den vertrauenswürdigen Token-Aussteller abzurufen. Beispielsweise verwendet IAM Identity Center diese URL, um die Informationen abzurufen, die zur Überprüfung der vom vertrauenswürdigen Token-Emittenten generierten Token erforderlich sind. Wenn Sie einen vertrauenswürdigen Token-Aussteller zu IAM Identity Center hinzufügen, müssen Sie diese URL angeben. Die URL finden Sie in der Dokumentation des OAuth 2.0-Autorisierungsserver-Anbieters, den Sie zum Generieren von Tokens für Ihre Anwendung verwenden, oder wenden Sie sich direkt an den Anbieter, um Unterstützung zu erhalten.
## Attributzuordnung
Mithilfe von Attributzuordnungen kann IAM Identity Center den Benutzer, der in einem von einem vertrauenswürdigen Token-Aussteller ausgegebenen Token repräsentiert wird, einem einzelnen Benutzer in IAM Identity Center zuordnen. Sie müssen die Attributzuordnung angeben, wenn Sie den vertrauenswürdigen Token-Aussteller zu IAM Identity Center hinzufügen. Diese Attributzuordnung wird in einem Anspruch in dem Token verwendet, das vom vertrauenswürdigen Token-Aussteller generiert wird. Der Wert im Anspruch wird für die Suche im IAM Identity Center verwendet. Bei der Suche wird das angegebene Attribut verwendet, um einen einzelnen Benutzer in IAM Identity Center abzurufen, der als Benutzer innerhalb von IAM Identity Center verwendet wird. AWS Der von Ihnen gewählte Anspruch muss einem Attribut in einer festen Liste verfügbarer Attribute im IAM Identity Center-Identitätsspeicher zugeordnet werden. Sie können eines der folgenden IAM Identity Center-Identitätsspeicher-Attribute wählen: Benutzername, E-Mail und externe ID. Der Wert für das Attribut, das Sie in IAM Identity Center angeben, muss für jeden Benutzer eindeutig sein.
## Ein Anspruch geltend machen
Ein *Aud-Antrag* identifiziert die Zielgruppe (Empfänger), für die ein Token bestimmt ist. Wenn sich die Anwendung, die den Zugriff anfordert, über einen Identitätsanbieter authentifiziert, der nicht mit dem IAM Identity Center verbunden ist, muss dieser Identitätsanbieter als vertrauenswürdiger Token-Aussteller eingerichtet werden. Die Anwendung, die die Zugriffsanfrage empfängt (die empfangende Anwendung), muss das vom vertrauenswürdigen Token-Aussteller generierte Token gegen ein Token austauschen, das von IAM Identity Center generiert wurde.
Informationen darüber, wie Sie die Aud-Claim-Werte für die empfangende Anwendung abrufen können, da sie beim vertrauenswürdigen Token-Aussteller registriert sind, finden Sie in der Dokumentation Ihres vertrauenswürdigen Token-Ausstellers oder wenden Sie sich an den Administrator des vertrauenswürdigen Token-Ausstellers, um Unterstützung zu erhalten.
# Einen vertrauenswürdigen Token-Emittenten einrichten
Um die Verbreitung vertrauenswürdiger Identitäten für eine Anwendung zu aktivieren, die sich extern bei IAM Identity Center authentifiziert, müssen ein oder mehrere Administratoren einen vertrauenswürdigen Token-Aussteller einrichten. Ein vertrauenswürdiger Token-Aussteller ist ein OAuth 2.0-Autorisierungsserver, der Tokens an Anwendungen ausgibt, die Anfragen initiieren (Anwendungen anfordern). Die Token autorisieren diese Anwendungen, im Namen ihrer Benutzer Anfragen an eine empfangende Anwendung (an AWS-Service) zu stellen.
**Topics**
+ [Koordinierung der administrativen Rollen und Zuständigkeiten](#coordinating-administrative-roles-responsibilities)
+ [Aufgaben zur Einrichtung eines vertrauenswürdigen Token-Emittenten](#setuptrustedtokenissuer-tasks)
+ [Wie füge ich einen vertrauenswürdigen Token-Aussteller zur IAM Identity Center-Konsole hinzu](#how-to-add-trustedtokenissuer)
+ [Wie können Sie die Einstellungen für vertrauenswürdige Token-Aussteller in der IAM Identity Center-Konsole anzeigen oder bearbeiten](#view-edit-trusted-token-issuers)
+ [Einrichtungsprozess und Anforderungsablauf für Anwendungen, die einen vertrauenswürdigen Token-Aussteller verwenden](#setuptrustedtokenissuer-setup-process-request-flow)
## Koordinierung der administrativen Rollen und Zuständigkeiten
In einigen Fällen kann ein einziger Administrator alle erforderlichen Aufgaben für die Einrichtung eines vertrauenswürdigen Token-Emittenten ausführen. Wenn mehrere Administratoren diese Aufgaben ausführen, ist eine enge Abstimmung erforderlich. In der folgenden Tabelle wird beschrieben, wie mehrere Administratoren gemeinsam einen vertrauenswürdigen Token-Aussteller einrichten und den AWS Dienst für dessen Verwendung konfigurieren können.
**Anmerkung**
Bei der Anwendung kann es sich um einen beliebigen AWS Dienst handeln, der in IAM Identity Center integriert ist und die Verbreitung vertrauenswürdiger Identitäten unterstützt.
Weitere Informationen finden Sie unter [Aufgaben zur Einrichtung eines vertrauenswürdigen Token-Emittenten](#setuptrustedtokenissuer-tasks).
****
| Rolle | Führt diese Aufgaben aus | Koordiniert mit |
| --- | --- | --- |
| IAM Identity Center-Administrator | Fügt den externen IdP als vertrauenswürdigen Token-Aussteller zur IAM Identity Center-Konsole hinzu. Hilft bei der Einrichtung der korrekten Attributzuordnung zwischen IAM Identity Center und dem externen IdP. Benachrichtigt den AWS Dienstadministrator, wenn der vertrauenswürdige Token-Aussteller der IAM Identity Center-Konsole hinzugefügt wird. | Externer IdP-Administrator (vertrauenswürdiger Token-Aussteller) AWS Dienstadministrator |
| Externer IdP-Administrator (vertrauenswürdiger Token-Aussteller) | Konfiguriert den externen IdP für die Ausgabe von Tokens. Hilft bei der Einrichtung der korrekten Attributzuordnung zwischen IAM Identity Center und dem externen IdP. Stellt dem Dienstadministrator den Namen der Zielgruppe (Aud-Anspruch) zur AWS Verfügung. | IAM Identity Center-Administrator AWS Dienstadministrator |
| AWS Dienstadministrator | Sucht in der AWS Servicekonsole nach dem vertrauenswürdigen Token-Aussteller. Der vertrauenswürdige Token-Aussteller wird in der AWS Servicekonsole angezeigt, nachdem der IAM Identity Center-Administrator ihn der IAM Identity Center-Konsole hinzugefügt hat. Konfiguriert den AWS Dienst für die Verwendung des vertrauenswürdigen Token-Ausstellers. | IAM Identity Center-Administrator Externer IdP-Administrator (vertrauenswürdiger Token-Aussteller) |
## Aufgaben zur Einrichtung eines vertrauenswürdigen Token-Emittenten
Um einen vertrauenswürdigen Token-Aussteller einzurichten, müssen ein IAM Identity Center-Administrator, ein externer IdP-Administrator (vertrauenswürdiger Token-Aussteller) und ein Anwendungsadministrator die folgenden Aufgaben ausführen.
**Anmerkung**
Bei der Anwendung kann es sich um einen beliebigen AWS Dienst handeln, der in IAM Identity Center integriert ist und die Verbreitung vertrauenswürdiger Identitäten unterstützt.
1. **Den vertrauenswürdigen Token-Aussteller zu IAM Identity Center hinzufügen — Der IAM Identity Center-Administrator** [fügt den vertrauenswürdigen Token-Aussteller mithilfe der IAM Identity Center-Konsole](#how-to-add-trustedtokenissuer) hinzu oder. [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) Für diese Konfiguration müssen Sie Folgendes angeben:
+ Ein Name für den vertrauenswürdigen Token-Emittenten.
+ *Die URL des OIDC-Discovery-Endpunkts (in der IAM Identity Center-Konsole wird diese URL als Aussteller-URL bezeichnet).* Der Discovery-Endpunkt darf nur über die Ports 80 und 443 erreichbar sein.
+ Attributzuordnung für die Benutzersuche. Diese Attributzuordnung wird in einem Anspruch in dem Token verwendet, das vom vertrauenswürdigen Token-Emittenten generiert wird. Der Wert im Anspruch wird für die Suche im IAM Identity Center verwendet. Die Suche verwendet das angegebene Attribut, um einen einzelnen Benutzer in IAM Identity Center abzurufen.
1. **Connect AWS Dienst mit dem IAM Identity Center** verbinden — Der AWS Dienstadministrator muss die Anwendung mit dem IAM Identity Center verbinden, indem er die Konsole für die Anwendung oder die Anwendung verwendet. APIs
Nachdem der vertrauenswürdige Token-Aussteller der IAM Identity Center-Konsole hinzugefügt wurde, ist er auch in der AWS Servicekonsole sichtbar und kann vom Service-Administrator ausgewählt werden. AWS
1. **Konfigurieren Sie die Verwendung des Token-Austauschs** — In der AWS Servicekonsole konfiguriert AWS der AWS Service-Administrator den Service so, dass er vom vertrauenswürdigen Token-Aussteller ausgegebene Token akzeptiert. Diese Token werden gegen vom IAM Identity Center generierte Token ausgetauscht. Dazu müssen Sie den Namen des vertrauenswürdigen Token-Ausstellers aus Schritt 1 und den Aud-Claim-Wert angeben, der AWS dem Service entspricht.
Der vertrauenswürdige Token-Emittent fügt den Aud-Anspruchswert in das von ihm ausgegebene Token ein, um anzuzeigen, dass das Token für die Verwendung durch den AWS Dienst vorgesehen ist. Um diesen Wert zu erhalten, wenden Sie sich an den Administrator des vertrauenswürdigen Token-Ausstellers.
## Wie füge ich einen vertrauenswürdigen Token-Aussteller zur IAM Identity Center-Konsole hinzu
In einer Organisation mit mehreren Administratoren wird diese Aufgabe von einem IAM Identity Center-Administrator ausgeführt. Wenn Sie der IAM Identity Center-Administrator sind, müssen Sie auswählen, welcher externe IdP als vertrauenswürdiger Token-Aussteller verwendet werden soll.
**Um einen vertrauenswürdigen Token-Aussteller zur IAM Identity Center-Konsole hinzuzufügen**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite **Einstellungen** die Registerkarte **Authentifizierung** aus.
1. Wählen Sie unter **Vertrauenswürdige Token-Aussteller die** Option **Vertrauenswürdigen Token-Aussteller erstellen** aus.
1. Gehen Sie auf der Seite **Einen externen IdP für die Ausgabe vertrauenswürdiger Token einrichten** unter **Informationen zum vertrauenswürdigen Token-Emittenten** wie folgt vor:
+ Geben Sie für **Issuer URL** die [OIDC-Discovery-URL](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url) des externen IdP an, der Token für die Verbreitung vertrauenswürdiger Identitäten ausstellt. Sie müssen die URL des Discovery-Endpunkts bis und danach angeben. `.well-known/openid-configuration` Der Administrator des externen IdP kann diese URL bereitstellen.
**Anmerkung**
Hinweis: Diese URL muss mit der URL im Anspruch des Ausstellers (iss) in Tokens übereinstimmen, die für die Weitergabe vertrauenswürdiger Identitäten ausgegeben werden.
+ Geben Sie unter **Name des vertrauenswürdigen Token-Ausstellers** einen Namen ein, um diesen vertrauenswürdigen Token-Aussteller im IAM Identity Center und in der Anwendungskonsole zu identifizieren.
1. Gehen Sie unter **Attribute zuordnen** wie folgt vor:
+ Wählen Sie **unter Identity Provider-Attribut** ein Attribut aus der Liste aus, das einem Attribut im IAM Identity Center-Identitätsspeicher zugeordnet werden soll.
+ Wählen Sie für das **IAM Identity Center-Attribut** das entsprechende Attribut für die Attributzuordnung aus.
1. Wählen Sie unter **Tags (optional)** die Option **Neues Tag hinzufügen** aus, geben Sie einen Wert für **Schlüssel** und optional für **Wert** an.
Informationen zu Tags siehe [Ressourcen taggen AWS IAM Identity Center](tagging.md).
1. Wählen Sie **Vertrauenswürdigen Token-Aussteller erstellen** aus.
1. Wenn Sie mit der Erstellung des vertrauenswürdigen Token-Ausstellers fertig sind, wenden Sie sich an den Anwendungsadministrator, um ihm den Namen des vertrauenswürdigen Token-Ausstellers mitzuteilen, damit er bestätigen kann, dass der vertrauenswürdige Token-Aussteller in der entsprechenden Konsole sichtbar ist.
1. Der Anwendungsadministrator muss diesen vertrauenswürdigen Token-Aussteller in der entsprechenden Konsole auswählen, um Benutzern den Zugriff auf die Anwendung über Anwendungen zu ermöglichen, die für die Weitergabe vertrauenswürdiger Identitäten konfiguriert sind.
## Wie können Sie die Einstellungen für vertrauenswürdige Token-Aussteller in der IAM Identity Center-Konsole anzeigen oder bearbeiten
Nachdem Sie der IAM Identity Center-Konsole einen vertrauenswürdigen Token-Aussteller hinzugefügt haben, können Sie die entsprechenden Einstellungen anzeigen und bearbeiten.
Wenn Sie beabsichtigen, die Einstellungen des vertrauenswürdigen Token-Ausstellers zu bearbeiten, denken Sie daran, dass Benutzer dadurch den Zugriff auf alle Anwendungen verlieren können, die für die Verwendung des vertrauenswürdigen Token-Ausstellers konfiguriert sind. Um eine Unterbrechung des Benutzerzugriffs zu vermeiden, empfehlen wir, dass Sie sich mit den Administratoren aller Anwendungen abstimmen, die für die Verwendung des vertrauenswürdigen Token-Ausstellers konfiguriert sind, bevor Sie die Einstellungen bearbeiten.
**So können Sie die Einstellungen für vertrauenswürdige Token-Aussteller in der IAM Identity Center-Konsole anzeigen oder bearbeiten**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite **„Einstellungen**“ die Registerkarte **Authentifizierung** aus.
1. Wählen Sie unter **Vertrauenswürdige Token-Aussteller** den vertrauenswürdigen Token-Aussteller aus, den Sie anzeigen oder bearbeiten möchten.
1. Wählen Sie **Actions** und anschließend **Bearbeiten**.
1. Auf der Seite **Vertrauenswürdigen Token-Aussteller bearbeiten** können Sie die Einstellungen nach Bedarf anzeigen oder bearbeiten. Sie können den Namen des vertrauenswürdigen Token-Ausstellers, die Attributzuordnungen und die Tags bearbeiten.
1. Wählen Sie **Änderungen speichern ** aus.
1. Im Dialogfeld **„Vertrauenswürdigen Token-Aussteller bearbeiten**“ werden Sie aufgefordert, zu bestätigen, dass Sie Änderungen vornehmen möchten. Wählen Sie **Bestätigen** aus.
## Einrichtungsprozess und Anforderungsablauf für Anwendungen, die einen vertrauenswürdigen Token-Aussteller verwenden
In diesem Abschnitt werden der Einrichtungsprozess und der Anforderungsablauf für Anwendungen beschrieben, die einen vertrauenswürdigen Token-Aussteller für die Weitergabe vertrauenswürdiger Identitäten verwenden. Das folgende Diagramm bietet einen Überblick über diesen Prozess.
![\[Einrichtung von Prozess- und Anforderungsabläufen für Apps, die einen vertrauenswürdigen Token-Aussteller für die Verbreitung vertrauenswürdiger Identitäten verwenden\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/trusted-identity-propagation-trusted-token-issuer-request-flow.png)
Die folgenden Schritte bieten zusätzliche Informationen zu diesem Prozess.
1. Richten Sie das IAM Identity Center und die empfangende AWS verwaltete Anwendung so ein, dass sie einen vertrauenswürdigen Token-Aussteller verwenden. Weitere Informationen finden Sie unter [Aufgaben zur Einrichtung eines vertrauenswürdigen Token-Emittenten](#setuptrustedtokenissuer-tasks).
1. Der Anforderungsablauf beginnt, wenn ein Benutzer die anfordernde Anwendung öffnet.
1. Die anfordernde Anwendung fordert vom vertrauenswürdigen Token-Aussteller ein Token an, um Anfragen an die empfangende AWS verwaltete Anwendung zu initiieren. Wenn sich der Benutzer noch nicht authentifiziert hat, löst dieser Prozess einen Authentifizierungsablauf aus. Das Token enthält die folgenden Informationen:
+ Der Betreff (Sub) des Benutzers.
+ Das Attribut, das IAM Identity Center verwendet, um den entsprechenden Benutzer in IAM Identity Center zu suchen.
+ Ein Zielgruppenanspruch (Aud), der einen Wert enthält, den der vertrauenswürdige Token-Aussteller der empfangenden AWS verwalteten Anwendung zuordnet. Wenn andere Ansprüche vorhanden sind, werden sie vom IAM Identity Center nicht verwendet.
1. Die anfordernde Anwendung oder der von ihr verwendete AWS Treiber leitet das Token an IAM Identity Center weiter und fordert den Austausch des Tokens gegen ein von IAM Identity Center generiertes Token an. Wenn Sie einen AWS Treiber verwenden, müssen Sie den Treiber möglicherweise für diesen Anwendungsfall konfigurieren. Weitere Informationen finden Sie in der Dokumentation der entsprechenden AWS verwalteten Anwendung.
1. IAM Identity Center verwendet den OIDC Discovery-Endpunkt, um den öffentlichen Schlüssel abzurufen, mit dem es die Authentizität des Tokens überprüfen kann. IAM Identity Center geht dann wie folgt vor:
+ Überprüft das Token.
+ Durchsucht das Identity Center-Verzeichnis. Zu diesem Zweck verwendet IAM Identity Center das zugeordnete Attribut, das im Token angegeben ist.
+ Überprüft, ob der Benutzer berechtigt ist, auf die empfangende Anwendung zuzugreifen. Wenn die AWS verwaltete Anwendung so konfiguriert ist, dass Zuweisungen an Benutzer und Gruppen erforderlich sind, muss der Benutzer über eine direkte oder gruppenbasierte Zuweisung zur Anwendung verfügen. Andernfalls wird die Anfrage abgelehnt. Wenn die AWS verwaltete Anwendung so konfiguriert ist, dass keine Benutzer- und Gruppenzuweisungen erforderlich sind, wird die Verarbeitung fortgesetzt.
**Anmerkung**
AWS Dienste verfügen über eine Standardeinstellungskonfiguration, die bestimmt, ob Zuweisungen für Benutzer und Gruppen erforderlich sind. Es wird empfohlen, die Einstellung „**Zuweisungen erforderlich**“ für diese Anwendungen nicht zu ändern, wenn Sie sie zusammen mit der Weitergabe vertrauenswürdiger Identitäten verwenden möchten. Selbst wenn Sie detaillierte Berechtigungen konfiguriert haben, die Benutzern den Zugriff auf bestimmte Anwendungsressourcen ermöglichen, kann das Ändern der Einstellung „**Zuweisungen erforderlich**“ zu unerwartetem Verhalten führen, einschließlich einer Unterbrechung des Benutzerzugriffs auf diese Ressourcen.
+ Überprüft, ob die anfordernde Anwendung so konfiguriert ist, dass sie gültige Bereiche für die empfangende verwaltete Anwendung verwendet. AWS
1. Wenn die vorherigen Überprüfungsschritte erfolgreich waren, erstellt IAM Identity Center ein neues Token. Das neue Token ist ein undurchsichtiges (verschlüsseltes) Token, das die Identität des entsprechenden Benutzers in IAM Identity Center, die Zielgruppe (Aud) der empfangenden AWS verwalteten Anwendung und die Bereiche enthält, die die anfordernde Anwendung verwenden kann, wenn sie Anfragen an die empfangende verwaltete Anwendung stellt. AWS
1. Die anfordernde Anwendung oder der von ihr verwendete Treiber initiiert eine Ressourcenanforderung an die empfangende Anwendung und leitet das von IAM Identity Center generierte Token an die empfangende Anwendung weiter.
1. Die empfangende Anwendung ruft das IAM Identity Center auf, um die Identität des Benutzers und die Bereiche zu ermitteln, die im Token kodiert sind. Es kann auch Anfragen zum Abrufen von Benutzerattributen oder Gruppenmitgliedschaften des Benutzers aus dem Identity Center-Verzeichnis stellen.
1. Die empfangende Anwendung verwendet ihre Autorisierungskonfiguration, um festzustellen, ob der Benutzer berechtigt ist, auf die angeforderte Anwendungsressource zuzugreifen.
1. Wenn der Benutzer berechtigt ist, auf die angeforderte Anwendungsressource zuzugreifen, beantwortet die empfangende Anwendung die Anfrage.
1. Die Identität des Benutzers, die in seinem Namen ausgeführten Aktionen und andere Ereignisse werden in den Protokollen und CloudTrail Ereignissen der empfangenden Anwendung aufgezeichnet. Die spezifische Art und Weise, wie diese Informationen protokolliert werden, ist je nach Anwendung unterschiedlich.
# IAM-Rollensitzungen mit verbesserter Identität
Das [AWS -Security-Token-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS) ermöglicht es einer Anwendung, eine identitätserweiterte IAM-Rollensitzung abzurufen. Rollensitzungen mit erweiterter Identität verfügen über einen zusätzlichen Identitätskontext, der dem aufgerufenen eine Benutzerkennung beifügt. AWS-Service AWS-Services kann die Gruppenmitgliedschaften und Attribute des Benutzers in IAM Identity Center nachschlagen und sie verwenden, um den Zugriff des Benutzers auf Ressourcen zu autorisieren.
AWS Anwendungen rufen Rollensitzungen mit erweiterter Identität ab, indem sie Anfragen an die AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API-Aktion stellen und eine Kontext-Assertion mit der Benutzerkennung (`userId`) im Parameter der `ProvidedContexts` Anfrage an übergeben. `AssumeRole` Die Kontext-Assertion wird aus dem `idToken` Anspruch abgerufen, der als Antwort auf eine Anfrage an eingegangen ist. `SSO OIDC` [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) Wenn eine AWS Anwendung eine Rollensitzung mit erweiterter Identität für den Zugriff auf eine Ressource verwendet, werden die `userId` initiierende Sitzung und die ausgeführte Aktion CloudTrail protokolliert. Weitere Informationen finden Sie unter [Protokollierung von IAM-Rollensitzungen mit verbesserter Identität](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
**Topics**
+ [Arten von IAM-Rollensitzungen mit erweiterter Identität](#types-identity-enhanced-iam-role-sessions)
+ [Protokollierung von IAM-Rollensitzungen mit verbesserter Identität](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)
## Arten von IAM-Rollensitzungen mit erweiterter Identität
AWS STS kann zwei verschiedene Typen von IAM-Rollensitzungen mit erweiterter Identität erstellen, je nachdem, welche Kontext-Assertion in der Anfrage angegeben wurde. `AssumeRole` Anwendungen, die ID-Token von IAM Identity Center erhalten haben, können IAM-Rollensitzungen hinzufügen `sts:identiy_context` (empfohlen) oder `sts:audit_context` (aus Gründen der Abwärtskompatibilität unterstützt). Eine IAM-Rollensitzung mit erweiterter Identität kann nur eine dieser Kontext-Assertionen haben, nicht beide.
### IAM-Rollensitzungen mit verbesserter Identität, erstellt mit `sts:identity_context`
Wenn eine Rollensitzung mit erweiterter Identität `sts:identity_context` die aufgerufenen enthält, wird AWS-Service bestimmt, ob die Ressourcenautorisierung auf dem Benutzer basiert, der in der Rollensitzung vertreten ist, oder ob sie auf der Rolle basiert. AWS-Services Diese unterstützen die benutzerbasierte Autorisierung und bieten dem Administrator der Anwendung die Möglichkeit, dem Benutzer oder Gruppen, denen der Benutzer angehört, Zugriff zuzuweisen.
AWS-Services die keine benutzerbasierte Autorisierung unterstützen, ignorieren die. `sts:identity_context` CloudTrail protokolliert die userId des IAM Identity Center-Benutzers mit allen von der Rolle ausgeführten Aktionen. Weitere Informationen finden Sie unter [Protokollierung von IAM-Rollensitzungen mit verbesserter Identität](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
Um diese Art von Rollensitzung mit erweiterter Identität abzurufen AWS STS, stellen Anwendungen den Wert des `sts:identity_context` Felds in der [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)Anfrage mithilfe des Anforderungsparameters bereit. `ProvidedContexts` Verwenden Sie `arn:aws:iam::aws:contextProvider/IdentityCenter` ihn als Wert für. `ProviderArn`
Weitere Informationen zum Verhalten der Autorisierung finden Sie in der Dokumentation zum Empfang AWS-Service.
### IAM-Rollensitzungen mit verbesserter Identität, erstellt mit `sts:audit_context`
In der Vergangenheit `sts:audit_context` wurde es verwendet, um die Benutzeridentität AWS-Services zu protokollieren, ohne sie für eine Autorisierungsentscheidung zu verwenden. AWS-Services sind nun in der Lage, einen einzigen Kontext zu `sts:identity_context` verwenden, um dies zu erreichen und Autorisierungsentscheidungen zu treffen. Wir empfehlen die Verwendung von Trusted Identity Propagation `sts:identity_context` in allen neuen Bereitstellungen.
## Protokollierung von IAM-Rollensitzungen mit verbesserter Identität
Wenn eine Anfrage an eine Sitzung gestellt wird, die eine identitätserweiterte IAM-Rollensitzung AWS-Service verwendet, wird das IAM Identity Center `userId` des Benutzers im Element angemeldet. CloudTrail `OnBehalfOf` Die Art und Weise, wie Ereignisse angemeldet werden, CloudTrail hängt vom ab. AWS-Service Nicht alle AWS-Services protokollieren das `onBehalfOf` Element.
Im Folgenden finden Sie ein Beispiel dafür, wie eine Anfrage an eine Sitzung AWS-Service mit erweiterter Identität gesendet wird, angemeldet wird. CloudTrail
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:MyRole",
"arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
"accountId": "111111111111",
"accessKeyId": "ASIAEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/MyRole",
"accountId": "111111111111",
"userName": "MyRole"
},
"attributes": {
"creationDate": "2023-12-12T13:55:22Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "11111111-1111-1111-1111-1111111111",
"identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
}
}
```