As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configurar um emissor de tokens confiáveis
<a name="setuptrustedtokenissuer"></a>

Para permitir a propagação de identidades confiáveis para uma aplicação que faz a autenticação fora do IAM Identity Center, um ou mais administradores devem configurar um emissor de tokens confiáveis. Um emissor de token confiável é um servidor de autorização OAuth 2.0 que emite tokens para aplicativos que iniciam solicitações (solicitando aplicativos). Os tokens autorizam esses aplicativos a iniciar solicitações em nome de seus usuários para um aplicativo receptor (an AWS service (Serviço da AWS)). 

**Topics**
+ [Coordenar perfis e responsabilidades administrativas](#coordinating-administrative-roles-responsibilities)
+ [Tarefas para configurar um emissor de tokens confiáveis](#setuptrustedtokenissuer-tasks)
+ [Como adicionar um emissor de tokens confiáveis ao console do IAM Identity Center](#how-to-add-trustedtokenissuer)
+ [Como visualizar ou editar as configurações do emissor de tokens confiáveis no console do IAM Identity Center](#view-edit-trusted-token-issuers)
+ [Processo de configuração e fluxo de solicitação para aplicações que usam um emissor de tokens confiáveis](#setuptrustedtokenissuer-setup-process-request-flow)

## Coordenar perfis e responsabilidades administrativas
<a name="coordinating-administrative-roles-responsibilities"></a>

Em alguns casos, um único administrador pode realizar todas as tarefas necessárias para configurar um emissor de tokens confiáveis. Se vários administradores realizarem essas tarefas, será necessária uma coordenação estreita. A tabela a seguir descreve como vários administradores podem se coordenar para configurar um emissor de token confiável e configurar o AWS serviço para usá-lo. 

**nota**  
O aplicativo pode ser qualquer AWS serviço integrado ao IAM Identity Center e que ofereça suporte à propagação de identidade confiável.

Para obter mais informações, consulte [Tarefas para configurar um emissor de tokens confiáveis](#setuptrustedtokenissuer-tasks).


****  

| Perfil | Executa essas tarefas | Coordena com | 
| --- | --- | --- | 
| Administrador do IAM Identity Center | Adiciona o IdP externo como um emissor de tokens confiáveis ao console do IAM Identity Center.<br />Ajuda a configurar o mapeamento correto dos atributos entre o IAM Identity Center e o IdP externo.<br />Notifica o administrador do AWS serviço quando o emissor de token confiável é adicionado ao console do IAM Identity Center. | Administrador do IdP (emissor de tokens confiáveis) externo<br />AWS administrador do serviço | 
| Administrador do IdP (emissor de tokens confiáveis) externo | Configura o IdP externo para emitir tokens.<br />Ajuda a configurar o mapeamento correto dos atributos entre o IAM Identity Center e o IdP externo.<br />Fornece o nome do público (declaração Aud) ao administrador do serviço da AWS . | Administrador do IAM Identity Center<br />AWS administrador do serviço | 
| AWS administrador do serviço | Verifica o console AWS de serviço em busca do emissor de token confiável. O emissor confiável do token ficará visível no console de AWS serviço depois que o administrador do IAM Identity Center o adicionar ao console do IAM Identity Center.<br />Configura o AWS serviço para usar o emissor de token confiável. | Administrador do IAM Identity Center<br />Administrador do IdP (emissor de tokens confiáveis) externo | 

## Tarefas para configurar um emissor de tokens confiáveis
<a name="setuptrustedtokenissuer-tasks"></a>

Para configurar um emissor de tokens confiáveis, um administrador do IAM Identity Center, o administrador do IdP (emissor de tokens confiáveis) externo e o administrador da aplicação devem realizar as tarefas a seguir. 

**nota**  
O aplicativo pode ser qualquer AWS serviço integrado ao IAM Identity Center e que ofereça suporte à propagação de identidade confiável.

1. **Adicione o emissor de token confiável ao IAM Identity Center** — O administrador do IAM Identity Center [adiciona o emissor de token confiável usando o console do IAM Identity Center](#how-to-add-trustedtokenissuer) ou. [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) Essa configuração requer a especificação do seguinte:
   + Um nome de emissor de tokens confiáveis.
   + O URL do endpoint de descoberta OIDC (no console do IAM Identity Center, esse URL é chamado de *URL do emissor*). O endpoint de descoberta só deve ser acessível pelas portas 80 e 443.
   + Mapeamento de atributos para pesquisa de usuários. Esse mapeamento de atributos é usado em uma declaração no token que é gerado pelo emissor de tokens confiáveis. O valor na declaração é usado para pesquisar no IAM Identity Center. A pesquisa usa o atributo especificado para recuperar um único usuário do IAM Identity Center.

1. **Conectar o AWS serviço ao IAM Identity Center** — O administrador do AWS serviço deve conectar o aplicativo ao IAM Identity Center usando o console do aplicativo ou do aplicativo APIs. 

    Depois que o emissor de token confiável é adicionado ao console do IAM Identity Center, ele também fica visível no console de AWS serviço e está disponível para seleção pelo administrador do AWS serviço.

1. **Configurar o uso da troca de tokens** — No console de AWS serviço, o administrador do AWS serviço configura o AWS serviço para aceitar tokens emitidos pelo emissor confiável do token. Esses tokens são trocados por tokens gerados pelo IAM Identity Center. Isso requer a especificação do nome do emissor de token confiável da Etapa 1 e o valor da solicitação de Aud que corresponde ao AWS serviço. 

   O emissor confiável do token coloca o valor da reivindicação Aud no token que ele emite para indicar que o token se destina ao uso pelo AWS serviço. Para obter esse valor, entre em contato com o administrador do emissor de tokens confiáveis.

## Como adicionar um emissor de tokens confiáveis ao console do IAM Identity Center
<a name="how-to-add-trustedtokenissuer"></a>

Em uma organização que tem vários administradores, essa tarefa é realizada por um administrador do IAM Identity Center. Se você for o administrador do IAM Identity Center, deverá escolher qual IdP externo usar como emissor de tokens confiáveis. 

**Para adicionar um emissor de tokens confiáveis ao console do IAM Identity Center**

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Escolha **Configurações**.

1. Na página **Configurações**, escolha a guia **Autenticação**.

1. Em **Emissores de token confiáveis**, escolha **Criar emissor de tokens confiáveis**.

1. Na página **Configurar um IdP externo para emitir tokens confiáveis**, em **Detalhes do emissor de tokens confiáveis**, faça o seguinte:
   + Em **URL do emissor**, especifique o [URL de descoberta OIDC](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url) do IdP externo que emitirá tokens para a propagação de identidade confiável. Você deve especificar o URL do endpoint de descoberta até e sem `.well-known/openid-configuration`. O administrador do IdP externo pode fornecer esse URL.
**nota**  
Observação: esse URL deve corresponder ao URL na declaração do emissor (iss) em tokens emitidos para propagação de identidades confiáveis. 
   + Em **Nome do emissor de tokens confiáveis**, insira um nome para identificar esse emissor de tokens confiáveis no IAM Identity Center e no console da aplicação. 

1. Em **Mapear atributos**, faça o seguinte:
   + Em **Atributo do provedor de identidades**, selecione um atributo na lista para mapear para um atributo no repositório de identidades do IAM Identity Center.
   + Em **Atributo do IAM Identity Center**, selecione o atributo correspondente para o mapeamento de atributos.

1. Em **Tags (opcional)**, escolha **Adicionar nova tag** e especifique um valor para **Chave** e, opcionalmente, para **Valor**.

   Para obter mais informações sobre tags, consulte [Recursos de marcação Centro de Identidade do AWS IAM](tagging.md).

1. Escolha **Criar emissor de tokens confiáveis.**

1. Depois de concluir a criação do emissor de tokens confiáveis, entre em contato com o administrador da aplicação para informar o nome do emissor de tokens confiáveis, para que ele possa confirmar que o emissor de tokens confiáveis está visível no console aplicável. 

1. O administrador da aplicação deve selecionar esse emissor de tokens confiáveis no console aplicável para permitir o acesso do usuário à aplicação a partir das aplicações configuradas para a propagação de identidades confiáveis. 

## Como visualizar ou editar as configurações do emissor de tokens confiáveis no console do IAM Identity Center
<a name="view-edit-trusted-token-issuers"></a>

Depois de adicionar um emissor de tokens confiáveis ao console do IAM Identity Center, você pode visualizar e editar as configurações relevantes. 

Se você pretende editar as configurações do emissor de tokens confiáveis, lembre-se de que isso pode fazer com que os usuários percam o acesso a qualquer aplicação configurada para usar o emissor de tokens confiáveis. Para evitar interromper o acesso dos usuários, recomendamos que você coordene com os administradores de todas as aplicações configuradas para que usem o emissor de tokens confiáveis antes de editar as configurações.

**Para visualizar ou editar as configurações do emissor de tokens confiáveis no console do IAM Identity Center**

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Escolha **Configurações**.

1. Na página **Configurações**, escolha a guia **Autenticação**.

1. Em **Emissores de tokens confiáveis**, selecione o emissor de tokens confiáveis que você deseja visualizar ou editar.

1. Escolha **Ações** e, em seguida, escolha **Editar**.

1. Na página **Editar emissor de tokens confiáveis**, visualize ou edite as configurações conforme necessário. Você pode editar o nome do emissor de tokens confiáveis os mapeamentos de atributos e as tags.

1. Escolha **Salvar alterações**.

1. Na caixa de diálogo **Editar emissor de tokens confiáveis**, será solicitado que você confirme se deseja fazer alterações. Escolha **Confirmar**.

## Processo de configuração e fluxo de solicitação para aplicações que usam um emissor de tokens confiáveis
<a name="setuptrustedtokenissuer-setup-process-request-flow"></a>

Esta seção descreve o processo de configuração e o fluxo de solicitação para aplicações que usam um emissor de tokens confiáveis para a propagação de identidades confiáveis. O diagrama a seguir fornece uma visão geral desse processo.

![Processo de configuração e os fluxos de solicitação para aplicações que usam um emissor de tokens confiáveis para a propagação de identidades confiáveis](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/trusted-identity-propagation-trusted-token-issuer-request-flow.png)


As etapas a seguir fornecem informações adicionais sobre esse processo.

1. Configure o IAM Identity Center e o aplicativo AWS gerenciado de recebimento para usar um emissor de token confiável. Para mais informações, consulte [Tarefas para configurar um emissor de tokens confiáveis](#setuptrustedtokenissuer-tasks).

1. O fluxo de solicitação começa quando um usuário abre a aplicação solicitante.

1. O aplicativo solicitante solicita um token do emissor confiável do token para iniciar solicitações ao aplicativo gerenciado receptor AWS . Se o usuário ainda não tiver sido autenticado, esse processo acionará um fluxo de autenticação. O token contém as seguintes informações:
   + O assunto (Sub) do usuário.
   + O atributo que o IAM Identity Center usa para pesquisar o usuário correspondente no IAM Identity Center.
   + Uma declaração de público (Aud) que contém um valor que o emissor de tokens confiáveis associa à aplicação gerenciada pela AWS recebedora. Se outras declarações estiverem presentes, elas não serão usadas pelo IAM Identity Center.

1. O aplicativo solicitante, ou o AWS driver que ele usa, passa o token para o IAM Identity Center e solicita que o token seja trocado por um token gerado pelo IAM Identity Center. Se você usar um driver da AWS , talvez seja necessário configurá-lo para esse caso de uso. Para obter mais informações, consulte a documentação do aplicativo AWS gerenciado relevante. 

1. O IAM Identity Center usa o endpoint de descoberta OIDC para obter a chave pública que pode ser usada para verificar a autenticidade do token. Em seguida, o IAM Identity Center faz o seguinte:
   + Verifica o token.
   + Pesquisa o diretório do Identity Center. Para fazer isso, o IAM Identity Center usa o atributo mapeado especificado no token.
   + Verifica se o usuário está autorizado a acessar a aplicação recebedora. Se o aplicativo AWS gerenciado estiver configurado para exigir atribuições a usuários e grupos, o usuário deverá ter uma atribuição direta ou baseada em grupo ao aplicativo; caso contrário, a solicitação será negada. Se o aplicativo AWS gerenciado estiver configurado para não exigir atribuições de usuários e grupos, o processamento continuará.
**nota**  
AWS os serviços têm uma configuração de configuração padrão que determina se as atribuições são necessárias para usuários e grupos. Recomendamos que você não modifique a configuração **Exigir atribuições** para essas aplicações se planejar usá-las com a propagação de identidades confiáveis. Mesmo que você tenha configurado permissões refinadas que permitam que o usuário acesse recursos específicos da aplicação, modificar a configuração **Exigir atribuições** pode resultar em um comportamento inesperado, incluindo interrupção do acesso do usuário a esses recursos.
   + Verifica se o aplicativo solicitante está configurado para usar escopos válidos para o aplicativo gerenciado receptor AWS . 

1. Se as etapas de verificação anteriores forem bem-sucedidas, o IAM Identity Center criará um novo token. O novo token é um token opaco (criptografado) que inclui a identidade do usuário correspondente no IAM Identity Center, o público (Aud) do aplicativo AWS gerenciado receptor e os escopos que o aplicativo solicitante pode usar ao fazer solicitações ao aplicativo gerenciado receptor AWS . 

1. A aplicação solicitante, ou o driver que ela usa, inicia uma solicitação de recurso para a aplicação recebedora e passa o token que o IAM Identity Center gerou para a aplicação recebedora.

1. A aplicação recebedora faz chamadas para o IAM Identity Center para obter a identidade do usuário e os escopos que estão codificados no token. Ela também pode fazer solicitações para obter os atributos do usuário ou das associações a grupos do usuário no diretório do Identity Center.

1. A aplicação recebedora usa sua configuração de autorização para definir se o usuário está autorizado a acessar o recurso da aplicação solicitado.

1. Se o usuário estiver autorizado a acessar o recurso da aplicação solicitado, a aplicação recebedora responderá à solicitação.

1. A identidade do usuário, as ações realizadas em seu nome e outros eventos são registrados nos registros e CloudTrail eventos do aplicativo receptor. O modo específico como essas informações são registradas varia de acordo com a aplicação.