Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo di applicazioni con un emittente di token affidabile
<a name="using-apps-with-trusted-token-issuer"></a>

Gli emittenti di token affidabili consentono di utilizzare la propagazione delle identità affidabili con applicazioni che eseguono l'autenticazione all'esterno di. AWS Con gli emittenti di token affidabili, puoi autorizzare queste applicazioni a effettuare richieste per conto dei rispettivi utenti per accedere alle applicazioni gestite. AWS 

I seguenti argomenti descrivono come funzionano gli emittenti di token affidabili e forniscono indicazioni sulla configurazione.

**Topics**
+ [Panoramica degli emittenti di token affidabili](#trusted-token-issuer-overview)
+ [Prerequisiti e considerazioni per emittenti di token affidabili](#trusted-token-issuer-prerequisites)
+ [Dettagli del reclamo JTI](#trusted-token-issuer-configuration-jti-claim)
+ [Impostazioni di configurazione dell'emittente di token affidabili](trusted-token-issuer-configuration-settings.md)
+ [Configurazione di un emittente di token affidabile](setuptrustedtokenissuer.md)
+ [Sessioni di ruolo IAM con identità migliorate](trustedidentitypropagation-identity-enhanced-iam-role-sessions.md)

## Panoramica degli emittenti di token affidabili
<a name="trusted-token-issuer-overview"></a>

La propagazione affidabile delle identità fornisce un meccanismo che consente alle applicazioni che si autenticano all'esterno di AWS effettuare richieste per conto dei propri utenti utilizzando un emittente di token affidabile. Un *emittente di token affidabile* è un server di autorizzazione OAuth 2.0 che crea token firmati. Questi token autorizzano le applicazioni che avviano richieste (richieste di applicazioni) per l'accesso a (applicazioni riceventi). Servizi AWS Le applicazioni richiedenti avviano le richieste di accesso per conto degli utenti autenticati dall'emittente di token affidabile. Gli utenti sono noti sia all'emittente affidabile del token che a IAM Identity Center. 

Servizi AWS coloro che ricevono richieste gestiscono l'autorizzazione dettagliata alle proprie risorse in base agli utenti e all'appartenenza ai gruppi, come indicato nella directory di Identity Center. Servizi AWS non può utilizzare direttamente i token dell'emittente esterno del token.

Per risolvere questo problema, IAM Identity Center offre all'applicazione richiedente, o al AWS driver utilizzato dall'applicazione richiedente, un modo per scambiare il token emesso dall'emittente affidabile del token con un token generato da IAM Identity Center. Il token generato da IAM Identity Center si riferisce all'utente IAM Identity Center corrispondente. L'applicazione richiedente, o il driver, utilizza il nuovo token per avviare una richiesta all'applicazione ricevente. Poiché il nuovo token fa riferimento all'utente corrispondente in IAM Identity Center, l'applicazione ricevente può autorizzare l'accesso richiesto in base all'appartenenza dell'utente o al suo gruppo, come rappresentato in IAM Identity Center.

**Importante**  
La scelta di un server di autorizzazione OAuth 2.0 da aggiungere come emittente affidabile di token è una decisione di sicurezza che richiede un'attenta considerazione. Scegliete solo emittenti di token affidabili di cui vi fidate per eseguire le seguenti attività:  
Autentica l'utente specificato nel token.
Autorizza l'accesso di quell'utente all'applicazione ricevente. 
Genera un token che IAM Identity Center può scambiare con un token creato da IAM Identity Center. 

## Prerequisiti e considerazioni per emittenti di token affidabili
<a name="trusted-token-issuer-prerequisites"></a>

Prima di configurare un emittente di token affidabile, esamina i seguenti prerequisiti e considerazioni.
+ **Configurazione dell'emittente di token affidabile**

  È necessario configurare un server di autorizzazione OAuth 2.0 (l'emittente di token affidabile). Sebbene l'emittente affidabile di token sia in genere il provider di identità utilizzato come fonte di identità per IAM Identity Center, non è necessario che lo sia. Per informazioni su come configurare l'emittente di token affidabile, consulta la documentazione del provider di identità pertinente.
**Nota**  
Puoi configurare fino a 10 emittenti di token affidabili da utilizzare con IAM Identity Center, purché mappi l'identità di ogni utente nell'emittente di token affidabili a un utente corrispondente in IAM Identity Center.
+ Il server di autorizzazione OAuth 2.0 (l'emittente affidabile del token) che crea il token deve disporre di un endpoint di rilevamento [OpenID Connect (](https://openid.net/specs/openid-connect-discovery-1_0.html)OIDC) che IAM Identity Center può utilizzare per ottenere le chiavi pubbliche per verificare le firme dei token. Per ulteriori informazioni, consulta [URL dell'endpoint di rilevamento OIDC (URL dell'emittente)](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url).
+ **Token emessi dall'emittente di token affidabile**

  I token emessi dall'emittente affidabile di token devono soddisfare i seguenti requisiti:
  + Il token deve essere firmato e deve essere in formato [JSON Web Token (JWT)](https://datatracker.ietf.org/doc/html/rfc7519#section-3) utilizzando l'algoritmo. RS256
  + Il token deve contenere le seguenti attestazioni:
    + [Emittente](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.1) (iss): l'entità che ha emesso il token. Questo valore deve corrispondere al valore configurato nell’endpoint di individuazione di OIDC (URL dell’emittente) nell’emittente di token attendibile.
    + [Soggetto](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.2) (sub): l'utente autenticato.
    + [Pubblico](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.3) (aud): il destinatario previsto del token. Questo è l'oggetto Servizio AWS a cui si accederà dopo lo scambio del token con un token di IAM Identity Center. Per ulteriori informazioni, consulta [Reclamo Audi](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim).
    + [Ora di scadenza](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.4) (exp): l'ora dopo la quale scade il token.
  + Il token può essere un token di identità o un token di accesso.
  + Il token deve avere un attributo che può essere mappato in modo univoco a un utente IAM Identity Center.
**Nota**  
L'utilizzo di una chiave di firma personalizzata per JWTs from non Microsoft Entra ID è supportato. Per utilizzare token forniti da un emittente Microsoft Entra ID di token affidabile, non è possibile utilizzare una chiave di firma personalizzata.
+ **Reclami opzionali**

  IAM Identity Center supporta tutte le attestazioni opzionali definite nella RFC 7523. Per ulteriori informazioni, consulta la [Sezione 3: Formato JWT e requisiti di elaborazione](https://datatracker.ietf.org/doc/html/rfc7523#section-3) di questa RFC.

  Ad esempio, il token può contenere un claim [JTI (JWT ID)](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.7). Questa affermazione, se presente, impedisce che i token con lo stesso JTI vengano riutilizzati per lo scambio di token. Per ulteriori informazioni sulle dichiarazioni JTI, consulta. [Dettagli del reclamo JTI](#trusted-token-issuer-configuration-jti-claim)
+ **Configurazione di IAM Identity Center per l'utilizzo con un emittente di token affidabile**

  È inoltre necessario abilitare IAM Identity Center, configurare la fonte di identità per IAM Identity Center ed effettuare il provisioning degli utenti che corrispondono agli utenti nella directory dell'emittente del token affidabile.

  A tale scopo, devi eseguire una delle seguenti operazioni:
  + Sincronizza gli utenti in IAM Identity Center utilizzando il protocollo System for Cross-domain Identity Management (SCIM) 2.0.
  + Crea gli utenti direttamente in IAM Identity Center.

## Dettagli del reclamo JTI
<a name="trusted-token-issuer-configuration-jti-claim"></a>

Se IAM Identity Center riceve una richiesta di scambio di un token che IAM Identity Center ha già scambiato, la richiesta ha esito negativo. Per rilevare e impedire il riutilizzo di un token per lo scambio di token, puoi includere un claim JTI. IAM Identity Center protegge dalla riproduzione dei token in base alle affermazioni contenute nel token.

Non tutti i server di autorizzazione OAuth 2.0 aggiungono un'attestazione JTI ai token. Alcuni server di autorizzazione OAuth 2.0 potrebbero non consentire di aggiungere un JTI come attestazione personalizzata. OAuth I server di autorizzazione 2.0 che supportano l'uso di un'attestazione JTI potrebbero aggiungere questa dichiarazione solo ai token di identità, solo ai token di accesso o a entrambi. Per ulteriori informazioni, consulta la documentazione del tuo server di autorizzazione OAuth 2.0.

 Per informazioni sulla creazione di applicazioni che scambiano token, consulta la documentazione dell'API IAM Identity Center. Per informazioni sulla configurazione di un'applicazione gestita dal cliente per ottenere e scambiare i token corretti, consulta la documentazione dell'applicazione.

# Impostazioni di configurazione dell'emittente di token affidabili
<a name="trusted-token-issuer-configuration-settings"></a>

Le sezioni seguenti descrivono le impostazioni necessarie per configurare e utilizzare un emittente di token affidabile.

**Topics**
+ [URL dell'endpoint di rilevamento OIDC (URL dell'emittente)](#oidc-discovery-endpoint-url)
+ [Mappatura degli attributi](#trusted-token-issuer-attribute-mappings)
+ [Reclamo Audi](#trusted-token-issuer-aud-claim)

## URL dell'endpoint di rilevamento OIDC (URL dell'emittente)
<a name="oidc-discovery-endpoint-url"></a>

Quando aggiungi un emittente di token affidabile alla console IAM Identity Center, devi specificare l'URL dell'endpoint di rilevamento OIDC. A questo URL si fa comunemente riferimento con il relativo URL,. `/.well-known/openid-configuration` Nella console IAM Identity Center, questo URL è chiamato *URL dell'emittente*.

**Nota**  
È necessario incollare l'URL dell'endpoint di rilevamento *fino alla* fine. `.well-known/openid-configuration` Se `.well-known/openid-configuration` è inclusa nell'URL, la configurazione dell'emittente del token affidabile non funzionerà. Poiché IAM Identity Center non convalida questo URL, se l'URL non è formato correttamente, la configurazione dell'emittente di token affidabile fallirà senza notifica.  
L'URL dell'endpoint di rilevamento OIDC deve essere raggiungibile solo tramite le porte 80 e 443.

IAM Identity Center utilizza questo URL per ottenere informazioni aggiuntive sull'emittente affidabile del token. Ad esempio, IAM Identity Center utilizza questo URL per ottenere le informazioni necessarie per verificare i token generati dall'emittente di token affidabile. Quando aggiungi un emittente di token affidabile a IAM Identity Center, devi specificare questo URL. Per trovare l'URL, consulta la documentazione del provider del server di autorizzazione OAuth 2.0 che utilizzi per generare i token per la tua applicazione oppure contatta direttamente il provider per ricevere assistenza.

## Mappatura degli attributi
<a name="trusted-token-issuer-attribute-mappings"></a>

Le mappature degli attributi consentono a IAM Identity Center di abbinare l'utente rappresentato in un token emesso da un emittente di token affidabile a un singolo utente in IAM Identity Center. È necessario specificare la mappatura degli attributi quando si aggiunge l'emittente di token affidabile a IAM Identity Center. Questa mappatura degli attributi viene utilizzata in un claim nel token generato dall'emittente affidabile del token. Il valore nell'attestazione viene utilizzato per effettuare ricerche in IAM Identity Center. La ricerca utilizza l'attributo specificato per recuperare un singolo utente in IAM Identity Center, che verrà utilizzato come utente all'interno AWS. L'affermazione scelta deve essere mappata a un attributo in un elenco fisso di attributi disponibili nell'archivio di identità di IAM Identity Center. Puoi scegliere uno dei seguenti attributi dell'archivio di identità di IAM Identity Center: nome utente, email e ID esterno. Il valore dell'attributo specificato in IAM Identity Center deve essere unico per ogni utente.

## Reclamo Audi
<a name="trusted-token-issuer-aud-claim"></a>

Un *claim aud* identifica il pubblico (destinatari) a cui è destinato un token. Quando l'applicazione che richiede l'accesso viene autenticata tramite un provider di identità non federato a IAM Identity Center, tale provider di identità deve essere configurato come emittente di token affidabile. L'applicazione che riceve la richiesta di accesso (l'applicazione ricevente) deve scambiare il token generato dall'emittente affidabile del token con un token generato da IAM Identity Center.

Per informazioni su come ottenere i valori delle dichiarazioni aud per l'applicazione ricevente quando sono registrati nel Trusted Token Emittent, consulta la documentazione dell'emittente del token affidabile o contatta l'amministratore dell'emittente del token affidabile per ricevere assistenza.

# Configurazione di un emittente di token affidabile
<a name="setuptrustedtokenissuer"></a>

Per abilitare la propagazione affidabile dell'identità per un'applicazione che si autentica esternamente su IAM Identity Center, uno o più amministratori devono configurare un emittente di token affidabile. Un emittente di token affidabile è un server di autorizzazione OAuth 2.0 che rilascia token alle applicazioni che avviano le richieste (applicazioni richiedenti). I token autorizzano queste applicazioni ad avviare richieste per conto dei rispettivi utenti verso un'applicazione ricevente. Servizio AWS

**Topics**
+ [Coordinamento dei ruoli e delle responsabilità amministrative](#coordinating-administrative-roles-responsibilities)
+ [Attività per la configurazione di un emittente di token affidabile](#setuptrustedtokenissuer-tasks)
+ [Come aggiungere un emittente di token affidabile alla console IAM Identity Center](#how-to-add-trustedtokenissuer)
+ [Come visualizzare o modificare le impostazioni dell'emittente di token affidabili nella console IAM Identity Center](#view-edit-trusted-token-issuers)
+ [Processo di configurazione e flusso di richiesta per le applicazioni che utilizzano un emittente di token affidabile](#setuptrustedtokenissuer-setup-process-request-flow)

## Coordinamento dei ruoli e delle responsabilità amministrative
<a name="coordinating-administrative-roles-responsibilities"></a>

In alcuni casi, un singolo amministratore può eseguire tutte le attività necessarie per configurare un emittente di token affidabile. Se più amministratori eseguono queste attività, è necessario uno stretto coordinamento. La tabella seguente descrive come più amministratori potrebbero coordinarsi per configurare un emittente di token affidabile e configurare il AWS servizio per utilizzarlo. 

**Nota**  
L'applicazione può essere qualsiasi AWS servizio integrato con IAM Identity Center e che supporta la propagazione affidabile delle identità.

Per ulteriori informazioni, consulta [Attività per la configurazione di un emittente di token affidabile](#setuptrustedtokenissuer-tasks).


****  

| Ruolo | Esegue queste attività | Si coordina con | 
| --- | --- | --- | 
| Amministratore di IAM Identity Center |  Aggiunge l'IdP esterno come emittente di token affidabile alla console IAM Identity Center. Aiuta a configurare la corretta mappatura degli attributi tra IAM Identity Center e l'IdP esterno. Notifica all'amministratore del AWS servizio quando l'emittente affidabile del token viene aggiunto alla console IAM Identity Center.  |  Amministratore IdP esterno (trusted token issuer) AWS amministratore del servizio  | 
| Amministratore IdP esterno (trusted token issuer) |  Configura l'IdP esterno per l'emissione di token. Aiuta a configurare la corretta mappatura degli attributi tra IAM Identity Center e l'IdP esterno. Fornisce il nome del pubblico (Aud claim) all'amministratore del AWS servizio.  |  Amministratore di IAM Identity Center AWS amministratore del servizio  | 
| AWS amministratore del servizio |  Verifica la presenza nella console di AWS servizio dell'emittente affidabile del token. L'emittente affidabile del token sarà visibile nella console di AWS servizio dopo che l'amministratore di IAM Identity Center lo avrà aggiunto alla console IAM Identity Center. Configura il AWS servizio per utilizzare l'emittente di token affidabile.  |  Amministratore di IAM Identity Center Amministratore IdP esterno (trusted token issuer)  | 

## Attività per la configurazione di un emittente di token affidabile
<a name="setuptrustedtokenissuer-tasks"></a>

Per configurare un emittente di token affidabile, un amministratore di IAM Identity Center, un amministratore IdP esterno (trusted token issuer) e un amministratore dell'applicazione devono completare le seguenti attività. 

**Nota**  
L'applicazione può essere qualsiasi AWS servizio integrato con IAM Identity Center e che supporta la propagazione affidabile delle identità.

1. **Aggiungi l'emittente di token affidabile a IAM Identity Center**: l'amministratore di IAM Identity Center [aggiunge l'emittente di token affidabile utilizzando la console IAM Identity Center](#how-to-add-trustedtokenissuer) o. [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) Questa configurazione richiede di specificare quanto segue:
   + Un nome per l'emittente affidabile del token.
   + *L'URL dell'endpoint di rilevamento OIDC (nella console IAM Identity Center, questo URL è chiamato URL dell'emittente).* L'endpoint di rilevamento deve essere raggiungibile solo tramite le porte 80 e 443.
   + Mappatura degli attributi per la ricerca degli utenti. Questa mappatura degli attributi viene utilizzata in un claim nel token generato dall'emittente affidabile del token. Il valore nell'attestazione viene utilizzato per effettuare ricerche in IAM Identity Center. La ricerca utilizza l'attributo specificato per recuperare un singolo utente in IAM Identity Center.

1. **Connetti il AWS servizio a IAM Identity Center**: l'amministratore del AWS servizio deve connettere l'applicazione a IAM Identity Center utilizzando la console dell'applicazione o dell'applicazione APIs. 

    Dopo che l'emittente affidabile del token è stato aggiunto alla console IAM Identity Center, è visibile anche nella console di AWS servizio e può essere selezionato dall'amministratore del AWS servizio.

1. **Configura l'uso dello scambio di token**: nella console di AWS servizio, l'amministratore del servizio configura AWS il AWS servizio in modo che accetti i token emessi dall'emittente di token affidabile. Questi token vengono scambiati con token generati da IAM Identity Center. Ciò richiede di specificare il nome dell'emittente affidabile del token riportato nella fase 1 e il valore del claim Aud corrispondente al servizio. AWS 

   L'emittente affidabile del token inserisce il valore del claim Aud nel token emesso per indicare che il token è destinato all'uso da parte del servizio. AWS Per ottenere questo valore, contatta l'amministratore dell'emittente del token affidabile.

## Come aggiungere un emittente di token affidabile alla console IAM Identity Center
<a name="how-to-add-trustedtokenissuer"></a>

In un'organizzazione con più amministratori, questa attività viene eseguita da un amministratore di IAM Identity Center. Se sei l'amministratore di IAM Identity Center, devi scegliere quale IdP esterno utilizzare come emittente di token affidabile. 

**Per aggiungere un emittente di token affidabile alla console IAM Identity Center**

1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).

1. Seleziona **Impostazioni**.

1. Nella pagina **Impostazioni**, scegli la scheda **Autenticazione**.

1. In **Trusted token issuers**, scegli **Crea un emittente di token affidabile**.

1. Nella pagina **Configura un IdP esterno per l'emissione di token affidabili**, in **Dettagli sull'emittente del token affidabile**, procedi come segue:
   + Per **l'URL dell'emittente**, specifica l'[URL di rilevamento OIDC](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url) dell'IdP esterno che emetterà i token per la propagazione delle identità affidabili. È necessario specificare l'URL dell'endpoint di rilevamento fino alla versione precedente. `.well-known/openid-configuration` L'amministratore dell'IdP esterno può fornire questo URL.
**Nota**  
Nota Questo URL deve corrispondere all'URL nell'attestazione Issuer (iss) nei token emessi per la propagazione di identità affidabili. 
   + Per il **nome dell'emittente affidabile del token**, inserisci un nome per identificare questo emittente di token affidabile in IAM Identity Center e nella console dell'applicazione. 

1. In **Attributi della mappa**, procedi come segue:
   + Per **l'attributo del provider di identità**, seleziona un attributo dall'elenco da mappare a un attributo nell'archivio di identità di IAM Identity Center.
   + Per l'**attributo IAM Identity Center**, seleziona l'attributo corrispondente per la mappatura degli attributi.

1. **In **Tag (opzionale)**, scegli **Aggiungi nuovo tag**, specifica un valore per **Chiave** e, facoltativamente, per Valore.**

   Per ulteriori informazioni sui tag, consulta [Taggare le risorse AWS IAM Identity Center](tagging.md).

1. Scegli **Crea emittente di token attendibili**.

1. Una volta terminata la creazione dell'emittente di token attendibili, contatta l'amministratore dell'applicazione per comunicargli il nome dell'emittente di token attendibili, in modo che possa confermare che l'emittente di token attendibili è visibile nella console applicabile. 

1. L'amministratore dell'applicazione deve selezionare questo emittente di token affidabile nella console applicabile per consentire l'accesso degli utenti all'applicazione dalle applicazioni configurate per la propagazione delle identità affidabili. 

## Come visualizzare o modificare le impostazioni dell'emittente di token affidabili nella console IAM Identity Center
<a name="view-edit-trusted-token-issuers"></a>

Dopo aver aggiunto un emittente di token affidabile alla console IAM Identity Center, puoi visualizzare e modificare le impostazioni pertinenti. 

Se prevedi di modificare le impostazioni dell'emittente di token affidabili, tieni presente che così facendo gli utenti potrebbero perdere l'accesso a tutte le applicazioni configurate per utilizzare l'emittente di token affidabili. Per evitare di interrompere l'accesso degli utenti, consigliamo di coordinarsi con gli amministratori di tutte le applicazioni configurate per utilizzare l'emittente di token affidabile prima di modificare le impostazioni.

**Per visualizzare o modificare le impostazioni dell'emittente di token affidabili nella console IAM Identity Center**

1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).

1. Seleziona **Impostazioni**.

1. Nella pagina **Impostazioni**, scegli la scheda **Autenticazione**.

1. In **Emittenti di token affidabili**, seleziona l'emittente di token affidabile che desideri visualizzare o modificare.

1. Seleziona **Azioni**, quindi scegli **Modifica**.

1. Nella pagina **Modifica emittente di token affidabili**, visualizza o modifica le impostazioni secondo necessità. È possibile modificare il nome dell'emittente del token affidabile, le mappature degli attributi e i tag.

1. Scegli **Save changes** (Salva modifiche).

1. Nella finestra di dialogo **Modifica l'emittente del token affidabile**, viene richiesto di confermare che si desidera apportare modifiche. Scegli **Conferma**.

## Processo di configurazione e flusso di richiesta per le applicazioni che utilizzano un emittente di token affidabile
<a name="setuptrustedtokenissuer-setup-process-request-flow"></a>

Questa sezione descrive il processo di configurazione e il flusso di richiesta per le applicazioni che utilizzano un emittente di token affidabile per la propagazione dell'identità affidabile. Il diagramma seguente fornisce una panoramica di questo processo.

![\[Processo di configurazione e flussi di richiesta per le app che utilizzano Trusted Token Issuer per la propagazione affidabile delle identità\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/trusted-identity-propagation-trusted-token-issuer-request-flow.png)


I passaggi seguenti forniscono informazioni aggiuntive su questo processo.

1. Configura IAM Identity Center e l'applicazione AWS gestita ricevente per utilizzare un emittente di token affidabile. Per informazioni, consulta [Attività per la configurazione di un emittente di token affidabile](#setuptrustedtokenissuer-tasks).

1. Il flusso di richieste inizia quando un utente apre l'applicazione richiedente.

1. L'applicazione richiedente richiede un token all'emittente affidabile del token per avviare le richieste all'applicazione gestita ricevente. AWS Se l'utente non si è ancora autenticato, questo processo attiva un flusso di autenticazione. Il token contiene le seguenti informazioni:
   + L'oggetto (Sub) dell'utente.
   + L'attributo utilizzato da IAM Identity Center per cercare l'utente corrispondente in IAM Identity Center.
   + Un'affermazione di tipo audience (Aud) che contiene un valore che l'emittente affidabile del token associa all'applicazione AWS gestita ricevente. Se sono presenti altre attestazioni, non vengono utilizzate da IAM Identity Center.

1. L'applicazione richiedente, o il AWS driver che utilizza, passa il token a IAM Identity Center e richiede che il token venga scambiato con un token generato da IAM Identity Center. Se si utilizza un AWS driver, potrebbe essere necessario configurarlo per questo caso d'uso. Per ulteriori informazioni, consulta la documentazione dell'applicazione AWS gestita pertinente. 

1. IAM Identity Center utilizza l'endpoint OIDC Discovery per ottenere la chiave pubblica che può utilizzare per verificare l'autenticità del token. IAM Identity Center esegue quindi le seguenti operazioni:
   + Verifica il token.
   + Cerca nella directory di Identity Center. A tale scopo, IAM Identity Center utilizza l'attributo mappato specificato nel token.
   + Verifica che l'utente sia autorizzato ad accedere all'applicazione ricevente. Se l'applicazione AWS gestita è configurata per richiedere assegnazioni a utenti e gruppi, l'utente deve disporre di un'assegnazione diretta o basata sul gruppo all'applicazione; in caso contrario la richiesta viene rifiutata. Se l'applicazione AWS gestita è configurata per non richiedere assegnazioni a utenti e gruppi, l'elaborazione continua.
**Nota**  
AWS i servizi hanno una configurazione di impostazione predefinita che determina se sono necessarie assegnazioni per utenti e gruppi. Si consiglia di non modificare l'impostazione **Richiedi assegnazioni** per queste applicazioni se si prevede di utilizzarle con una propagazione affidabile delle identità. Anche se sono state configurate autorizzazioni granulari che consentono l'accesso degli utenti a risorse applicative specifiche, la modifica dell'impostazione **Richiedi assegnazioni** potrebbe causare comportamenti imprevisti, tra cui l'interruzione dell'accesso degli utenti a tali risorse.
   + Verifica che l'applicazione richiedente sia configurata per utilizzare ambiti validi per l'applicazione gestita ricevente. AWS 

1. Se i passaggi di verifica precedenti hanno esito positivo, IAM Identity Center crea un nuovo token. Il nuovo token è un token opaco (crittografato) che include l'identità dell'utente corrispondente in IAM Identity Center, il pubblico (Aud) dell'applicazione AWS gestita ricevente e gli ambiti che l'applicazione richiedente può utilizzare per effettuare richieste all'applicazione gestita AWS ricevente. 

1. L'applicazione richiedente, o il driver che utilizza, avvia una richiesta di risorse all'applicazione ricevente e passa il token generato da IAM Identity Center all'applicazione ricevente.

1. L'applicazione ricevente effettua chiamate a IAM Identity Center per ottenere l'identità dell'utente e gli ambiti codificati nel token. Potrebbe anche effettuare richieste per ottenere gli attributi utente o l'appartenenza ai gruppi dell'utente dalla directory di Identity Center.

1. L'applicazione ricevente utilizza la propria configurazione di autorizzazione per determinare se l'utente è autorizzato ad accedere alla risorsa dell'applicazione richiesta.

1. Se l'utente è autorizzato ad accedere alla risorsa dell'applicazione richiesta, l'applicazione ricevente risponde alla richiesta.

1. L'identità dell'utente, le azioni eseguite per suo conto e altri eventi vengono registrati nei registri e CloudTrail negli eventi dell'applicazione ricevente. Il modo specifico in cui queste informazioni vengono registrate varia in base all'applicazione.

# Sessioni di ruolo IAM con identità migliorate
<a name="trustedidentitypropagation-identity-enhanced-iam-role-sessions"></a>

[AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS) consente a un'applicazione di ottenere una sessione di ruolo IAM con identità migliorata. Le sessioni di ruolo con identità migliorata hanno un contesto di identità aggiunto che associa un identificatore utente a quello che richiamano. Servizio AWS Servizi AWS può cercare le appartenenze ai gruppi e gli attributi dell'utente in IAM Identity Center e utilizzarli per autorizzare l'accesso dell'utente alle risorse.

AWS le applicazioni ottengono sessioni di ruolo con identità migliorata effettuando richieste all'azione AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API e passando un'asserzione di contesto con l'identificatore dell'utente (`userId`) nel parametro della richiesta a. `ProvidedContexts` `AssumeRole` L'asserzione di contesto è ottenuta dal `idToken` reclamo ricevuto in risposta a una richiesta inviata a to. `SSO OIDC` [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) Quando un' AWS applicazione utilizza una sessione di ruolo con identità avanzata per accedere a una risorsa, CloudTrail registra la `userId` sessione di avvio e l'azione intrapresa. Per ulteriori informazioni, consulta [Registrazione delle sessioni di ruolo IAM con funzionalità di identità ottimizzate](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).

**Topics**
+ [Tipi di sessioni di ruolo IAM con identità migliorata](#types-identity-enhanced-iam-role-sessions)
+ [Registrazione delle sessioni di ruolo IAM con funzionalità di identità ottimizzate](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)

## Tipi di sessioni di ruolo IAM con identità migliorata
<a name="types-identity-enhanced-iam-role-sessions"></a>

AWS STS può creare due diversi tipi di sessioni di ruolo IAM con identità migliorata, a seconda dell'asserzione di contesto fornita alla richiesta. `AssumeRole` Le applicazioni che hanno ottenuto token Id da IAM Identity Center possono essere aggiunte `sts:identiy_context` (scelta consigliata) o `sts:audit_context` (supportata per la compatibilità con le versioni precedenti) alle sessioni di ruolo IAM. Una sessione di ruolo IAM con identità migliorata può avere solo una di queste asserzioni di contesto, non entrambe.

### Sessioni di ruolo IAM con identità migliorate e create con `sts:identity_context`
<a name="role_session_sts_identity_context"></a>

Quando una sessione di ruolo con identità migliorata contiene `sts:identity_context` le chiamate Servizio AWS determina se l'autorizzazione delle risorse si basa sull'utente rappresentato nella sessione di ruolo o se è basata sul ruolo. Servizi AWS che supportano l'autorizzazione basata sull'utente forniscono all'amministratore dell'applicazione i controlli per assegnare l'accesso all'utente o ai gruppi di cui l'utente è membro. 

Servizi AWS che non supportano l'autorizzazione basata sull'utente ignorano il. `sts:identity_context` CloudTrail registra l'userID dell'utente IAM Identity Center con tutte le azioni intraprese dal ruolo. Per ulteriori informazioni, consulta [Registrazione delle sessioni di ruolo IAM con funzionalità di identità ottimizzate](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).

Per ottenere questo tipo di sessione di ruolo con identità avanzata da AWS STS, le applicazioni forniscono il valore del `sts:identity_context` campo nella richiesta utilizzando il parametro request. [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)`ProvidedContexts` Usa `arn:aws:iam::aws:contextProvider/IdentityCenter` come valore per. `ProviderArn`

Per ulteriori informazioni su come si comporta l'autorizzazione, consulta la documentazione per la ricezione Servizio AWS.

### Sessioni di ruolo IAM con identità avanzate create con `sts:audit_context`
<a name="role_session_sts_audit_context"></a>

In passato, `sts:audit_context` veniva utilizzato per consentire di Servizi AWS registrare l'identità dell'utente senza utilizzarla per prendere una decisione di autorizzazione. Servizi AWS sono ora in grado di utilizzare un unico contesto `sts:identity_context` - - per raggiungere questo obiettivo e per prendere decisioni di autorizzazione. Si consiglia di utilizzare `sts:identity_context` in tutte le nuove implementazioni la propagazione affidabile delle identità.

## Registrazione delle sessioni di ruolo IAM con funzionalità di identità ottimizzate
<a name="trustedidentitypropagation-identity-enhanced-iam-role-session-logging"></a>

Quando viene effettuata una richiesta a una sessione di ruolo IAM basata sull' Servizio AWS utilizzo di un ruolo IAM con identità migliorata, l'IAM Identity Center `userId` dell'utente viene registrato nell'elemento. CloudTrail `OnBehalfOf` Il modo in cui gli eventi vengono registrati varia in base a CloudTrail . Servizio AWS Non tutti Servizi AWS registrano l'`onBehalfOf`elemento.

Di seguito è riportato un esempio di come viene registrata una richiesta effettuata a una sessione di Servizio AWS utilizzo di un ruolo con identità avanzata. CloudTrail

```
"userIdentity": {
      "type": "AssumedRole",
      "principalId": "AROAEXAMPLE:MyRole",
      "arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
      "accountId": "111111111111",
      "accessKeyId": "ASIAEXAMPLE",
      "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAEXAMPLE",
            "arn": "arn:aws:iam::111111111111:role/MyRole",
            "accountId": "111111111111",
            "userName": "MyRole"
        },
        "attributes": {
            "creationDate": "2023-12-12T13:55:22Z",
            "mfaAuthenticated": "false"
        }
    },
    "onBehalfOf": {
        "userId": "11111111-1111-1111-1111-1111111111",
        "identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
    }
}
```