Autenticación y autorización OAuth 2.0 para Amazon MQ para RabbitMQ - Amazon MQ
Configuraciones de OAuth 2.0 compatiblesValidaciones adicionales para la autenticación de OAuth 2.0

Autenticación y autorización OAuth 2.0 para Amazon MQ para RabbitMQ

Amazon MQ para RabbitMQ admite los siguientes métodos de autenticación y autorización:

Autenticación y autorización simple

En este método, los usuarios del agente se almacenan internamente en el agente de RabbitMQ y se administran a través de la consola web o la API de administración. Los permisos para vhosts, intercambios, colas y temas se configuran directamente en RabbitMQ. Este es el método predeterminado. Para obtener más información sobre este método, consulte Usuarios de agente.

Autenticación y autorización OAuth 2.0

En este método, los usuarios del agente y sus permisos los administra un proveedor de identidades (IdP) de OAuth 2.0 externo. La autenticación de los usuarios y los permisos de recursos para servidores virtuales, intercambios, colas y temas se centralizan mediante el sistema del ámbito del proveedor de OAuth 2.0. Esto simplifica la administración de usuarios y permite la integración con los sistemas de identidad existentes.

Consideraciones importantes

  • Amazon MQ para ActiveMQ no admite la integración OAuth 2.0.

  • Amazon MQ para RabbitMQ no admite el certificado de servidor emitido por una autoridad de certificación privada.

  • El complemento OAuth 2.0 de RabbitMQ no admite puntos de conexión de introspección de token ni tokens de acceso opacos. Tampoco realiza comprobaciones de revocación de tokens.

  • Debe incluir el permiso de IAM, mq:UpdateBrokerAccessConfiguration, para habilitar OAuth 2.0 en los agentes existentes.

  • Amazon MQ crea automáticamente un usuario del sistema llamado monitoring-AWS-OWNED-DO-NOT-DELETE con permisos de solo supervisión. Este usuario utiliza el sistema de autenticación interno de RabbitMQ incluso en agentes con OAuth 2.0 y está restringido únicamente al acceso a la interfaz de bucle invertido.

Para obtener información sobre cómo configurar la autenticación OAuth 2.0 para sus agentes de Amazon MQ para RabbitMQ, consulte Uso de la autenticación y autorización de OAuth 2.0.

Configuraciones de OAuth 2.0 compatibles

Amazon MQ para RabbitMQ admite todas las variables configurables del complemento OAuth 2.0 de RabbitMQ, con las siguientes excepciones:

  • auth_oauth2.https.cacertfile

  • auth_oauth2.oauth_providers.{id/index}.https.cacertfile

  • management.oauth_client_secret

    Como Amazon MQ no admite esta clave, no admitimos UAA como IdP.

  • management.oauth_resource_servers.{id/index}.oauth_client_secret

  • auth_oauth2.signing_keys.{id/index}

Validaciones adicionales para la autenticación de OAuth 2.0

Amazon MQ también aplica las siguientes validaciones adicionales para la autenticación OAuth 2.0:

  • Todas las URL deben empezar por https://.

  • Algoritmos de firma compatibles: Ed25519, Ed25519ph, Ed448, Ed448ph, EdDSA, ES256K, ES256, ES384, ES512, HS256, HS384, HS512, PS256, PS384, PS512, RS256, RS384 y RS512.