本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 IAM Identity Center 身分驗證
<a name="aws-devops-agent-security-setting-up-iam-identity-center-authentication"></a>

IAM Identity Center 身分驗證提供集中式方法來管理使用者對 AWS DevOps Agent Space Web 應用程式的存取。本指南說明如何設定 IAM Identity Center 身分驗證和管理使用者。

## 先決條件
<a name="prerequisites"></a>

設定 IAM Identity Center 身分驗證之前，請確定您已：
+ 在您的組織或帳戶中啟用 IAM Identity Center
+ 管理員許可 in AWS DevOps 代理程式
+ 已設定或準備建立的客服人員空間

## 身分驗證選項
<a name="authentication-options"></a>

AWS DevOps Agent 提供兩種存取 Agent Space Web 應用程式的身分驗證方法：

**IAM Identity Center 身分驗證** – 建議用於生產環境。提供集中式使用者管理、與外部身分提供者整合，以及長達 12 小時的工作階段。

**管理員存取 (IAM 身分驗證）** – 在初始設定和組態期間為管理員提供快速存取。工作階段限制為 30 分鐘。

## 在客服人員空間建立期間設定 IAM Identity Center
<a name="configuring-iam-identity-center-during-agent-space-creation"></a>

建立客服人員空間時，您可以在**存取**索引標籤上設定 IAM Identity Center 身分驗證：

### 步驟 1：導覽至 Web 應用程式組態
<a name="step-1-navigate-to-the-web-app-configuration"></a>

1. 設定客服人員空間詳細資訊和 AWS 帳戶存取權後，請繼續前往**存取**索引標籤

1. 您將看到兩個部分：「連接 IAM Identity Center」和「管理存取」

### 步驟 2：設定 IAM Identity Center 整合
<a name="step-2-configure-iam-identity-center-integration"></a>

在**將 【客服人員空間】 連線至 IAM Identity Center **區段中：

1. **驗證 IAM Identity Center 執行個體** – 主控台會顯示哪個 Identity Center 執行個體將管理 Web App 使用者存取權 （例如 `ssoins-7223a9580931edbe`)。系統會自動預先填入您最接近的 IAM Identity Center 執行個體。

1. **選取 IAM Identity Center 應用程式角色名稱選項** – 選擇三個選項之一：

**自動建立新的 DevOps Agent 角色** （建議）：
+ 系統會自動建立具有適當許可的新服務角色
+ 這是最簡單的選項，適用於大多數使用案例

**指派現有角色**：
+ 使用您已建立的現有 IAM 角色
+ 系統會驗證角色具有必要的許可
+ 如果您的組織具有預先建立的 AWS DevOps Agent 角色，請選擇此選項

**使用政策範本建立新的 DevOps Agent 角色**：
+ 使用提供的政策詳細資訊，在 IAM 主控台中建立您自己的自訂角色
+ 如果您需要自訂角色許可，請選擇此選項

按一下連線後，系統會自動：
+ 建立或設定指定的 IAM 角色
+ 為您的客服人員空間設定 IAM Identity Center 應用程式
+ 在 IAM Identity Center 和 Agent Space Web 應用程式之間建立信任關係
+ 設定 OAuth 2.0 身分驗證流程以安全存取使用者

### 替代方案：使用管理員存取
<a name="alternative-using-admin-access"></a>

如果您想要立即存取 Agent Space Web 應用程式，而不設定 IAM Identity Center：

1. 在**管理員存取**區段中，記下提供管理員存取權的 IAM 角色 ARN （例如 `arn:aws:iam::440491339484:role/service-role/DevOpsAgentRole-WebappAdmin-15ppoc42`)

1. 按一下藍色**管理員存取**按鈕，以使用 IAM 身分驗證啟動 Agent Space Web 應用程式

1. 使用此方法的工作階段限制為 30 分鐘

**注意**  
** 管理員存取權適用於初始設定和組態。對於生產用途和持續操作，設定 IAM Identity Center 身分驗證。

## 新增使用者和群組
<a name="adding-users-and-groups"></a>

設定 IAM Identity Center 身分驗證後，您需要授予特定使用者和群組對 Agent Space Web 應用程式的存取權：

### 步驟 1：存取使用者管理
<a name="step-1-access-user-management"></a>

1. 在 AWS DevOps 代理程式主控台中，選取您的代理程式空間

1. 前往**存取**索引標籤

1. 在**使用者存取**下，按一下**管理使用者和群組**

### 步驟 2：新增使用者或群組
<a name="step-2-add-users-or-groups"></a>

1. 選擇**新增使用者或群組**

1. 在 IAM Identity Center 目錄中搜尋使用者或群組

1. 選取您要新增的使用者或群組旁的核取方塊

1. 按一下**新增**以授予他們存取權

選取的使用者現在可以使用其 IAM Identity Center 憑證存取 Agent Space Web 應用程式。

### 使用外部身分提供者
<a name="working-with-external-identity-providers"></a>

如果您使用外部身分提供者 （例如 Okta、Microsoft Entra ID 或 Ping Identity) 搭配 IAM Identity Center：
+ 使用者和群組會從外部身分提供者同步到 IAM Identity Center
+ 當您將使用者和群組新增至 Agent Space Web 應用程式時，您會從同步目錄選取
+ 使用者屬性和群組成員資格由外部身分提供者維護
+ 同步後，您的身分提供者的變更會自動反映在 IAM Identity Center 中

## 使用者如何存取 Agent Space Web 應用程式
<a name="how-users-access-the-agent-space-web-app"></a>

將使用者新增至 代理程式空間之後：

1. 與授權使用者共用 Agent Space Web 應用程式 URL

1. 當使用者導覽至 URL 時，他們會重新導向至 IAM Identity Center 登入頁面

1. 輸入登入資料 （如果已設定完成 MFA) 之後，系統會將其重新導向回 Agent Space Web 應用程式

1. 根據預設，其工作階段的有效期為 8 小時 （可由 Identity Center 管理員設定）

## 管理使用者存取
<a name="managing-user-access"></a>

您可以隨時更新使用者存取權：

**新增更多使用者或群組：**
+ 依照上述相同步驟新增其他使用者或群組

**移除存取權：**

1. 在**使用者存取**區段中，尋找要移除的使用者或群組

1. 按一下其名稱旁的**移除**按鈕

1. 確認移除

移除的使用者將立即失去存取權，但作用中的工作階段可能會繼續，直到過期為止。

## 工作階段管理
<a name="session-management"></a>

Agent Space Web 應用程式的 IAM Identity Center 工作階段具有下列特性：
+ **預設工作階段持續時間** – 8 小時
+ **工作階段安全性** – 用於增強保護的僅限 HTTP Cookie
+ **多重要素驗證** – 在 IAM Identity Center 中設定時支援
+ **API 登入**資料 – 短期 (15 分鐘） SigV4 登入資料會針對 API 呼叫發出並自動續約

若要設定工作階段持續時間：

1. 導覽至 IAM Identity Center 主控台

1. 前往**設定** > **身分驗證**

1. 在**工作階段持續時間**下，設定您偏好的持續時間 （從 1 小時到 12 小時）

1. 選擇 **Save changes (儲存變更)**

## 中斷連接 Identity Center
<a name="disconnecting-identity-center"></a>

1. 在客服人員空間的主控台中，按一下右上角**的動作**，然後選取**從 IAM Identity Center 中斷**連線

1. 在確認對話方塊中確認