As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Aplicações gerenciadas pelo cliente
O IAM Identity Center atua como um serviço central de identidades para os usuários e grupos da sua força de trabalho. Se você já usar um provedor de identidades (IdP), o IAM Identity Center poderá se integrar ao seu IdP para que você possa provisionar usuários e grupos para o IAM Identity Center e usar o IdP para autenticação. Com uma única conexão, o IAM Identity Center representa seu IdP na frente de vários Serviços da AWS e permite que seus aplicativos OAuth 2.0 solicitem acesso aos dados nesses serviços em nome de seus usuários. Você também pode usar o IAM Identity Center para atribuir aos usuários acesso às aplicações [SAML 2.0](https://wiki.oasis-open.org/security). Isso inclui AWS serviços como o Amazon Connect e AWS Client VPN, que se integram ao IAM Identity Center usando exclusivamente SAML e, portanto, são classificados como aplicativos gerenciados pelo cliente.
+ Se seu aplicativo for compatível com **JSON Web Tokens (JWTs)**, você poderá usar o recurso confiável de propagação de identidade do IAM Identity Center para permitir que seu aplicativo solicite acesso aos dados Serviços da AWS em nome de seus usuários. A propagação de identidade confiável é baseada na Estrutura de Autorização OAuth 2.0 e inclui uma opção para os aplicativos trocarem tokens de identidade provenientes de um servidor de autorização OAuth 2.0 externo por tokens emitidos pelo IAM Identity Center e reconhecidos pelo Serviços da AWS. Para obter mais informações, consulte [Casos de uso de propagação de identidades confiáveis](trustedidentitypropagation-integrations.md).
+ Se a aplicação for compatível com **SAML 2.0**, você poderá conectá-la a uma [instância de organização do IAM Identity Center](identity-center-instances.md). Você pode usar o IAM Identity Center para atribuir acesso à aplicação SAML 2.0.
**nota**
Ao integrar aplicativos gerenciados pelo cliente com uma instância do IAM Identity Center que usa uma [chave KMS gerenciada pelo cliente](encryption-at-rest.md), verifique se o aplicativo invoca o serviço IAM Identity Center APIs para confirmar se o aplicativo precisa de permissões de chave KMS. Siga as orientações para conceder permissões de chave KMS para fluxos de trabalho personalizados nas políticas [básicas](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center) de chaves KMS do IAM Identity Center.
**Topics**
+ [
# Acesso de login único aos aplicativos SAML 2.0 e 2.0 OAuth
](customermanagedapps-saml2-oauth2.md)
+ [
# Configurar aplicações SAML 2.0 gerenciadas pelo cliente
](customermanagedapps-saml2-setup.md)
# Acesso de login único aos aplicativos SAML 2.0 e 2.0 OAuth
O IAM Identity Center permite que você forneça aos usuários acesso de login único aos aplicativos SAML 2.0 ou OAuth 2.0. Os tópicos a seguir fornecem uma visão geral de alto nível do SAML 2.0 e OAuth 2.0.
**Topics**
+ [
## SAML 2.0
](#samlfederationconcept)
+ [
## OAuth 2.0
](#oidc-concept)
## SAML 2.0
O SAML 2.0 é um padrão do setor usado para a troca segura de asserções SAML que transmitem informações sobre um usuário entre uma autoridade SAML (chamada de provedor de identidades ou IdP) e um consumidor SAML 2.0 (denominado provedor de serviços ou SP). O IAM Identity Center usa essas informações para fornecer acesso federado de login único para os usuários autorizados a usar aplicativos no AWS portal de acesso.
**nota**
O IAM Identity Center não oferece suporte à validação de assinaturas de solicitações de autenticação SAML recebidas de aplicações SAML.
## OAuth 2.0
OAuth 2.0 é um protocolo que permite que os aplicativos acessem e compartilhem dados do usuário com segurança sem compartilhar senhas. Esse recurso oferece uma maneira segura e padronizada para os usuários permitirem que as aplicações acessem seus recursos. O acesso é facilitado por diferentes fluxos de subsídios OAuth 2.0.
O IAM Identity Center permite que aplicativos executados em clientes públicos recuperem credenciais temporárias de acesso Contas da AWS e serviços de forma programática em nome de seus usuários. Clientes públicos geralmente são desktops, laptops ou outros dispositivos móveis usados para executar aplicações localmente. Exemplos de AWS aplicativos executados em clientes públicos incluem o AWS Command Line Interface (AWS CLI) e AWS Toolkit os kits de desenvolvimento de AWS software (SDKs). Para permitir que esses aplicativos obtenham credenciais, o IAM Identity Center oferece suporte a partes dos seguintes fluxos OAuth 2.0:
+ Concessão de código de autorização com Proof Key for Code Exchange (PKCE) ([RFC 6749](https://www.rfc-editor.org/rfc/rfc6749#section-4.1) e [RFC 7636](https://www.rfc-editor.org/rfc/rfc7636))
+ Concessão de autorização de dispositivo ([RFC 8628](https://datatracker.ietf.org/doc/html/rfc8628))
**nota**
Esses tipos de subsídios só podem ser usados com Serviços da AWS esse recurso. Esses serviços podem não ser compatíveis com esse tipo de concessão em todas as Regiões da AWS. Consulte a documentação relevante Serviços da AWS para diferenças regionais.
O OpenID Connect (OIDC) é um protocolo de autenticação baseado no 2.0 Framework. OAuth O OIDC especifica como usar OAuth 2.0 para autenticação. Por meio do [serviço OIDC do IAM Identity Center APIs](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_Operations.html), um aplicativo registra um cliente OAuth 2.0 e usa um desses fluxos para obter um token de acesso que fornece permissões para o IAM Identity Center protegido. APIs Uma aplicação especifica os [escopos de acesso](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#scopes-oidc) para declarar seu usuário pretendido da API. Depois que você, como administrador do IAM Identity Center, configurar sua fonte de identidades, os usuários finais da aplicação deverão concluir um processo de login, se ainda não o fizeram. Os usuários finais deverão então fornecer seu consentimento para permitir que a aplicação faça chamadas de API. Essas chamadas de API são feitas usando as permissões dos usuários. Em resposta, o IAM Identity Center retorna um token de acesso à aplicação que contém os escopos de acesso nos quais os usuários consentiram.
### Usando um fluxo de concessão OAuth 2.0
OAuth Os fluxos de concessão 2.0 só estão disponíveis por meio de aplicativos AWS gerenciados que oferecem suporte aos fluxos. Para usar um fluxo OAuth 2.0, sua instância do IAM Identity Center e todos os aplicativos AWS gerenciados compatíveis que você usa devem ser implantados em um único Região da AWS. Consulte a documentação de cada um AWS service (Serviço da AWS) para determinar a disponibilidade regional dos aplicativos AWS gerenciados e a instância do IAM Identity Center que você deseja usar.
Para usar um aplicativo que usa um fluxo OAuth 2.0, o usuário final deve inserir a URL em que o aplicativo se conectará e se registrará na sua instância do IAM Identity Center. Dependendo da aplicação, como administrador, você deve fornecer aos usuários o **URL do portal de acesso AWS ** ou o **URL do emissor** da sua instância do IAM Identity Center. Você pode encontrar essas duas configurações na página **Configurações** do [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon/). Para obter informações adicionais sobre a configuração de uma aplicação cliente, consulte a documentação da aplicação.
A experiência do usuário final ao fazer login em uma aplicação e fornecer consentimento depende do uso de [Concessão de código de autorização com PKCE](#auth-code-grant-pkce) ou [Concessão de autorização de dispositivo](#device-auth-grant) pela aplicação.
#### Concessão de código de autorização com PKCE
Esse fluxo é usado pelas aplicações executadas em um dispositivo que tem navegador.
1. Uma janela do navegador se abre.
1. Se o usuário ainda não foi autenticado, o navegador o redirecionará para a autenticação de usuário.
1. Após a autenticação, é apresentada ao usuário uma tela de consentimento que exibe as seguintes informações:
+ O nome da aplicação
+ Os escopos de acesso que a aplicação está solicitando consentimento para usar
1. O usuário pode cancelar o processo de consentimento ou dar seu consentimento, e a aplicação prossegue com o acesso segundo as permissões do usuário.
#### Concessão de autorização de dispositivo
Esse fluxo pode ser usado por aplicações executadas em um dispositivo com ou sem navegador. Quando a aplicação inicia o fluxo, apresenta um URL e um código de usuário que o usuário deverá verificar mais adiante no fluxo. O código do usuário é necessário porque a aplicação que inicia o fluxo pode estar sendo executada em um dispositivo que não é o mesmo no qual o usuário fornece consentimento. O código garante que o usuário esteja consentindo o fluxo iniciado no outro dispositivo.
**nota**
Se você tiver clientes usando o `device.sso.region.amazonaws.com`, deverá atualizar o fluxo de autorização para usar a chave de prova para troca de código (PKCE). Para obter mais informações, consulte [Como configurar a autenticação do IAM Identity Center com a AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) no *Guia do Usuário do AWS Command Line Interface *.
1. Quando o fluxo é iniciado em um dispositivo com navegador, uma janela do navegador é aberta. Quando o fluxo é iniciado em um dispositivo sem navegador, o usuário deve abrir um navegador em um outro dispositivo e acessar o URL que a aplicação apresentou.
1. Em ambos os casos, se o usuário ainda não foi autenticado, o navegador o redirecionará para fazer a autenticação de usuário.
1. Após a autenticação, é apresentada ao usuário uma tela de consentimento que exibe as seguintes informações:
+ O nome da aplicação
+ Os escopos de acesso que a aplicação está solicitando consentimento para usar
+ O código do usuário que a aplicação apresentou ao usuário
1. O usuário pode cancelar o processo de consentimento ou dar seu consentimento, e a aplicação prossegue com o acesso segundo as permissões do usuário.
### Escopos de acesso
Um *escopo* define o acesso a um serviço que pode ser acessado por meio de um fluxo OAuth 2.0. Os escopos são uma forma de o serviço, também chamado de servidor de recursos, agrupar permissões relacionadas às ações e aos recursos do serviço e especificam as operações granulares que OAuth os clientes 2.0 podem solicitar. Quando um cliente OAuth 2.0 se registra no [serviço OIDC do IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html), o cliente especifica os escopos para declarar suas ações pretendidas, para as quais o usuário deve fornecer consentimento.
OAuth Os clientes 2.0 usam `scope` valores conforme definido na [seção 3.3 de OAuth 2.0 (RFC 6749)](https://www.rfc-editor.org/rfc/rfc6749.html#section-3.3) para especificar quais permissões estão sendo solicitadas para um token de acesso. Os clientes podem especificar até 25 escopos ao solicitar um token de acesso. Quando um usuário fornece consentimento durante uma concessão de código de autorização com PKCE ou um fluxo de concessão de autorização de dispositivo, o IAM Identity Center codifica os escopos no token de acesso que ele retorna.
AWS adiciona escopos ao IAM Identity Center para obter suporte Serviços da AWS. A tabela a seguir lista os escopos compatíveis com o serviço OIDC do IAM Identity Center quando você registra um cliente público.
#### Escopos de acesso compatíveis com o serviço IAM Identity Center OIDC ao registrar um cliente público
****
| Escopo | Description | Serviços com suporte de |
| --- | --- | --- |
| sso:account:access | Acesse contas gerenciadas e conjuntos de permissões do IAM Identity Center. | Centro de Identidade do IAM |
| codewhisperer:analysis | Habilite o acesso à análise de código do Kiro. | ID do builder AWS e o IAM Identity Center |
| codewhisperer:completions | Habilite o acesso às sugestões de código em linha do Kiro. | ID do builder AWS e o IAM Identity Center |
| codewhisperer:conversations | Habilite o acesso ao chat do Kiro. | ID do builder AWS e o IAM Identity Center |
| codewhisperer:taskassist | Habilite o acesso ao Kiro Agent para desenvolvimento de software. | ID do builder AWS e o IAM Identity Center |
| codewhisperer:transformations | Habilite o acesso ao Kiro Agent para transformação de código. | ID do builder AWS e o IAM Identity Center |
| codecatalyst:read\$1write | Leia e grave em seus CodeCatalyst recursos da Amazon, permitindo acesso a todos os seus recursos existentes. | ID do builder AWS e o IAM Identity Center |
| verified\$1access:application:connect | Habilitar Acesso Verificado pela AWS | Acesso Verificado pela AWS |
| redshift:connect | Conectar-se ao Amazon Redshift | banco de dados de origem |
| datazone:domain:access | Acesse sua função DataZone de execução de domínio | Amazon DataZone |
| nosqlworkbench:datamodeladviser | Criar e ler modelos de dados | NoSQL Workbench |
| transform:read\$1write | Habilite o acesso ao AWS Transform Agent para transformação de código | AWS Transformação |
# Configurar aplicações SAML 2.0 gerenciadas pelo cliente
Se você usar aplicações gerenciadas pelo cliente compatíveis com o [SAML 2.0](https://wiki.oasis-open.org/security), poderá federar seu IdP no IAM Identity Center por meio do SAML 2.0 e usar o IAM Identity Center para gerenciar o acesso dos usuários a essas aplicações. Você pode selecionar uma aplicação SAML 2.0 em um catálogo das aplicações mais usadas no console do IAM Identity Center ou configurar sua própria aplicação SAML 2.0.
**nota**
Se você tem aplicativos gerenciados pelo cliente que oferecem suporte à OAuth versão 2.0 e seus usuários precisam acessar esses aplicativos Serviços da AWS, você pode usar a propagação de identidade confiável. Com a propagação de identidade confiável, um usuário pode fazer login em uma aplicação e essa aplicação pode transmitir a identidade do usuário nas solicitações para acessar dados nos Serviços da AWS.
**Topics**
+ [
# Configurar uma aplicação do catálogo de aplicações do IAM Identity Center
](saasapps.md)
+ [
# Configurar sua própria aplicação SAML 2.0
](customermanagedapps-set-up-your-own-app-saml2.md)
# Configurar uma aplicação do catálogo de aplicações do IAM Identity Center
Você pode usar o catálogo de aplicações no console do IAM Identity Center para adicionar muitas aplicações SAML 2.0 usadas comumente que funcionam com o IAM Identity Center. Os exemplos incluem o Salesforce, o Box e o Office 365.
A maioria das aplicações fornece instruções detalhadas sobre como configurar a confiança entre o IAM Identity Center e o provedor de serviços da aplicação. Essas informações ficam disponíveis na página de configuração da aplicação depois que você a seleciona no catálogo. Depois de configurar a aplicação, você pode atribuir aos usuários ou grupos do IAM Identity Center acesso a ela, conforme necessário.
Use este procedimento para configurar uma relação de confiança SAML 2.0 entre o IAM Identity Center e o provedor de serviços da aplicação.
Antes de começar este procedimento, é útil ter o arquivo de troca de metadados do provedor do serviço para poder configurar a confiança de modo mais eficiente. Mesmo se não tiver esse arquivo, você poderá usar este procedimento para configurar manualmente a confiança.
**Para adicionar e configurar uma aplicação do catálogo de aplicações**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Escolha a guia **Gerenciada pelo cliente**.
1. Escolha **Adicionar aplicação**.
1. Na página **Selecionar tipo de aplicação**, em **Preferências de configuração**, escolha **Quero selecionar uma aplicação do catálogo**.
1. Em **Catálogo de aplicações**, comece a digitar, na caixa de pesquisa, o nome da aplicação que você deseja adicionar.
1. Escolha o nome da aplicação na lista quando ele aparecer nos resultados da pesquisa e depois escolha **Avançar**.
1. Na página **Configurar aplicação**, os campos **Nome de exibição** e **Descrição** já estão preenchidos com os detalhes relevantes da aplicação. Você pode editar essas informações.
1. Em **Metadados do IAM Identity Center**, faça o seguinte:
1. Ao lado do **Arquivo de metadados de SAML do IAM Identity Center**, escolha **Download** para fazer download dos metadados do provedor de identidades.
1. Ao lado de **Certificado do IAM Identity Center**, escolha **Fazer download do certificado** para baixar o certificado do provedor de identidades.
**nota**
Você precisará desses arquivos mais tarde ao configurar a aplicação no site do provedor de serviços. Siga as instruções desse provedor.
1. (Opcional) Em **Propriedades da aplicação**, você pode especificar **URL de início da aplicação**, **Estado de retransmissão** e **Duração da sessão**. Para obter mais informações, consulte [Compreender as propriedades da aplicação no console do IAM Identity Center](appproperties.md).
1. Em **Metadados da aplicação**, faça o seguinte:
1. Se você tiver um arquivo de metadados, escolha **Carregar o arquivo de metadados SAML da aplicação**. Em seguida, selecione **Escolher arquivo** para encontrar e selecionar o arquivo de metadados.
1. Se você não tiver um arquivo de metadados, escolha **Digitar manualmente seus valores de metadados** e, em seguida, forneça os valores de **URL do ACS da aplicação** e do **público de SAML da aplicação**.
1. Selecione **Enviar**. Você é direcionado para a página de detalhes da aplicação que acabou de adicionar.
# Configurar sua própria aplicação SAML 2.0
Você pode configurar suas próprias aplicações que permitem a federação de identidades usando o SAML 2.0 e adicioná-las ao IAM Identity Center. A maioria das etapas para configurar suas próprias aplicações SAML 2.0 é igual à configuração de uma aplicação SAML 2.0 do catálogo de aplicações no console do IAM Identity Center. Porém, você também deve fornecer mapeamentos adicionais dos atributos SAML para suas próprias aplicações SAML 2.0. Esses mapeamentos informam ao IAM Identity Center como preencher corretamente a asserção SAML 2.0 para a aplicação. Você pode fornecer esse mapeamento de atributos SAML adicional quando configurar a aplicação pela primeira vez. Você também pode fornecer os mapeamentos dos atributos SAML 2.0 na página de detalhes da aplicação no IAM Identity Center.
Use o procedimento a seguir para configurar uma relação de confiança SAML 2.0 entre o IAM Identity Center e o provedor de serviços da sua aplicação SAML 2.0. Antes de iniciar este procedimento, verifique se você tem o certificado e os arquivos de troca de metadados do provedor de serviços, para que possa terminar de configurar a confiança.
**Para configurar sua própria aplicação SAML 2.0**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Escolha a guia **Gerenciada pelo cliente**.
1. Escolha **Adicionar aplicação**.
1. Na página **Selecionar tipo de aplicação**, em **Preferências de configuração**, escolha **Eu tenho uma aplicação que quero configurar**.
1. Em **Tipo de aplicação**, escolha **SAML 2.0**.
1. Escolha **Próximo**.
1. Na página **Configurar aplicação**, em **Configurar aplicação**, insira um **nome de exibição** para a aplicação, como **MyApp**. Insira uma **Descrição**.
1. Em **Metadados do IAM Identity Center**, faça o seguinte:
1. Ao lado do **Arquivo de metadados de SAML do IAM Identity Center**, escolha **Download** para fazer download dos metadados do provedor de identidades.
1. Em **Certificado do IAM Identity Center**, escolha **Baixar** para baixar o certificado do provedor de identidades.
**nota**
Você precisará desses arquivos mais tarde ao configurar a aplicação personalizada no site do provedor de serviços.
1. (Opcional) Em **Propriedades da aplicação**, você também pode especificar **URL de início da aplicação**, **Estado de retransmissão** e **Duração da sessão**. Para obter mais informações, consulte [Compreender as propriedades da aplicação no console do IAM Identity Center](appproperties.md).
1. Em **Metadados da aplicação**, escolha **Digite manualmente seus valores de metadados**. Em seguida, forneça os valores de **URL do ACS da aplicação** e **Público do SAML da aplicação**.
1. Selecione **Enviar**. Você é direcionado para a página de detalhes da aplicação que acabou de adicionar.