Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Authentifizierung durch externen Identitätsanbieter (IdP) einrichten
Die Authentifizierung durch einen externen Identitätsanbieter (IdP) ermöglicht es Ihrer Organisation, einen vorhandenen OIDC-kompatiblen Identitätsanbieter wie Okta oder Microsoft Entra ID zu verwenden, um den Benutzerzugriff auf die Agent Space-Webanwendung zu verwalten. AWS DevOps Benutzer melden sich mit ihren Unternehmensanmeldedaten direkt über Ihren IdP an, ohne dass AWS IAM Identity Center erforderlich ist.
## Voraussetzungen
Bevor Sie die externe IdP-Authentifizierung einrichten, stellen Sie sicher, dass Sie über Folgendes verfügen:
+ Ein OIDC-kompatibler Identitätsanbieter (Okta oder Microsoft Entra ID)
+ Administratorzugriff auf Ihren Identitätsanbieter
+ Administratorberechtigungen für den Zugriff auf die AWS DevOps Agentenkonsole
+ Ein Agent-Space ist konfiguriert oder bereit zur Erstellung
## Funktionsweise
Wenn Sie die externe IdP-Authentifizierung konfigurieren:
+ Benutzer navigieren zur URL der Agent Space-Web-App
+ Sie werden auf die Anmeldeseite Ihres Identitätsanbieters weitergeleitet
+ Nachdem sie sich mit ihren Unternehmensanmeldedaten authentifiziert haben, werden sie zurück zur Web-App weitergeleitet
+ Die Web-App tauscht das Authentifizierungstoken gegen kurzlebige AWS Anmeldeinformationen aus, die auf den Agent Space beschränkt sind
Sitzungen sind bis zu 8 Stunden gültig. Anmeldeinformationen werden automatisch mithilfe von OIDC-Aktualisierungstoken aktualisiert, ohne dass sich Benutzer erneut authentifizieren müssen.
## Konfiguration der externen IdP-Authentifizierung
### Schritt 1: Registrieren Sie eine Anwendung bei Ihrem Identitätsanbieter
Wählen Sie Ihren Identitätsanbieter und folgen Sie den entsprechenden Einrichtungsanweisungen.
#### Option A: Okta
1. Navigieren Sie in der Okta Admin Console zu **Anwendungen > **Anwendungen**** und wählen Sie **Create App Integration**
1. Wählen Sie **OIDC — OpenID Connect** als Anmeldemethode und **Webanwendung als Anwendungstyp**. Wählen Sie **Weiter**
1. Geben Sie einen aussagekräftigen Namen für die Anwendung ein (z. B.) `AWS DevOps Agent`
1. Stellen Sie sicher, dass unter **Grant-Typ** die folgenden Optionen aktiviert sind:
+ **Autorisierungscode** (Standard)
+ **Token aktualisieren** — Dies ist für die Sitzungsaktualisierung erforderlich. Wenn diese Option nicht aktiviert ist, können Benutzer keine Sitzungen aufrechterhalten.
**Anmerkung**
**Okta aktiviert den Gewährungstyp „Aktualisierungstoken“ standardmäßig nicht. Sie müssen ihn explizit aktivieren.
1. Behalten Sie die **Anmeldeumleitung** vorerst URIs als Standardwert bei. Sie werden sie aktualisieren, nachdem Sie den Agent Space konfiguriert haben
1. Weisen Sie unter **Zuweisungen** die Benutzer oder Gruppen zu, die Zugriff haben sollen
1. Wählen Sie **Speichern** aus.
1. Notieren Sie sich auf der Registerkarte **Allgemein** der Anwendung die folgenden Werte:
+ **Kunden-ID**
+ **Geheimer Client-Schlüssel** — Wählen Sie **Kopieren**, um diesen Wert sicher zu speichern
1. Notieren Sie sich Ihre **Okta-Domain** — das ist Ihre Aussteller-URL (z. B.`https://dev-12345678.okta.com`).
**Anmerkung**
**Stellen Sie **auf der** Registerkarte Anmelden sicher, dass der** Aussteller auf Okta-URL ** (nicht dynamisch) **eingestellt ist**. Dadurch wird eine stabile Aussteller-URL gewährleistet.
**Anmerkung**
**Fügen Sie dem ID-Token auf der Registerkarte Ansprüche Ihres Autorisierungsservers keinen** ** Gruppenanspruch hinzu. AWS DevOps Der Agent verwendet keine Gruppenmitgliedschaft von Ihrem IdP.
#### Option B: Microsoft Entra ID
1. Navigieren Sie im Azure-Portal zu **Microsoft Entra ID** > **App-Registrierungen** > **Neue** Registrierung
1. Geben Sie einen aussagekräftigen Namen ein (z. B.) `AWS DevOps Agent`
1. Wählen Sie unter **Unterstützte Kontotypen** die für Ihre Organisation geeignete Option aus (normalerweise **nur Konten in diesem Organisationsverzeichnis**)
1. Lassen Sie die **Umleitungs-URI** vorerst leer. Wählen Sie **Registrieren**
1. Notieren Sie sich auf der Seite mit der **Anwendungsübersicht** die folgenden Werte:
+ **Anwendungs-ID (Client)** — wird bei der Konfiguration des Agent Space als Client-ID verwendet
+ **Verzeichnis-ID (Mandanten-ID)** — wird zur Erstellung der Aussteller-URL verwendet
1. Navigieren Sie zu **Certificates & Secrets** > **New Client** Secret
+ Lege eine Beschreibung und einen Ablaufzeitraum fest
+ Wählen **Sie Hinzufügen** und kopieren Sie den geheimen **Wert** sofort — er wird nicht erneut angezeigt
1. Die Aussteller-URL für Entra ID folgt diesem Format. `{tenant-id}`Ersetzen Sie sie durch Ihre Verzeichnis-ID (Mandanten-ID) aus Schritt 5:
+ `https://login.microsoftonline.com/{tenant-id}/v2.0`
**Anmerkung**
**Aktivieren Sie in der Token-Konfiguration nicht** **den optionalen Anspruch** „Gruppen**“. AWS DevOps Der Agent verwendet keine Gruppenmitgliedschaft von Ihrem IdP.
### Schritt 2: Aktivieren Sie die Operator App mit IdP-Authentifizierung
1. Wählen Sie in der AWS DevOps Agent-Konsole Ihren Agent Space aus
1. Gehen Sie zur Registerkarte **Zugriff**
1. Wählen Sie unter **Benutzerzugriff** die Option **Externer Identitätsanbieter**
1. Konfigurieren Sie im Konfigurationsformular Folgendes:
+ **Identitätsanbieter** — Wählen Sie Ihren Identitätsanbieter (Okta oder Microsoft Entra ID)
+ **Aussteller-URL** — Die OIDC-Aussteller-URL Ihres Identitätsanbieters
+ **Client-ID — Die Client-ID** aus der OIDC-Anwendung, die Sie erstellt haben
+ **Geheimer Client-Schlüssel — Der geheime** Client-Schlüssel aus Ihrer OIDC-Anwendung
1. Wählen Sie unter **Rollenname der Identity Provider-Anwendung** eine von drei Optionen aus:
+ **Automatische Erstellung einer neuen DevOps Agentenrolle** (empfohlen) — Erstellt eine neue Servicerolle mit den entsprechenden Berechtigungen
+ **Eine bestehende Rolle zuweisen** — Verwenden Sie eine bestehende IAM-Rolle, die Sie bereits erstellt haben
+ **Eine neue DevOps Agentenrolle mithilfe einer Richtlinienvorlage erstellen** — Verwenden Sie die bereitgestellten Details, um Ihre eigene Rolle in der IAM-Konsole zu erstellen
1. Lesen Sie die Warnmeldung **zur Callback-URL**, die am Ende des Formulars angezeigt wird. Kopieren Sie diese URL — Sie müssen sie der erlaubten Weiterleitung Ihres Identitätsanbieters hinzufügen, URIs bevor sich Benutzer anmelden können.
1. Wählen Sie **Connect**
Nachdem **Sie Connect** ausgewählt haben, zeigt die Konsole die **Konfiguration des externen Identitätsanbieters** mit den folgenden Details an:
+ **Anbieter** — Der Identitätsanbieter, den Sie ausgewählt haben
+ **Aussteller-URL** — Die konfigurierte OIDC-Aussteller-URL
+ **Client-ID — Die konfigurierte Client-ID**
+ **IAM-Rolle ARN** — Die für den Benutzerzugriff verwendete IAM-Rolle
+ **Callback-URL** — Konfigurieren Sie diese URL in Ihrem Identity Provider als zulässige Umleitungs-URI
+ **Anmelde-URL** — Verwenden Sie diese URL, um über Ihren Identitätsanbieter auf die Web-App zuzugreifen
### Schritt 3: Fügen Sie die Rückruf-URL zu Ihrem Identitätsanbieter hinzu
#### Okta
1. **Navigieren Sie in der Okta Admin Console zum Tab Allgemein Ihrer Anwendung**
1. **Wählen **Sie unter Anmelden** die Option Bearbeiten**
1. Fügen Sie die Callback-URL als **Anmelde-Umleitungs-URI** hinzu:
+ `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/callback`
1. (Optional) Legen Sie die **Initiate login URI** fest, um die IDP-initiierte Anmeldung über das Okta-Dashboard zu aktivieren:
+ `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/login`
1. (Empfohlen) Fügen Sie eine **Abmelde-Umleitungs-URI hinzu, um Benutzer nach dem Abmelden** zurück zur Web-App umzuleiten. Andernfalls wird Benutzern beim Abmelden möglicherweise eine Fehlerseite angezeigt:
+ `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome`
1. Wählen Sie **Speichern** aus.
#### Microsoft Entra ID
1. Navigieren Sie im Azure-Portal zur **Authentifizierungsseite** Ihrer Anwendung
1. Wählen Sie unter **Plattformkonfigurationen** die Option **Plattform hinzufügen** > **Web**
1. Geben Sie die Rückruf-URL als **Umleitungs-URI** ein:
+ `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/callback`
1. (Optional) Fügen Sie eine Abmelde-Umleitungs-URI hinzu, um Benutzer nach dem Abmelden zurück zur Web-App umzuleiten:
+ `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome`
1. **Wählen Sie „Konfigurieren“**
### Schritt 4: Überprüfen Sie die Konfiguration
1. Navigieren Sie zu der in der Konsole angezeigten **Anmelde-URL**:
+ `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/login`
1. Sie sollten zur Anmeldeseite Ihres Identitätsanbieters weitergeleitet werden
1. Melden Sie sich mit Ihren Unternehmensanmeldedaten an
1. Nach erfolgreicher Authentifizierung werden Sie zurück zur Agent Space-Web-App weitergeleitet
## Aktualisierung der IdP-Konfiguration
Sie können den geheimen Client-Schlüssel rotieren, ohne die Verbindung zu trennen:
1. Wählen Sie in der AWS DevOps Agent-Konsole Ihren Agent-Bereich
1. Gehen Sie zur Registerkarte **Zugriff**
1. Wählen Sie unter **Konfiguration des externen Identitätsanbieters** die Option **Rotate client secret**
1. Geben Sie den neuen **geheimen Clientschlüssel ein**
1. Wählen Sie **Speichern** aus.
Um ein anderes IdP-Konfigurationsfeld (wie Aussteller-URL, Client-ID oder Identitätsanbieter) zu ändern, müssen Sie die Verbindung zum vorhandenen IdP trennen und einen neuen konfigurieren.
## Wie Benutzer auf die Agent Space-Web-App zugreifen
Nach der Konfiguration der externen IdP-Authentifizierung:
+ Teilen Sie die URL der Agent Space-Web-App mit autorisierten Benutzern
+ Wenn Benutzer zu der URL navigieren, werden sie zur Anmeldeseite Ihres Identitätsanbieters weitergeleitet
+ Nach Eingabe ihrer Anmeldeinformationen (und Abschluss der MFA, falls von Ihrem IdP konfiguriert), werden sie zurück zur Agent Space-Web-App umgeleitet
+ Sitzungen werden automatisch aktualisiert — Einzelheiten finden Sie unter [Sitzungsverwaltung](#session-management)
## Sitzungsverwaltung
Externe IdP-Sitzungen für die Agent Space-Web-App haben die folgenden Eigenschaften:
+ **Sitzungsdauer** — Browsersitzungen dauern bis zu 8 Stunden. Dies ist im AWS DevOps Agent nicht konfigurierbar. Wenn die Sitzungsdauer Ihres IdP 8 Stunden überschreitet, können Benutzer bei ihrem nächsten Besuch automatisch erneut authentifiziert werden, ohne dass Anmeldeinformationen eingegeben werden müssen. Konfigurieren Sie die Sitzungs- und Token-Gültigkeitsdauer Ihres IdP gemäß den Sicherheitsanforderungen Ihres Unternehmens.
+ Aktualisierung der **Anmeldeinformationen — Sitzungen werden automatisch mithilfe von OIDC-Aktualisierungstoken** aktualisiert, ohne dass sich Benutzer erneut authentifizieren müssen
+ **Multi-Faktor-Authentifizierung** — Wird unterstützt, wenn sie in Ihrem Identitätsanbieter konfiguriert ist. Der IdP verarbeitet MFA während der Anmeldung — es ist keine zusätzliche Konfiguration im Agent erforderlich. AWS DevOps
### Verhalten beim Abmelden
Wenn ein Benutzer in der **Web-App auf Abmelden** klickt:
1. Alle Sitzungscookies werden sofort gelöscht
1. Der Benutzer wird zum OIDC-Abmeldeendpunkt des Identitätsanbieters weitergeleitet, um die SSO-Sitzung zu beenden
1. Wenn eine Abmelde-Umleitungs-URI konfiguriert ist, wird der Benutzer zurück zur Willkommensseite der Web-App weitergeleitet
### Benutzerzugriff wird widerrufen
Um einem Benutzer sofort den Zugriff zu entziehen, können Sie seine Sitzungen direkt im Admin-Portal Ihres Identitätsanbieters widerrufen:
+ **Okta** — Navigieren Sie in der Okta Admin-Konsole zu **Verzeichnis** > **Personen**, wählen Sie den Benutzer aus und wählen Sie **Weitere Aktionen > Benutzersitzungen** **löschen**
+ **Microsoft Entra ID** — Navigieren Sie im Azure-Portal zu **Benutzer**, wählen Sie den Benutzer aus und klicken Sie auf Sitzungen **widerrufen**
## Sicherheitsüberlegungen
**Geheimer Client-Schlüssel** — Der geheime Client-Schlüssel, den Sie bei der Einrichtung angeben, wird mit Ihrem vom Kunden verwalteten KMS-Schlüssel verschlüsselt, sofern Sie einen beim Erstellen des Agent Space angegeben haben, oder andernfalls mit einem diensteigenen Schlüssel. Es wird weder in API-Antworten zurückgegeben noch nach der Erstkonfiguration in der Konsole angezeigt.
**Rotation der geheimen Client-Schlüssel** — Entra-Clientgeheimnisse haben ein konfigurierbares Ablaufdatum. Richten Sie mithilfe der Option „**Client-Schlüssel rotieren“ in der AWS DevOps Agent-Konsole eine Erinnerung ein, sodass der geheime Schlüssel** rotiert werden soll, bevor er abläuft. Wenn der geheime Schlüssel abläuft, können sich Benutzer erst anmelden, wenn er rotiert wird.
**Verwaltung der Token-Lebensdauer** — Die Lebensdauer der von Ihrem Identitätsanbieter ausgegebenen Token (Zugriffstoken, Aktualisierungstoken) wird durch die Konfiguration Ihres IdP gesteuert. Wir empfehlen, die entsprechenden Token-Lebensdauern in Ihrem IdP zu konfigurieren:
+ **Okta** **— Konfigurieren Sie die Gültigkeitsdauer von Token unter **Sicherheit** > **API > Autorisierungsserver** **> Zugriffsrichtlinien****
+ **Microsoft Entra ID** — Konfigurieren Sie die Gültigkeitsdauer von Token mithilfe von Richtlinien zur [Tokenlebensdauer](https://learn.microsoft.com/en-us/entra/identity-platform/configurable-token-lifetimes)
**Gruppenanspruch** — Aktivieren Sie den Gruppenanspruch nicht in der Token-Konfiguration Ihres Identitätsanbieters. AWS DevOps Der Agent verwendet derzeit keine Gruppenmitgliedschaft von Ihrem IdP.
**Benutzer-ID** — Der AWS DevOps Agent verwendet einen anbieterspezifischen Anspruch, um Benutzer eindeutig zu identifizieren:
+ **Okta** — Verwendet den `sub` Anspruch aus dem ID-Token
+ **Microsoft Entra ID** — Verwendet den Anspruch `oid` (Objektbezeichner) aus dem ID-Token
Diese Kennungen sind unveränderlich und erscheinen zu Prüfzwecken in CloudTrail Protokollen.
## Trennen der Verbindung zum externen IdP
1. Wählen Sie in der AWS DevOps Agent-Konsole Ihren Agent Space aus
1. Gehen Sie zur Registerkarte **Zugriff**
1. Wählen Sie unter **Benutzerzugriff** die Option **Trennen**
1. Überprüfen Sie die im Bestätigungsdialogfeld aufgeführten Auswirkungen und bestätigen Sie
Durch das Trennen der Verbindung wird:
+ Entfernen Sie die IdP-Konfiguration aus dem Agent Space
+ Verhindern Sie, dass sich Benutzer über den externen Identitätsanbieter anmelden
+ Entfernen Sie den individuellen Chat- und Artefaktverlauf, der mit IdP-Benutzerkonten verknüpft ist
Aktive Benutzersitzungen werden fortgesetzt, bis sie ablaufen oder die nächste Aktualisierung der Anmeldeinformationen fehlschlägt.
## Fehlerbehebung
+ Die **Weiterleitung zum IdP schlägt fehl** — Stellen Sie sicher, dass die Aussteller-URL mit dem OIDC-Discovery-Endpunkt Ihres IdP übereinstimmt. ****Stellen Sie für Okta sicher, dass der **Aussteller** auf der Registerkarte Anmelden auf **Okta-URL** (nicht dynamisch) eingestellt ist.**** Verwenden Sie für Entra das Format. `https://login.microsoftonline.com/{tenant-id}/v2.0`
+ **Zugriff verweigert oder Richtlinienfehler (Okta)** **— Stellen Sie sicher, dass der Benutzer oder seine Gruppe der Anwendung unter Zuweisungen zugewiesen ist.** Klicken Sie **auf Anmelden** > Regeln für die **Anmelderichtlinie**.
+ **IdP-Konfigurationsfehler nach der Anmeldung** — Ihr Identitätsanbieter hat kein Aktualisierungstoken zurückgegeben. Stellen Sie sicher, dass der `offline_access` Geltungsbereich und der Gewährungstyp für das Aktualisierungstoken aktiviert sind:
+ **Okta** — Gehen Sie zur Registerkarte „**Allgemein**“ Ihrer Anwendung und aktivieren Sie unter „Art der **Gewährung**“ das Kontrollkästchen „**Token aktualisieren**“
+ **Entra** — Gehen Sie zu den **API-Berechtigungen** und stellen Sie sicher, dass sie unter `offline_access` Delegierte Berechtigungen aufgeführt sind
+ Die **Authentifizierung ist erfolgreich, aber die Web-App zeigt einen Fehler** an — Stellen Sie sicher, dass die Umleitungs-URI in Ihrem IdP genau mit der **Callback-URL übereinstimmt, die in der AWS DevOps Agentenkonsole** angezeigt wird.
+ **Authentifizierungsfehler** — Wenn der optionale **Gruppenanspruch** in Ihrem IdP aktiviert ist, deaktivieren Sie ihn. AWS DevOps Der Agent verwendet keine Gruppenansprüche.
+ **Die **Anmeldung schlägt nach der IdP-Authentifizierung** fehl — Für Entra `requestedAccessTokenVersion` ist verify `null` im Anwendungsmanifest nicht auf eingestellt.** Stellen Sie für Okta sicher, dass die **Aussteller-URL** korrekt ist.
+ **Fehlerseite nach dem Klicken auf Abmelden (Okta)** **— Wenn Sie nach dem Abmelden einen `post_logout_redirect_uri` Fehler sehen, fügen Sie auf der Registerkarte Allgemein Ihrer `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome` Okta-Anwendung als **Umleitungs-URI für die Abmeldung** hinzu.**
+ **Benutzer bleiben nach dem Abmelden auf der Identity-Provider-Seite (Entra)** **— Um Benutzer nach dem Abmelden zurück zur Web-App umzuleiten, fügen Sie auf der Authentifizierungsseite Ihrer Entra-Anwendung `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome` als **Umleitungs-URI** hinzu.**