Authentifizierung durch externen Identitätsanbieter (IdP) einrichten - AWS DevOps Agentin
VoraussetzungenFunktionsweiseKonfiguration der externen IdP-AuthentifizierungAktualisierung der IdP-KonfigurationWie Benutzer auf die Agent Space-Web-App zugreifenSitzungsverwaltungSicherheitsüberlegungenTrennen der Verbindung zum externen IdPFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Authentifizierung durch externen Identitätsanbieter (IdP) einrichten

Die Authentifizierung durch einen externen Identitätsanbieter (IdP) ermöglicht es Ihrer Organisation, einen vorhandenen OIDC-kompatiblen Identitätsanbieter wie Okta oder Microsoft Entra ID zu verwenden, um den Benutzerzugriff auf die Agent Space-Webanwendung zu verwalten. AWS DevOps Benutzer melden sich mit ihren Unternehmensanmeldedaten direkt über Ihren IdP an, ohne dass AWS IAM Identity Center erforderlich ist.

Voraussetzungen

Bevor Sie die externe IdP-Authentifizierung einrichten, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Ein OIDC-kompatibler Identitätsanbieter (Okta oder Microsoft Entra ID)

  • Administratorzugriff auf Ihren Identitätsanbieter

  • Administratorberechtigungen für den Zugriff auf die AWS DevOps Agentenkonsole

  • Ein Agent-Space ist konfiguriert oder bereit zur Erstellung

Funktionsweise

Wenn Sie die externe IdP-Authentifizierung konfigurieren:

  • Benutzer navigieren zur URL der Agent Space-Web-App

  • Sie werden auf die Anmeldeseite Ihres Identitätsanbieters weitergeleitet

  • Nachdem sie sich mit ihren Unternehmensanmeldedaten authentifiziert haben, werden sie zurück zur Web-App weitergeleitet

  • Die Web-App tauscht das Authentifizierungstoken gegen kurzlebige AWS Anmeldeinformationen aus, die auf den Agent Space beschränkt sind

Sitzungen sind bis zu 8 Stunden gültig. Anmeldeinformationen werden automatisch mithilfe von OIDC-Aktualisierungstoken aktualisiert, ohne dass sich Benutzer erneut authentifizieren müssen.

Konfiguration der externen IdP-Authentifizierung

Schritt 1: Registrieren Sie eine Anwendung bei Ihrem Identitätsanbieter

Wählen Sie Ihren Identitätsanbieter und folgen Sie den entsprechenden Einrichtungsanweisungen.

Option A: Okta

  1. Navigieren Sie in der Okta Admin Console zu Anwendungen > Anwendungen und wählen Sie Create App Integration

  2. Wählen Sie OIDC — OpenID Connect als Anmeldemethode und Webanwendung als Anwendungstyp. Wählen Sie Weiter

  3. Geben Sie einen aussagekräftigen Namen für die Anwendung ein (z. B.) AWS DevOps Agent

  4. Stellen Sie sicher, dass unter Grant-Typ die folgenden Optionen aktiviert sind:

    • Autorisierungscode (Standard)

    • Token aktualisieren — Dies ist für die Sitzungsaktualisierung erforderlich. Wenn diese Option nicht aktiviert ist, können Benutzer keine Sitzungen aufrechterhalten.

Anmerkung

Okta aktiviert den Gewährungstyp „Aktualisierungstoken“ standardmäßig nicht. Sie müssen ihn explizit aktivieren.

  1. Behalten Sie die Anmeldeumleitung vorerst URIs als Standardwert bei. Sie werden sie aktualisieren, nachdem Sie den Agent Space konfiguriert haben

  2. Weisen Sie unter Zuweisungen die Benutzer oder Gruppen zu, die Zugriff haben sollen

  3. Wählen Sie Speichern aus.

  4. Notieren Sie sich auf der Registerkarte Allgemein der Anwendung die folgenden Werte:

    • Kunden-ID

    • Geheimer Client-Schlüssel — Wählen Sie Kopieren, um diesen Wert sicher zu speichern

  5. Notieren Sie sich Ihre Okta-Domain — das ist Ihre Aussteller-URL (z. B.https://dev-12345678.okta.com).

Anmerkung

Stellen Sie auf der Registerkarte Anmelden sicher, dass der Aussteller auf Okta-URL (nicht dynamisch) eingestellt ist. Dadurch wird eine stabile Aussteller-URL gewährleistet.

Anmerkung

Fügen Sie dem ID-Token auf der Registerkarte Ansprüche Ihres Autorisierungsservers keinen Gruppenanspruch hinzu. AWS DevOps Der Agent verwendet keine Gruppenmitgliedschaft von Ihrem IdP.

Option B: Microsoft Entra ID

  1. Navigieren Sie im Azure-Portal zu Microsoft Entra ID > App-Registrierungen > Neue Registrierung

  2. Geben Sie einen aussagekräftigen Namen ein (z. B.) AWS DevOps Agent

  3. Wählen Sie unter Unterstützte Kontotypen die für Ihre Organisation geeignete Option aus (normalerweise nur Konten in diesem Organisationsverzeichnis)

  4. Lassen Sie die Umleitungs-URI vorerst leer. Wählen Sie Registrieren

  5. Notieren Sie sich auf der Seite mit der Anwendungsübersicht die folgenden Werte:

    • Anwendungs-ID (Client) — wird bei der Konfiguration des Agent Space als Client-ID verwendet

    • Verzeichnis-ID (Mandanten-ID) — wird zur Erstellung der Aussteller-URL verwendet

  6. Navigieren Sie zu Certificates & Secrets > New Client Secret

    • Lege eine Beschreibung und einen Ablaufzeitraum fest

    • Wählen Sie Hinzufügen und kopieren Sie den geheimen Wert sofort — er wird nicht erneut angezeigt

  7. Die Aussteller-URL für Entra ID folgt diesem Format. {tenant-id}Ersetzen Sie sie durch Ihre Verzeichnis-ID (Mandanten-ID) aus Schritt 5:

    • https://login.microsoftonline.com/{tenant-id}/v2.0

Anmerkung

Aktivieren Sie in der Token-Konfiguration nicht den optionalen Anspruch „Gruppen“. AWS DevOps Der Agent verwendet keine Gruppenmitgliedschaft von Ihrem IdP.

Schritt 2: Aktivieren Sie die Operator App mit IdP-Authentifizierung

  1. Wählen Sie in der AWS DevOps Agent-Konsole Ihren Agent Space aus

  2. Gehen Sie zur Registerkarte Zugriff

  3. Wählen Sie unter Benutzerzugriff die Option Externer Identitätsanbieter

  4. Konfigurieren Sie im Konfigurationsformular Folgendes:

    • Identitätsanbieter — Wählen Sie Ihren Identitätsanbieter (Okta oder Microsoft Entra ID)

    • Aussteller-URL — Die OIDC-Aussteller-URL Ihres Identitätsanbieters

    • Client-ID — Die Client-ID aus der OIDC-Anwendung, die Sie erstellt haben

    • Geheimer Client-Schlüssel — Der geheime Client-Schlüssel aus Ihrer OIDC-Anwendung

  5. Wählen Sie unter Rollenname der Identity Provider-Anwendung eine von drei Optionen aus:

    • Automatische Erstellung einer neuen DevOps Agentenrolle (empfohlen) — Erstellt eine neue Servicerolle mit den entsprechenden Berechtigungen

    • Eine bestehende Rolle zuweisen — Verwenden Sie eine bestehende IAM-Rolle, die Sie bereits erstellt haben

    • Eine neue DevOps Agentenrolle mithilfe einer Richtlinienvorlage erstellen — Verwenden Sie die bereitgestellten Details, um Ihre eigene Rolle in der IAM-Konsole zu erstellen

  6. Lesen Sie die Warnmeldung zur Callback-URL, die am Ende des Formulars angezeigt wird. Kopieren Sie diese URL — Sie müssen sie der erlaubten Weiterleitung Ihres Identitätsanbieters hinzufügen, URIs bevor sich Benutzer anmelden können.

  7. Wählen Sie Connect

Nachdem Sie Connect ausgewählt haben, zeigt die Konsole die Konfiguration des externen Identitätsanbieters mit den folgenden Details an:

  • Anbieter — Der Identitätsanbieter, den Sie ausgewählt haben

  • Aussteller-URL — Die konfigurierte OIDC-Aussteller-URL

  • Client-ID — Die konfigurierte Client-ID

  • IAM-Rolle ARN — Die für den Benutzerzugriff verwendete IAM-Rolle

  • Callback-URL — Konfigurieren Sie diese URL in Ihrem Identity Provider als zulässige Umleitungs-URI

  • Anmelde-URL — Verwenden Sie diese URL, um über Ihren Identitätsanbieter auf die Web-App zuzugreifen

Schritt 3: Fügen Sie die Rückruf-URL zu Ihrem Identitätsanbieter hinzu

Okta

  1. Navigieren Sie in der Okta Admin Console zum Tab Allgemein Ihrer Anwendung

  2. Wählen Sie unter Anmelden die Option Bearbeiten

  3. Fügen Sie die Callback-URL als Anmelde-Umleitungs-URI hinzu:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/callback

  4. (Optional) Legen Sie die Initiate login URI fest, um die IDP-initiierte Anmeldung über das Okta-Dashboard zu aktivieren:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/login

  5. (Empfohlen) Fügen Sie eine Abmelde-Umleitungs-URI hinzu, um Benutzer nach dem Abmelden zurück zur Web-App umzuleiten. Andernfalls wird Benutzern beim Abmelden möglicherweise eine Fehlerseite angezeigt:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome

  6. Wählen Sie Speichern aus.

Microsoft Entra ID

  1. Navigieren Sie im Azure-Portal zur Authentifizierungsseite Ihrer Anwendung

  2. Wählen Sie unter Plattformkonfigurationen die Option Plattform hinzufügen > Web

  3. Geben Sie die Rückruf-URL als Umleitungs-URI ein:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/callback

  4. (Optional) Fügen Sie eine Abmelde-Umleitungs-URI hinzu, um Benutzer nach dem Abmelden zurück zur Web-App umzuleiten:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome

  5. Wählen Sie „Konfigurieren“

Schritt 4: Überprüfen Sie die Konfiguration

  1. Navigieren Sie zu der in der Konsole angezeigten Anmelde-URL:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/login

  2. Sie sollten zur Anmeldeseite Ihres Identitätsanbieters weitergeleitet werden

  3. Melden Sie sich mit Ihren Unternehmensanmeldedaten an

  4. Nach erfolgreicher Authentifizierung werden Sie zurück zur Agent Space-Web-App weitergeleitet

Aktualisierung der IdP-Konfiguration

Sie können den geheimen Client-Schlüssel rotieren, ohne die Verbindung zu trennen:

  1. Wählen Sie in der AWS DevOps Agent-Konsole Ihren Agent-Bereich

  2. Gehen Sie zur Registerkarte Zugriff

  3. Wählen Sie unter Konfiguration des externen Identitätsanbieters die Option Rotate client secret

  4. Geben Sie den neuen geheimen Clientschlüssel ein

  5. Wählen Sie Speichern aus.

Um ein anderes IdP-Konfigurationsfeld (wie Aussteller-URL, Client-ID oder Identitätsanbieter) zu ändern, müssen Sie die Verbindung zum vorhandenen IdP trennen und einen neuen konfigurieren.

Wie Benutzer auf die Agent Space-Web-App zugreifen

Nach der Konfiguration der externen IdP-Authentifizierung:

  • Teilen Sie die URL der Agent Space-Web-App mit autorisierten Benutzern

  • Wenn Benutzer zu der URL navigieren, werden sie zur Anmeldeseite Ihres Identitätsanbieters weitergeleitet

  • Nach Eingabe ihrer Anmeldeinformationen (und Abschluss der MFA, falls von Ihrem IdP konfiguriert), werden sie zurück zur Agent Space-Web-App umgeleitet

  • Sitzungen werden automatisch aktualisiert — Einzelheiten finden Sie unter Sitzungsverwaltung

Sitzungsverwaltung

Externe IdP-Sitzungen für die Agent Space-Web-App haben die folgenden Eigenschaften:

  • Sitzungsdauer — Browsersitzungen dauern bis zu 8 Stunden. Dies ist im AWS DevOps Agent nicht konfigurierbar. Wenn die Sitzungsdauer Ihres IdP 8 Stunden überschreitet, können Benutzer bei ihrem nächsten Besuch automatisch erneut authentifiziert werden, ohne dass Anmeldeinformationen eingegeben werden müssen. Konfigurieren Sie die Sitzungs- und Token-Gültigkeitsdauer Ihres IdP gemäß den Sicherheitsanforderungen Ihres Unternehmens.

  • Aktualisierung der Anmeldeinformationen — Sitzungen werden automatisch mithilfe von OIDC-Aktualisierungstoken aktualisiert, ohne dass sich Benutzer erneut authentifizieren müssen

  • Multi-Faktor-Authentifizierung — Wird unterstützt, wenn sie in Ihrem Identitätsanbieter konfiguriert ist. Der IdP verarbeitet MFA während der Anmeldung — es ist keine zusätzliche Konfiguration im Agent erforderlich. AWS DevOps

Verhalten beim Abmelden

Wenn ein Benutzer in der Web-App auf Abmelden klickt:

  1. Alle Sitzungscookies werden sofort gelöscht

  2. Der Benutzer wird zum OIDC-Abmeldeendpunkt des Identitätsanbieters weitergeleitet, um die SSO-Sitzung zu beenden

  3. Wenn eine Abmelde-Umleitungs-URI konfiguriert ist, wird der Benutzer zurück zur Willkommensseite der Web-App weitergeleitet

Benutzerzugriff wird widerrufen

Um einem Benutzer sofort den Zugriff zu entziehen, können Sie seine Sitzungen direkt im Admin-Portal Ihres Identitätsanbieters widerrufen:

  • Okta — Navigieren Sie in der Okta Admin-Konsole zu Verzeichnis > Personen, wählen Sie den Benutzer aus und wählen Sie Weitere Aktionen > Benutzersitzungen löschen

  • Microsoft Entra ID — Navigieren Sie im Azure-Portal zu Benutzer, wählen Sie den Benutzer aus und klicken Sie auf Sitzungen widerrufen

Sicherheitsüberlegungen

Geheimer Client-Schlüssel — Der geheime Client-Schlüssel, den Sie bei der Einrichtung angeben, wird mit Ihrem vom Kunden verwalteten KMS-Schlüssel verschlüsselt, sofern Sie einen beim Erstellen des Agent Space angegeben haben, oder andernfalls mit einem diensteigenen Schlüssel. Es wird weder in API-Antworten zurückgegeben noch nach der Erstkonfiguration in der Konsole angezeigt.

Rotation der geheimen Client-Schlüssel — Entra-Clientgeheimnisse haben ein konfigurierbares Ablaufdatum. Richten Sie mithilfe der Option „Client-Schlüssel rotieren“ in der AWS DevOps Agent-Konsole eine Erinnerung ein, sodass der geheime Schlüssel rotiert werden soll, bevor er abläuft. Wenn der geheime Schlüssel abläuft, können sich Benutzer erst anmelden, wenn er rotiert wird.

Verwaltung der Token-Lebensdauer — Die Lebensdauer der von Ihrem Identitätsanbieter ausgegebenen Token (Zugriffstoken, Aktualisierungstoken) wird durch die Konfiguration Ihres IdP gesteuert. Wir empfehlen, die entsprechenden Token-Lebensdauern in Ihrem IdP zu konfigurieren:

  • Okta — Konfigurieren Sie die Gültigkeitsdauer von Token unter Sicherheit > API > Autorisierungsserver > Zugriffsrichtlinien

  • Microsoft Entra ID — Konfigurieren Sie die Gültigkeitsdauer von Token mithilfe von Richtlinien zur Tokenlebensdauer

Gruppenanspruch — Aktivieren Sie den Gruppenanspruch nicht in der Token-Konfiguration Ihres Identitätsanbieters. AWS DevOps Der Agent verwendet derzeit keine Gruppenmitgliedschaft von Ihrem IdP.

Benutzer-ID — Der AWS DevOps Agent verwendet einen anbieterspezifischen Anspruch, um Benutzer eindeutig zu identifizieren:

  • Okta — Verwendet den sub Anspruch aus dem ID-Token

  • Microsoft Entra ID — Verwendet den Anspruch oid (Objektbezeichner) aus dem ID-Token

Diese Kennungen sind unveränderlich und erscheinen zu Prüfzwecken in CloudTrail Protokollen.

Trennen der Verbindung zum externen IdP

  1. Wählen Sie in der AWS DevOps Agent-Konsole Ihren Agent Space aus

  2. Gehen Sie zur Registerkarte Zugriff

  3. Wählen Sie unter Benutzerzugriff die Option Trennen

  4. Überprüfen Sie die im Bestätigungsdialogfeld aufgeführten Auswirkungen und bestätigen Sie

Durch das Trennen der Verbindung wird:

  • Entfernen Sie die IdP-Konfiguration aus dem Agent Space

  • Verhindern Sie, dass sich Benutzer über den externen Identitätsanbieter anmelden

  • Entfernen Sie den individuellen Chat- und Artefaktverlauf, der mit IdP-Benutzerkonten verknüpft ist

Aktive Benutzersitzungen werden fortgesetzt, bis sie ablaufen oder die nächste Aktualisierung der Anmeldeinformationen fehlschlägt.

Fehlerbehebung

  • Die Weiterleitung zum IdP schlägt fehl — Stellen Sie sicher, dass die Aussteller-URL mit dem OIDC-Discovery-Endpunkt Ihres IdP übereinstimmt. Stellen Sie für Okta sicher, dass der Aussteller auf der Registerkarte Anmelden auf Okta-URL (nicht dynamisch) eingestellt ist. Verwenden Sie für Entra das Format. https://login.microsoftonline.com/{tenant-id}/v2.0

  • Zugriff verweigert oder Richtlinienfehler (Okta) — Stellen Sie sicher, dass der Benutzer oder seine Gruppe der Anwendung unter Zuweisungen zugewiesen ist. Klicken Sie auf Anmelden > Regeln für die Anmelderichtlinie.

  • IdP-Konfigurationsfehler nach der Anmeldung — Ihr Identitätsanbieter hat kein Aktualisierungstoken zurückgegeben. Stellen Sie sicher, dass der offline_access Geltungsbereich und der Gewährungstyp für das Aktualisierungstoken aktiviert sind:

    • Okta — Gehen Sie zur Registerkarte „Allgemein“ Ihrer Anwendung und aktivieren Sie unter „Art der Gewährung“ das Kontrollkästchen „Token aktualisieren

    • Entra — Gehen Sie zu den API-Berechtigungen und stellen Sie sicher, dass sie unter offline_access Delegierte Berechtigungen aufgeführt sind

  • Die Authentifizierung ist erfolgreich, aber die Web-App zeigt einen Fehler an — Stellen Sie sicher, dass die Umleitungs-URI in Ihrem IdP genau mit der Callback-URL übereinstimmt, die in der AWS DevOps Agentenkonsole angezeigt wird.

  • Authentifizierungsfehler — Wenn der optionale Gruppenanspruch in Ihrem IdP aktiviert ist, deaktivieren Sie ihn. AWS DevOps Der Agent verwendet keine Gruppenansprüche.

  • Die Anmeldung schlägt nach der IdP-Authentifizierung fehl — Für Entra requestedAccessTokenVersion ist verify null im Anwendungsmanifest nicht auf eingestellt. Stellen Sie für Okta sicher, dass die Aussteller-URL korrekt ist.

  • Fehlerseite nach dem Klicken auf Abmelden (Okta) — Wenn Sie nach dem Abmelden einen post_logout_redirect_uri Fehler sehen, fügen Sie auf der Registerkarte Allgemein Ihrer https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome Okta-Anwendung als Umleitungs-URI für die Abmeldung hinzu.

  • Benutzer bleiben nach dem Abmelden auf der Identity-Provider-Seite (Entra) — Um Benutzer nach dem Abmelden zurück zur Web-App umzuleiten, fügen Sie auf der Authentifizierungsseite Ihrer Entra-Anwendung https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome als Umleitungs-URI hinzu.