Credenciales de SSO OIDC del navegador
Browser SSO OIDC es un complemento de autenticación que funciona con AWS IAM Identity Center. El complemento realiza el registro dinámico de clientes con SSO OIDC, abre el navegador predeterminado en la URL de autorización de SSO, recibe el código de autorización a través de un servidor de devolución de llamada local, lo cambia por un token de acceso de SSO y utiliza ese token para obtener credenciales temporales de AWS. El complemento utiliza el flujo de código de autorización con PKCE.
Para obtener información sobre cómo habilitar y usar IAM Identity Center, consulte Paso 1: habilitar IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.
nota
Este complemento está diseñado para entornos de escritorio de un solo usuario. En entornos compartidos como Windows Terminal Servers o Remote Desktop Services, los administradores del sistema son responsables de establecer y mantener límites de seguridad entre los usuarios.
Proveedor de credenciales
El proveedor de credenciales que se utilizará para autenticar las solicitudes de AWS. Establezca el valor del parámetro en BrowserSSOOIDC.
| Nombre del parámetro | Alias | Tipo de parámetro | Predeterminado | Valor para usar |
|---|---|---|---|---|
| CredentialsProvider | AWSCredentialsProviderClass (obsoleto) | Obligatorio | none | BrowserSSOOIDC |
URL de inicio de IAM Identity Center
La URL del portal de acceso de AWS. La acción de la API RegisterClient de IAM Identity Center utiliza este valor para el parámetro issuerUrl.
| Nombre del parámetro | Alias | Tipo de parámetro | Predeterminado |
|---|---|---|---|
| SsoStartUrl | sso_oidc_start_url | Obligatorio | none |
Región de IAM Identity Center
La Región de AWS donde está configurado IAM Identity Center. El SSOOIDCClient y el SSOClient utilizan este valor para el parámetro region.
| Nombre del parámetro | Alias | Tipo de parámetro | Predeterminado |
|---|---|---|---|
| SsoOidcRegion | sso_oidc_region | Obligatorio | none |
ID de cuenta
El identificador de la Cuenta de AWS que se asigna al usuario. La acción de la API GetRoleCredentials de IAM Identity Center utiliza este valor para el parámetro accountId.
| Nombre del parámetro | Alias | Tipo de parámetro | Predeterminado |
|---|---|---|---|
| SsoOidcAccountId | sso_oidc_account_id | Obligatorio | none |
Nombre de rol
El nombre descriptivo del rol que se asigna al usuario. El nombre que especifique para este conjunto de permisos aparece en el portal de acceso de AWS como un rol disponible. La acción de la API GetRoleCredentials de IAM Identity Center utiliza este valor para el parámetro roleName.
| Nombre del parámetro | Alias | Tipo de parámetro | Predeterminado |
|---|---|---|---|
| SsoOidcRoleName | sso_oidc_role_name | Obligatorio | none |
Puerto de escucha
El número de puerto local que se utilizará para el servidor de devolución de llamadas de OAuth 2.0. Se usa como URI de redireccionamiento. Es posible que tenga que incluir este puerto en la lista de permitidos de su red. El URI de redireccionamiento generado por defecto es http://127.0.0.1:7890/oauth/callback.
aviso
En entornos compartidos, como servidores de terminales Windows o servicios de escritorio remoto, el puerto de bucle invertido (valor predeterminado: 7890) se comparte entre todos los usuarios de la misma máquina. Los administradores de sistemas pueden mitigar los posibles riesgos de secuestro de puertos de la siguiente manera:
-
Configuración de diferentes números de puerto para diferentes grupos de usuarios
-
Uso de las políticas de seguridad de Windows para restringir el acceso a los puertos
-
Implementación del aislamiento de la red entre las sesiones de usuario
| Nombre del parámetro | Alias | Tipo de parámetro | Predeterminado |
|---|---|---|---|
| ListenPort | listen_port | Opcional | 7890 |
Tiempo de respuesta del proveedor de identidad
La duración, en segundos, antes de que el controlador deje de esperar la respuesta de autorización de SSO. El valor mínimo es de 60 segundos.
| Nombre del parámetro | Alias | Tipo de parámetro | Predeterminado |
|---|---|---|---|
| IdpResponseTimeout | Idp_response_timeout | Opcional | 120 |
Activar el almacenamiento en caché de tokens
Cuando está activado, permite que el mismo token de acceso de SSO se utilice en las conexiones del controlador. Esto impide que las herramientas de SQL que crean múltiples conexiones de controladores abran varias ventanas del navegador.
| Nombre del parámetro | Alias | Tipo de parámetro | Predeterminado |
|---|---|---|---|
| EnableTokenCaching | none | Opcional | FALSO |