Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Vertraue Anbietern für verifizierten Zugriff
Ein Vertrauensanbieter ist ein Dienst, der Informationen über Benutzer und Geräte an sendet AWS Verified Access. Diese Informationen werden als Vertrauenskontext bezeichnet. Dazu können Attribute gehören, die auf der Benutzeridentität basieren, z. B. eine E-Mail-Adresse oder die Mitgliedschaft in der „Verkaufsorganisation“, oder Geräteinformationen wie installierte Sicherheitspatches oder die Version der Antivirensoftware.
Verified Access unterstützt die folgenden Kategorien von Vertrauensanbietern:
+ **Benutzeridentität** — Ein Identitätsanbieterdienst (IdP), der digitale Identitäten für Benutzer speichert und verwaltet.
+ **Geräteverwaltung** — Ein Geräteverwaltungssystem für Geräte wie Laptops, Tablets und Smartphones.
**Topics**
+ [Vertrauenswürdige Anbieter von Benutzeridentitäten für verifizierten Zugriff](user-trust.md)
+ [Gerätebasierte Vertrauensanbieter für verifizierten Zugriff](device-trust.md)
# Vertrauenswürdige Anbieter von Benutzeridentitäten für verifizierten Zugriff
Sie können wählen, ob Sie AWS IAM Identity Center entweder einen OpenID Connect-kompatiblen Vertrauensanbieter für Benutzeridentitäten verwenden möchten.
**Topics**
+ [Verwenden Sie IAM Identity Center als Vertrauensanbieter](#identity-center)
+ [Verwenden Sie einen OpenID Connect-Vertrauensanbieter](#oidc-provider)
## Verwenden Sie IAM Identity Center als Vertrauensanbieter
Sie können es AWS IAM Identity Center als Vertrauensanbieter für *Benutzeridentitäten* mit AWS verifiziertem Zugriff verwenden.
### Voraussetzungen und Überlegungen
+ Ihre IAM Identity Center-Instanz muss eine Instanz AWS Organizations sein. Eine IAM Identity Center-Instanz mit einem eigenständigen AWS Konto funktioniert nicht.
+ Ihre IAM Identity Center-Instanz muss in derselben AWS Region aktiviert sein, in der Sie den Verified Access Trust Provider erstellen möchten.
+ Verified Access kann Benutzern im IAM Identity Center, die bis zu 1.000 Gruppen zugewiesen sind, Zugriff gewähren.
Einzelheiten zu den verschiedenen Instanztypen finden Sie im *AWS IAM Identity Center Benutzerhandbuch* unter [Organisations- und Kontoinstanzen von IAM Identity Center verwalten](https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html).
### Erstellen Sie einen IAM Identity Center Trust Provider
Nachdem IAM Identity Center für Ihr AWS Konto aktiviert wurde, können Sie das folgende Verfahren verwenden, um IAM Identity Center als Ihren Vertrauensanbieter für verifizierten Zugriff einzurichten.
**So erstellen Sie einen IAM Identity Center-Vertrauensanbieter (Konsole)AWS**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Verified Access Trust Provider** und dann **Create Verified Access Trust Provider** aus.
1. (Optional) Geben Sie **unter Namenstag** und **Beschreibung** einen Namen und eine Beschreibung für den Vertrauensanbieter ein.
1. Geben Sie **als Referenzname für die Richtlinie** einen Bezeichner ein, der später bei der Arbeit mit Richtlinienregeln verwendet werden soll.
1. Wählen Sie unter **Vertrauensanbietertyp** die Option **Benutzervertrauensdienstanbieter** aus.
1. Wählen Sie unter **Benutzer-Trust-Provider-Typ** die Option **IAM Identity Center** aus.
1. (Optional) Sie fügen ein Tag hinzu, indem Sie **neues Tag hinzufügen** auswählen und den Schlüssel und den Wert für das Tag eingeben.
1. Wählen Sie **Create Verified Access Trust Provider**.
**So erstellen Sie einen IAM Identity Center Trust Provider (AWS CLI)**
+ [create-verified-access-trust-Anbieter](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) ()AWS CLI
### Löschen Sie einen IAM Identity Center-Vertrauensanbieter
Bevor Sie einen Trust Provider löschen können, müssen Sie die gesamte Endpoint- und Gruppenkonfiguration aus der Instance entfernen, an die der Trust Provider angehängt ist.
**Um einen IAM Identity Center Trust Provider (AWS Konsole) zu löschen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Verified Access Trust Provider** und dann unter **Verified Access Trust Providers den Trust Provider aus, den** Sie löschen möchten.
1. Wählen Sie **Aktionen** und dann **Vertrauensanbieter mit verifiziertem Zugriff löschen** aus.
1. Bestätigen Sie den Löschvorgang, indem Sie die Eingabe `delete` in das Textfeld eingeben.
1. Wählen Sie **Löschen** aus.
**So löschen Sie einen IAM Identity Center Trust Provider (AWS CLI)**
+ [delete-verified-access-trust-Anbieter](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) ()AWS CLI
## Verwenden Sie einen OpenID Connect-Vertrauensanbieter
AWS Verified Access unterstützt Identitätsanbieter, die standardmäßige OpenID Connect (OIDC) -Methoden verwenden. Sie können OIDC-kompatible Anbieter als Vertrauensanbieter für *Benutzeridentitäten* mit verifiziertem Zugriff verwenden. Aufgrund der Vielzahl potenzieller OIDC-Anbieter AWS ist es jedoch nicht möglich, jede OIDC-Integration mit Verified Access zu testen.
Verified Access bezieht die Vertrauensdaten, die es auswertet, von den OIDC-Anbietern. `UserInfo Endpoint` Der `Scope` Parameter wird verwendet, um zu bestimmen, welche Vertrauensdatensätze abgerufen werden. Nachdem die Vertrauensdaten empfangen wurden, wird die Verified Access-Richtlinie anhand dieser Daten bewertet.
Bei Vertrauensanbietern, die am 24. Februar 2025 eingerichtet wurden, sind die ID-Token-Ansprüche des OIDC-Vertrauensanbieters im `addition_user_context` Schlüssel enthalten.
Bei Vertrauensanbietern, die vor dem 24. Februar 2025 eingerichtet wurden, verwendet Verified Access keine Vertrauensdaten aus dem vom OIDC-Anbieter `ID token` gesendeten. Nur Vertrauensdaten von werden anhand `UserInfo Endpoint` der Richtlinie bewertet.
Bei Vertrauensanbietern, die am 24. Februar 2025 eingerichtet wurden, beträgt die Standardsitzungsdauer einen Tag. Bei Vertrauensanbietern, die vor dem 24. Februar 2025 gegründet wurden, beträgt die Standardsitzungsdauer sieben Tage.
Wenn ein Aktualisierungstoken angegeben ist, verwendet Verified Access den Ablauf des Aktualisierungstokens als Sitzungsdauer. Wenn kein Aktualisierungstoken vorhanden ist, wird die Standardsitzungsdauer verwendet.
**Topics**
+ [Voraussetzungen für die Erstellung eines OIDC-Vertrauensanbieters](#create-oidc-prereq)
+ [Erstellen Sie einen OIDC-Vertrauensanbieter](#create-oidc-provider)
+ [Ändern Sie einen OIDC-Vertrauensanbieter](#modify-oidc-provider)
+ [Löschen Sie einen OIDC-Vertrauensanbieter](#delete-oidc-provider)
### Voraussetzungen für die Erstellung eines OIDC-Vertrauensanbieters
Sie müssen die folgenden Informationen direkt von Ihrem Trust Provider-Dienst einholen:
+ Aussteller
+ Endpunkt der Autorisierung
+ Token-Endpunkt
+ UserInfo Endpunkt
+ Client-ID
+ Clientschlüssel
+ Scope
### Erstellen Sie einen OIDC-Vertrauensanbieter
Gehen Sie wie folgt vor, um einen OIDC als Ihren Vertrauensanbieter zu erstellen.
**So erstellen Sie einen OIDC-Vertrauensanbieter (Konsole)AWS**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich Vertrauensanbieter mit **verifiziertem Zugriff und dann Vertrauensanbieter** mit **verifiziertem Zugriff erstellen** aus.
1. (Optional) Geben Sie **unter Namenstag** und **Beschreibung** einen Namen und eine Beschreibung für den Vertrauensanbieter ein.
1. Geben Sie **als Referenzname für die Richtlinie** einen Bezeichner ein, der später bei der Arbeit mit Richtlinienregeln verwendet werden soll.
1. Wählen Sie unter **Vertrauensanbietertyp** die Option **Benutzervertrauensdienstanbieter** aus.
1. Wählen Sie unter **Benutzervertrauensanbietertyp** die Option **OIDC (OpenID** Connect) aus.
1. Wählen Sie für **OIDC (OpenID Connect)** den Vertrauensanbieter aus.
1. Geben Sie für **Issuer** die ID des OIDC-Emittenten ein.
1. Geben Sie für **Autorisierungsendpunkt** die vollständige URL des Autorisierungsendpunkts ein.
1. Geben Sie für **Token-Endpunkt** die vollständige URL des Token-Endpunkts ein.
1. Geben Sie für **Benutzerendpunkt** die vollständige URL des Benutzerendpunkts ein.
1. (Native Application OIDC) Geben Sie für die URL des **öffentlichen Signaturschlüssels die vollständige URL** des Endpunkts mit dem öffentlichen Signaturschlüssel ein.
1. **Geben Sie die OAuth 2.0-Client-ID als Client-ID ein.**
1. Geben Sie für Client Secret den OAuth **2.0-Client-Schlüssel ein**.
1. Geben Sie eine durch Leerzeichen getrennte Liste von Bereichen ein, die mit Ihrem Identitätsanbieter definiert wurden. **Für openid Scope ist mindestens der Bereich erforderlich.**
1. (Optional) Sie fügen ein Tag hinzu, indem Sie **neues Tag hinzufügen** auswählen und den Schlüssel und den Wert für das Tag eingeben.
1. Wählen Sie **Create Verified Access Trust Provider** aus.
1. Sie müssen der Zulassungsliste für Ihren OIDC-Anbieter eine Weiterleitungs-URI hinzufügen.
+ HTTP-Anwendungen — Verwenden Sie den folgenden URI:. **https://application\$1domain/oauth2/idpresponse** In der Konsole finden Sie die Anwendungsdomäne auf der Registerkarte **Details** für den Verified Access-Endpunkt. Wenn Sie das AWS CLI oder ein AWS SDK verwenden, ist die Anwendungsdomäne in der Ausgabe enthalten, wenn Sie den Verified Access-Endpunkt beschreiben.
+ TCP-Anwendungen — Verwenden Sie den folgenden URI:**http://localhost:8000**.
**So erstellen Sie einen OIDC Trust Provider (CLI)AWS**
+ [create-verified-access-trust-Anbieter](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) ()AWS CLI
### Ändern Sie einen OIDC-Vertrauensanbieter
Nachdem Sie einen Vertrauensanbieter erstellt haben, können Sie dessen Konfiguration aktualisieren.
**Um einen OIDC-Vertrauensanbieter (AWS Konsole) zu ändern**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich die Option **Verified Access Trust Providers** aus, und wählen Sie dann unter **Verified Access Trust Providers den Vertrauensanbieter aus, den** Sie ändern möchten.
1. Wählen Sie **Aktionen** und dann **Vertrauensanbieter mit verifiziertem Zugriff ändern** aus.
1. Ändern Sie die Optionen, die Sie ändern möchten.
1. Wählen Sie **Vertrauensanbieter mit verifiziertem Zugriff ändern** aus.
**So ändern Sie einen OIDC-Vertrauensanbieter (CLI)AWS**
+ [modify-verified-access-trust-Anbieter](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-trust-provider.html) ()AWS CLI
### Löschen Sie einen OIDC-Vertrauensanbieter
Bevor Sie einen Benutzer-Vertrauensanbieter löschen können, müssen Sie zunächst die gesamte Endpunkt- und Gruppenkonfiguration aus der Instanz entfernen, an die der Trust Provider angehängt ist.
**Um einen OIDC-Vertrauensanbieter (AWS Konsole) zu löschen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich die Option **Verified Access Trust Providers** aus, und wählen Sie dann unter **Verified Access Trust Providers den Vertrauensanbieter aus, den** Sie löschen möchten.
1. Wählen Sie **Aktionen** und dann **Vertrauensanbieter mit verifiziertem Zugriff löschen** aus.
1. Bestätigen Sie den Löschvorgang, indem Sie die Eingabe `delete` in das Textfeld eingeben.
1. Wählen Sie **Löschen** aus.
**So löschen Sie einen OIDC-Vertrauensanbieter (CLI)AWS**
+ [delete-verified-access-trust-Anbieter](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) ()AWS CLI
# Gerätebasierte Vertrauensanbieter für verifizierten Zugriff
Sie können vertrauenswürdige Geräteanbieter mit AWS verifiziertem Zugriff verwenden. Sie können einen oder mehrere Vertrauensanbieter für Geräte mit Ihrer Verified Access-Instanz verwenden.
**Topics**
+ [Unterstützte Anbieter von Gerätevertrauensstellungen](#supported-trust-providers)
+ [Erstellen Sie einen gerätebasierten Vertrauensanbieter](#create-device-trust)
+ [Ändern Sie einen gerätebasierten Vertrauensanbieter](#modify-device-trust)
+ [Löscht einen gerätebasierten Vertrauensanbieter](#delete-device-trust)
## Unterstützte Anbieter von Gerätevertrauensstellungen
Die folgenden Anbieter von Gerätevertrauen können in Verified Access integriert werden:
+ CrowdStrike — [Sicherung privater Anwendungen mit CrowdStrike AWS verifiziertem Zugriff](https://github.com/CrowdStrike/Cloud-AWS/tree/main/verified-access)
+ Jamf — [Integration von verifiziertem Zugriff mit Jamf Device Identity](https://learn.jamf.com/en-US/bundle/technical-paper-aws-verified-access/page/Overview.html)
+ JumpCloud — [Integration JumpCloud und verifizierter Zugriff AWS](https://jumpcloud.com/support/integrate-with-aws-verified-access)
## Erstellen Sie einen gerätebasierten Vertrauensanbieter
Gehen Sie wie folgt vor, um einen Gerätevertrauensanbieter für die Verwendung mit Verified Access zu erstellen und zu konfigurieren.
**So erstellen Sie einen Vertrauensdienstanbieter für Geräte mit verifiziertem Zugriff (AWS Konsole)**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich Vertrauensanbieter mit **verifiziertem Zugriff und dann Vertrauensanbieter** mit **verifiziertem Zugriff erstellen** aus.
1. (Optional) Geben Sie **unter Namenstag** und **Beschreibung** einen Namen und eine Beschreibung für den Vertrauensanbieter ein.
1. Geben Sie einen Bezeichner ein, der später bei der Arbeit mit Richtlinienregeln für den **Referenznamen** verwendet werden soll.
1. Wählen Sie als **Vertrauensanbietertyp** die Option **Geräteidentität** aus.
1. Wählen Sie als **Typ der Geräteidentität** die Option **Jamf**, **CrowdStrike**, oder **JumpCloud**aus.
1. Geben Sie **unter Mandanten-ID** den Bezeichner der Mandantenanwendung ein.
1. (Optional) Geben Sie für die **URL des öffentlichen Signaturschlüssels** die eindeutige Schlüssel-URL ein, die Ihnen von Ihrem Device Trust Provider zur Verfügung gestellt wurde. (Dieser Parameter ist für Jamf CrowdStrike oder Jumpcloud nicht erforderlich.)
1. Wählen Sie **Create Verified Access Trust Provider** aus.
**Anmerkung**
Sie müssen der Zulassungsliste Ihres OIDC-Anbieters eine Weiterleitungs-URI hinzufügen. Zu diesem Zweck sollten Sie den `DeviceValidationDomain` Endpunkt „Verified Access“ verwenden. Dies finden Sie in der AWS-Managementkonsole, auf der Registerkarte **Details** für Ihren verifizierten Zugriffs-Endpunkt oder indem Sie AWS CLI den Endpunkt beschreiben. Fügen Sie Folgendes zur Zulassungsliste Ihres OIDC-Anbieters hinzu: https:///oauth2/idpresponse `DeviceValidationDomain`
**So erstellen Sie einen Device Trust Provider (AWS CLI) mit verifiziertem Zugriff**
+ [create-verified-access-trust-Anbieter](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) ()AWS CLI
## Ändern Sie einen gerätebasierten Vertrauensanbieter
Nachdem Sie einen Vertrauensanbieter erstellt haben, können Sie dessen Konfiguration aktualisieren.
**So ändern Sie einen Vertrauensdienstanbieter für Geräte mit verifiziertem Zugriff (AWS Konsole)**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich die Option **Verified Access Trust Providers** aus.
1. Wählen Sie den Vertrauensanbieter aus.
1. Wählen Sie **Aktionen** und dann **Vertrauensanbieter mit verifiziertem Zugriff ändern** aus.
1. Ändern Sie die Beschreibung nach Bedarf.
1. (Optional) Ändern Sie für die **URL des öffentlichen Signaturschlüssels** die eindeutige Schlüssel-URL, die Ihnen von Ihrem Device Trust Provider zur Verfügung gestellt wurde. (Dieser Parameter ist nicht erforderlich, wenn es sich bei Ihrem Gerät um Jamf CrowdStrike oder Jumpcloud handelt.)
1. Wählen Sie **Vertrauensanbieter mit verifiziertem Zugriff ändern** aus.
**So ändern Sie einen Device Trust Provider (AWS CLI) mit verifiziertem Zugriff**
+ [modify-verified-access-trust-Anbieter](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-trust-provider.html) ()AWS CLI
## Löscht einen gerätebasierten Vertrauensanbieter
Wenn Sie mit einem Vertrauensanbieter fertig sind, können Sie ihn löschen.
**So löschen Sie einen Vertrauensanbieter für Geräte mit verifiziertem Zugriff (AWS Konsole)**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich die Option **Verified Access Trust Providers** aus.
1. Wählen Sie unter Vertrauensanbieter mit **verifiziertem Zugriff den Vertrauensanbieter** aus, den Sie löschen möchten.
1. Wählen Sie **Aktionen** und dann **Vertrauensanbieter mit verifiziertem Zugriff löschen** aus.
1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **delete** ein und wählen Sie dann **Delete** (Löschen) aus.
**So löschen Sie einen Device Trust Provider (AWS CLI) mit verifiziertem Zugriff**
+ [delete-verified-access-trust-Anbieter](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) ()AWS CLI