| 了解 Identity Center | 您所在的位置:网站首页 › understand使用 › 了解 Identity Center |
|
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 了解 Identity Center Identity Center 条款以下术语可帮助您了解背后的过程和配置AWS IAM Identity Center (successor to AWS Single Sign-On)。对于其中一些身份验证概念,AWSSDK API 的文档使用的名称与 IAM Identity Center 不同。知道这两个名字会很有帮助。 下表介绍了备用名称如何相互关联。 IAM Identity 软件开发工具包 API 名称 描述 IAM sso 尽管 SAWS ingle Sign-On 已重命名,但出于向后兼容的目的,ssoAPI 命名空间将保留其原始名称。有关更多信息,请参阅AWS IAM Identity Center (successor to AWS Single Sign-On)用户指南中的 IAM 身份中心重命名。IAM Identity 管理控制台 用于配置单点登录的控制台。 AWS访问门户 URL 您的 IAM 身份中心账户独有的 URL,例如https://xxx.awsapps.com/start。您可以使用 IAM 身份中心登录证书登录此门户。 IAM Identity Center 身份验证会话 向呼叫者提供持有者访问令牌。 权限集会话 开发工具包在内部使用的 IAM 会话进行AWS 服务调用。在非正式讨论中,您可能会看到这被错误地称为 “角色会话”。 权限集证书AWS凭证 senter 凭证 SDK 实际用于大多数AWS 服务调用(特别是所有 sigv4AWS 服务 调用)的证书。在非正式讨论中,您可能会看到这被错误地称为 “角色证书”。 Identity Center 凭证提供 SSO 凭证提供程序 如何获取证书,例如提供功能的类或模块。 了解以下的 SDK 凭证解析AWS 服务IAM Identity Center API 将持有者代币凭证交换为 sigv4 证书。大多数AWS 服务是 sigv4 API,只有一些例外,例如Amazon CodeWhisperer和Amazon CodeCatalyst。以下描述了支持大多数应用程序代码AWS 服务调用的凭证解析流程AWS IAM Identity Center (successor to AWS Single Sign-On)。 启动AWS访问门户会话使用您的证书登录会话,开始该过程。 使用AWS Command Line Interface (AWS CLI) 中的aws sso login命令。如果您还没有活动会话,这将启动一个新的 IAM Identity Center 会话。 当您启动新会话时,您将收到来自 IAM Identity Center 的刷新令牌和访问令牌。AWS CLI还使用新的访问令牌和刷新令牌更新 SSO 缓存 JSOS 文件,使其可供软件开发工具包使用。 如果您已经有一个活动会话,则该AWS CLI命令会重复使用现有会话,并且将在现有会话过期时过期。要了解如何设置 IAM Identity Center 会话的时长,请参阅用户指南中的配置用户AWS访问门户会话的AWS IAM Identity Center (successor to AWS Single Sign-On)持续时间。 最大会话时长已延长至七天,以减少频繁登录的需求。 SDK 如何获取AWS 服务调用凭证AWS 服务当您为每个服务实例化客户端对象时,SDK 提供访问权限。将共享AWSconfig文件的选定配置文件配置为 IAM Identity Center 证书解析时,IAM Identity Center 用于解析您的应用程序的证书。 证书解析过程在创建客户端的运行时完成。 要使用 IAM 身份中心单点登录检索 sigv4 API 的证书,开发工具包使用 IAM 身份中心访问令牌获取 IAM 会话。此 IAM 会话称为权限集会话,它通过担任 IAM 角色提供对软件开发工具包的AWS访问权限。 权限集会话持续时间独立于 IAM Identity Center 会话持续时间设置。 要了解如何设置权限设置会话持续时间,请参阅AWS IAM Identity Center (successor to AWS Single Sign-On)用户指南中的设置会话持续时间。 请注意,在大多数AWS SDK API 文档中,权限集AWS凭证也被称为凭证和 sigv4 凭证。 权限集证书是通过调用 IAM Identity Center API 调用软件开发工具包返回的。getRoleCredentialsSDK 的客户端对象使用代入的 IAM 角色调用AWS 服务,例如要求 Amazon S3 列出您账户中的存储桶。在权限集会话过期之前,客户端对象可以使用这些权限集凭证继续运行。 会话过期和刷新使用时SSO 令牌提供程序配置,从 IAM Identity Center 获得的每小时访问令牌将使用刷新令牌自动刷新。 如果访问令牌在 SDK 尝试使用时已过期,则 SDK 会使用刷新令牌尝试获取新的访问令牌。IAM 身份中心将刷新令牌与您的 IAM 身份中心访问门户会话时长进行比较。如果刷新令牌未过期,IAM 身份中心将使用另一个访问令牌进行响应。 此访问令牌可用于刷新现有客户端的权限集会话,或用于解析新客户端的证书。 但是,如果 IAM Identity Center 访问门户会话已过期,则不会授予任何新的访问令牌。因此,无法续订权限集的持续时间。每当现有客户端的缓存权限集会话长度超时时,它就会过期(并且访问权限将丢失)。 一旦 IAM Identity Center 会话过期,任何创建新客户端的代码都将无法通过身份验证。这是因为权限集凭据未缓存。在您拥有有效的访问令牌之前,您的代码将无法创建新客户端并完成凭证解析过程。 总而言之,当 SDK 需要新的权限集凭证时,SDK 会首先检查是否存在任何有效的现有凭据并使用这些证书。无论证书是用于新客户机还是证书已过期的现有客户端,这都适用。如果找不到证书或证书无效,则开发工具包会调用 IAM Identity Center API 来获取新证书。要调用 API,它需要访问令牌。如果访问令牌已过期,SDK 会使用刷新令牌尝试从 IAM Identity Center 服务获取新的访问令牌。如果您的 IAM Identity Center 访问门户会话未过期,则会授予此令牌。 |
| CopyRight 2018-2019 实验室设备网 版权所有 |