Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan aplikasi dengan penerbit token tepercaya
<a name="using-apps-with-trusted-token-issuer"></a>

Penerbit token tepercaya memungkinkan Anda menggunakan propagasi identitas tepercaya dengan aplikasi yang mengautentikasi di luar. AWS Dengan penerbit token tepercaya, Anda dapat mengotorisasi aplikasi ini untuk membuat permintaan atas nama pengguna mereka untuk mengakses aplikasi AWS terkelola.

Topik berikut menjelaskan cara kerja penerbit token tepercaya dan memberikan panduan penyiapan.

**Topics**
+ [Ikhtisar penerbit token tepercaya](#trusted-token-issuer-overview)
+ [Prasyarat dan pertimbangan untuk emiten token tepercaya](#trusted-token-issuer-prerequisites)
+ [Rincian klaim JTI](#trusted-token-issuer-configuration-jti-claim)
+ [Pengaturan konfigurasi penerbit token tepercaya](trusted-token-issuer-configuration-settings.md)
+ [Menyiapkan penerbit token tepercaya](setuptrustedtokenissuer.md)
+ [Sesi peran IAM yang ditingkatkan identitas](trustedidentitypropagation-identity-enhanced-iam-role-sessions.md)

## Ikhtisar penerbit token tepercaya
<a name="trusted-token-issuer-overview"></a>

Propagasi identitas tepercaya menyediakan mekanisme yang memungkinkan aplikasi yang mengautentikasi di luar AWS untuk membuat permintaan atas nama penggunanya dengan menggunakan penerbit token tepercaya. *Penerbit token tepercaya* adalah server otorisasi OAuth 2.0 yang membuat token yang ditandatangani. Token ini mengotorisasi aplikasi yang memulai permintaan (meminta aplikasi) untuk akses ke Layanan AWS(menerima aplikasi). Meminta aplikasi memulai permintaan akses atas nama pengguna yang diautentikasi oleh penerbit token tepercaya. Pengguna diketahui oleh penerbit token tepercaya dan Pusat Identitas IAM. 

Layanan AWS yang menerima permintaan mengelola otorisasi berbutir halus ke sumber daya mereka berdasarkan pengguna dan keanggotaan grup mereka seperti yang diwakili dalam direktori Pusat Identitas. Layanan AWS tidak dapat menggunakan token dari penerbit token eksternal secara langsung.

Untuk mengatasi ini, IAM Identity Center menyediakan cara bagi aplikasi yang meminta, atau AWS driver yang digunakan aplikasi yang meminta, untuk menukar token yang dikeluarkan oleh penerbit token tepercaya dengan token yang dihasilkan oleh IAM Identity Center. Token yang dihasilkan oleh IAM Identity Center mengacu pada pengguna IAM Identity Center yang sesuai. Aplikasi yang meminta, atau driver, menggunakan token baru untuk memulai permintaan ke aplikasi penerima. Karena token baru mereferensikan pengguna terkait di Pusat Identitas IAM, aplikasi penerima dapat mengotorisasi akses yang diminta berdasarkan pengguna atau keanggotaan grup mereka sebagaimana diwakili dalam Pusat Identitas IAM.

**penting**  
Memilih server otorisasi OAuth 2.0 untuk ditambahkan sebagai penerbit token tepercaya adalah keputusan keamanan yang memerlukan pertimbangan cermat. Hanya pilih penerbit token tepercaya yang Anda percayai untuk melakukan tugas-tugas berikut:  
Otentikasi pengguna yang ditentukan dalam token.
Otorisasi akses pengguna tersebut ke aplikasi penerima. 
Hasilkan token yang dapat ditukar oleh IAM Identity Center dengan token yang dibuat IAM Identity Center. 

## Prasyarat dan pertimbangan untuk emiten token tepercaya
<a name="trusted-token-issuer-prerequisites"></a>

Sebelum Anda menyiapkan penerbit token tepercaya, tinjau prasyarat dan pertimbangan berikut.
+ **Konfigurasi penerbit token tepercaya**

  Anda harus mengonfigurasi server otorisasi OAuth 2.0 (penerbit token tepercaya). Meskipun penerbit token tepercaya biasanya penyedia identitas yang Anda gunakan sebagai sumber identitas Anda untuk IAM Identity Center, itu tidak harus demikian. Untuk informasi tentang cara menyiapkan penerbit token tepercaya, lihat dokumentasi untuk penyedia identitas yang relevan.
**catatan**  
Anda dapat mengonfigurasi hingga 10 penerbit token tepercaya untuk digunakan dengan IAM Identity Center, selama Anda memetakan identitas setiap pengguna di penerbit token tepercaya ke pengguna yang sesuai di IAM Identity Center.
+ Server otorisasi OAuth 2.0 (penerbit token tepercaya) yang membuat token harus memiliki titik akhir penemuan OpenID [Connect (OIDC)](https://openid.net/specs/openid-connect-discovery-1_0.html) yang dapat digunakan IAM Identity Center untuk mendapatkan kunci publik untuk memverifikasi tanda tangan token. Untuk informasi selengkapnya, lihat [URL titik akhir penemuan OIDC (URL penerbit)](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url).
+ **Token yang dikeluarkan oleh penerbit token tepercaya**

  Token dari penerbit token tepercaya harus memenuhi persyaratan berikut:
  + Token harus ditandatangani dan dalam format [JSON Web Token (JWT)](https://datatracker.ietf.org/doc/html/rfc7519#section-3) menggunakan algoritma. RS256
  + Token harus berisi klaim berikut:
    + [Penerbit](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.1) (iss) — Entitas yang mengeluarkan token. Nilai ini harus sesuai dengan nilai yang dikonfigurasi di titik akhir penemuan OIDC (URL penerbit) di penerbit token tepercaya.
    + [Subjek](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.2) (sub) - Pengguna yang diautentikasi.
    + [Audiens](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.3) (aud) — Penerima token yang dituju. Ini adalah Layanan AWS yang akan diakses setelah token ditukar dengan token dari IAM Identity Center. Untuk informasi selengkapnya, lihat [Klaim Aud](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim).
    + [Waktu Kedaluwarsa](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.4) (exp) — Waktu setelah token kedaluwarsa.
  + Token dapat berupa token identitas atau token akses.
  + Token harus memiliki atribut yang dapat dipetakan secara unik ke satu pengguna IAM Identity Center.
**catatan**  
Menggunakan kunci penandatanganan khusus untuk JWTs from Microsoft Entra ID tidak didukung. Untuk menggunakan token dari Microsoft Entra ID penerbit token tepercaya, Anda tidak dapat menggunakan kunci penandatanganan khusus.
+ **Klaim opsional**

  IAM Identity Center mendukung semua klaim opsional yang didefinisikan dalam RFC 7523. Untuk informasi lebih lanjut, lihat [Bagian 3: Format JWT dan Persyaratan Pemrosesan](https://datatracker.ietf.org/doc/html/rfc7523#section-3) RFC ini.

  Misalnya, token dapat berisi klaim [JTI (JWT ID](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.7)). Klaim ini, jika ada, mencegah token yang memiliki JTI yang sama digunakan kembali untuk pertukaran token. Untuk informasi lebih lanjut tentang klaim JTI, lihat[Rincian klaim JTI](#trusted-token-issuer-configuration-jti-claim).
+ **Konfigurasi IAM Identity Center untuk bekerja dengan penerbit token tepercaya**

  Anda juga harus mengaktifkan Pusat Identitas IAM, mengonfigurasi sumber identitas untuk Pusat Identitas IAM, dan menyediakan pengguna yang sesuai dengan pengguna di direktori penerbit token tepercaya.

  Untuk melakukan ini, Anda harus melakukan salah satu dari yang berikut:
  + Sinkronisasi pengguna ke IAM Identity Center dengan menggunakan protokol System for Cross-domain Identity Management (SCIM) 2.0.
  + Buat pengguna langsung di IAM Identity Center.

## Rincian klaim JTI
<a name="trusted-token-issuer-configuration-jti-claim"></a>

Jika IAM Identity Center menerima permintaan untuk menukar token yang telah dipertukarkan oleh IAM Identity Center, permintaan gagal. Untuk mendeteksi dan mencegah penggunaan kembali token untuk pertukaran token, Anda dapat menyertakan klaim JTI. IAM Identity Center melindungi terhadap pemutaran ulang token berdasarkan klaim dalam token.

Tidak semua server otorisasi OAuth 2.0 menambahkan klaim JTI ke token. Beberapa server otorisasi OAuth 2.0 mungkin tidak mengizinkan Anda menambahkan JTI sebagai klaim khusus. OAuth Server otorisasi 2.0 yang mendukung penggunaan klaim JTI dapat menambahkan klaim ini ke token identitas saja, token akses saja, atau keduanya. Untuk informasi selengkapnya, lihat dokumentasi untuk server otorisasi OAuth 2.0 Anda.

 Untuk informasi tentang membangun aplikasi yang bertukar token, lihat dokumentasi API Pusat Identitas IAM. Untuk informasi tentang mengonfigurasi aplikasi yang dikelola pelanggan untuk mendapatkan dan menukar token yang benar, lihat dokumentasi untuk aplikasi tersebut.

# Pengaturan konfigurasi penerbit token tepercaya
<a name="trusted-token-issuer-configuration-settings"></a>

Bagian berikut menjelaskan pengaturan yang diperlukan untuk mengatur dan menggunakan penerbit token tepercaya.

**Topics**
+ [URL titik akhir penemuan OIDC (URL penerbit)](#oidc-discovery-endpoint-url)
+ [Pemetaan atribut](#trusted-token-issuer-attribute-mappings)
+ [Klaim Aud](#trusted-token-issuer-aud-claim)

## URL titik akhir penemuan OIDC (URL penerbit)
<a name="oidc-discovery-endpoint-url"></a>

Saat menambahkan penerbit token tepercaya ke konsol Pusat Identitas IAM, Anda harus menentukan URL titik akhir penemuan OIDC. URL ini biasanya disebut dengan URL relatifnya,`/.well-known/openid-configuration`. Di konsol IAM Identity Center, URL ini disebut URL *penerbit*.

**catatan**  
Anda harus menempelkan URL titik akhir penemuan *hingga dan tanpa*`.well-known/openid-configuration`. Jika `.well-known/openid-configuration` disertakan dalam URL, konfigurasi penerbit token tepercaya tidak akan berfungsi. Karena IAM Identity Center tidak memvalidasi URL ini, jika URL tidak dibentuk dengan benar, penyiapan penerbit token tepercaya akan gagal tanpa pemberitahuan.  
URL titik akhir penemuan OIDC harus dapat dijangkau melalui port 80 dan 443 saja.

IAM Identity Center menggunakan URL ini untuk mendapatkan informasi tambahan tentang penerbit token tepercaya. Misalnya, IAM Identity Center menggunakan URL ini untuk mendapatkan informasi yang diperlukan untuk memverifikasi token yang dihasilkan oleh penerbit token tepercaya. Saat Anda menambahkan penerbit token tepercaya ke Pusat Identitas IAM, Anda harus menentukan URL ini. Untuk menemukan URL, lihat dokumentasi untuk penyedia server otorisasi OAuth 2.0 yang Anda gunakan untuk menghasilkan token untuk aplikasi Anda, atau hubungi penyedia secara langsung untuk bantuan.

## Pemetaan atribut
<a name="trusted-token-issuer-attribute-mappings"></a>

Pemetaan atribut memungkinkan Pusat Identitas IAM untuk mencocokkan pengguna yang diwakili dalam token yang dikeluarkan oleh penerbit token tepercaya kepada satu pengguna di Pusat Identitas IAM. Anda harus menentukan pemetaan atribut saat menambahkan penerbit token tepercaya ke Pusat Identitas IAM. Pemetaan atribut ini digunakan dalam klaim dalam token yang dihasilkan oleh penerbit token tepercaya. Nilai dalam klaim digunakan untuk mencari Pusat Identitas IAM. Pencarian menggunakan atribut yang ditentukan untuk mengambil satu pengguna di IAM Identity Center, yang akan digunakan sebagai pengguna di dalamnya. AWS Klaim yang Anda pilih harus dipetakan ke satu atribut dalam daftar tetap atribut yang tersedia di penyimpanan identitas Pusat Identitas IAM. Anda dapat memilih salah satu atribut penyimpanan identitas IAM Identity Center berikut: nama pengguna, email, dan ID eksternal. Nilai untuk atribut yang Anda tentukan di Pusat Identitas IAM harus unik untuk setiap pengguna.

## Klaim Aud
<a name="trusted-token-issuer-aud-claim"></a>

*Klaim aud* mengidentifikasi audiens (penerima) yang menjadi tujuan token. Ketika aplikasi yang meminta akses mengautentikasi melalui penyedia identitas yang tidak terfederasi ke IAM Identity Center, penyedia identitas tersebut harus diatur sebagai penerbit token tepercaya. Aplikasi yang menerima permintaan akses (aplikasi penerima) harus menukar token yang dihasilkan oleh penerbit token tepercaya untuk token yang dihasilkan oleh IAM Identity Center.

Untuk informasi tentang cara mendapatkan nilai klaim aud untuk aplikasi penerima saat terdaftar di penerbit token tepercaya, lihat dokumentasi untuk penerbit token tepercaya Anda atau hubungi administrator penerbit token tepercaya untuk bantuan.

# Menyiapkan penerbit token tepercaya
<a name="setuptrustedtokenissuer"></a>

Untuk mengaktifkan propagasi identitas tepercaya untuk aplikasi yang mengautentikasi secara eksternal ke IAM Identity Center, satu atau beberapa administrator harus menyiapkan penerbit token tepercaya. Penerbit token tepercaya adalah server otorisasi OAuth 2.0 yang mengeluarkan token ke aplikasi yang memulai permintaan (meminta aplikasi). Token mengotorisasi aplikasi ini untuk memulai permintaan atas nama pengguna mereka ke aplikasi penerima (an Layanan AWS). 

**Topics**
+ [Mengkoordinasikan peran dan tanggung jawab administratif](#coordinating-administrative-roles-responsibilities)
+ [Tugas untuk menyiapkan penerbit token tepercaya](#setuptrustedtokenissuer-tasks)
+ [Cara menambahkan penerbit token tepercaya ke konsol IAM Identity Center](#how-to-add-trustedtokenissuer)
+ [Cara melihat atau mengedit pengaturan penerbit token tepercaya di konsol Pusat Identitas IAM](#view-edit-trusted-token-issuers)
+ [Proses penyiapan dan alur permintaan untuk aplikasi yang menggunakan penerbit token tepercaya](#setuptrustedtokenissuer-setup-process-request-flow)

## Mengkoordinasikan peran dan tanggung jawab administratif
<a name="coordinating-administrative-roles-responsibilities"></a>

Dalam beberapa kasus, satu administrator mungkin melakukan semua tugas yang diperlukan untuk menyiapkan penerbit token tepercaya. Jika beberapa administrator melakukan tugas-tugas ini, koordinasi yang erat diperlukan. Tabel berikut menjelaskan bagaimana beberapa administrator dapat berkoordinasi untuk menyiapkan penerbit token tepercaya dan mengonfigurasi AWS layanan untuk menggunakannya. 

**catatan**  
Aplikasi ini dapat berupa AWS layanan apa pun yang terintegrasi dengan IAM Identity Center dan mendukung propagasi identitas tepercaya.

Untuk informasi selengkapnya, lihat [Tugas untuk menyiapkan penerbit token tepercaya](#setuptrustedtokenissuer-tasks).


****  

| Peran | Melakukan tugas-tugas ini | Koordinat dengan | 
| --- | --- | --- | 
| Administrator Pusat Identitas IAM |  Menambahkan iDP eksternal sebagai penerbit token tepercaya ke konsol IAM Identity Center. Membantu mengatur pemetaan atribut yang benar antara IAM Identity Center dan iDP eksternal. Memberi tahu administrator AWS layanan saat penerbit token tepercaya ditambahkan ke konsol Pusat Identitas IAM.  |  Administrator IDP eksternal (penerbit token tepercaya) AWS administrator layanan  | 
| Administrator IDP eksternal (penerbit token tepercaya) |  Mengkonfigurasi iDP eksternal untuk mengeluarkan token. Membantu mengatur pemetaan atribut yang benar antara IAM Identity Center dan iDP eksternal. Memberikan nama audiens (klaim Aud) kepada administrator AWS layanan.  |  Administrator Pusat Identitas IAM AWS administrator layanan  | 
| AWS administrator layanan |  Memeriksa konsol AWS layanan untuk penerbit token tepercaya. Penerbit token tepercaya akan terlihat di konsol AWS layanan setelah administrator Pusat Identitas IAM menambahkannya ke konsol Pusat Identitas IAM. Mengkonfigurasi AWS layanan untuk menggunakan penerbit token tepercaya.  |  Administrator Pusat Identitas IAM Administrator IDP eksternal (penerbit token tepercaya)  | 

## Tugas untuk menyiapkan penerbit token tepercaya
<a name="setuptrustedtokenissuer-tasks"></a>

Untuk menyiapkan penerbit token tepercaya, administrator Pusat Identitas IAM, administrator IDP eksternal (penerbit token tepercaya), dan administrator aplikasi harus menyelesaikan tugas-tugas berikut. 

**catatan**  
Aplikasi ini dapat berupa AWS layanan apa pun yang terintegrasi dengan IAM Identity Center dan mendukung propagasi identitas tepercaya.

1. **Tambahkan penerbit token tepercaya ke Pusat Identitas IAM — Administrator Pusat** Identitas IAM [menambahkan penerbit token tepercaya dengan menggunakan konsol Pusat Identitas IAM](#how-to-add-trustedtokenissuer) atau. [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) Konfigurasi ini membutuhkan penentuan yang berikut:
   + Nama untuk penerbit token tepercaya.
   + *URL titik akhir penemuan OIDC (di konsol Pusat Identitas IAM, URL ini disebut URL penerbit).* Titik akhir penemuan harus dapat dicapai melalui port 80 dan 443 saja.
   + Pemetaan atribut untuk pencarian pengguna. Pemetaan atribut ini digunakan dalam klaim dalam token yang dihasilkan oleh penerbit token tepercaya. Nilai dalam klaim digunakan untuk mencari Pusat Identitas IAM. Pencarian menggunakan atribut tertentu untuk mengambil satu pengguna di IAM Identity Center.

1. **Connect AWS layanan ke IAM Identity Center** — Administrator AWS layanan harus menghubungkan aplikasi ke IAM Identity Center dengan menggunakan konsol untuk aplikasi atau aplikasi. APIs 

    Setelah penerbit token tepercaya ditambahkan ke konsol Pusat Identitas IAM, itu juga terlihat di konsol AWS layanan dan tersedia untuk dipilih oleh administrator AWS layanan.

1. **Konfigurasikan penggunaan pertukaran token** — Di konsol AWS layanan, administrator AWS layanan mengonfigurasi AWS layanan untuk menerima token yang dikeluarkan oleh penerbit token tepercaya. Token ini ditukar dengan token yang dihasilkan oleh IAM Identity Center. Ini memerlukan penentuan nama penerbit token tepercaya dari Langkah 1, dan nilai klaim Aud yang sesuai dengan layanan. AWS 

   Penerbit token tepercaya menempatkan nilai klaim Aud dalam token yang dikeluarkannya untuk menunjukkan bahwa token dimaksudkan untuk digunakan oleh AWS layanan. Untuk mendapatkan nilai ini, hubungi administrator untuk penerbit token tepercaya.

## Cara menambahkan penerbit token tepercaya ke konsol IAM Identity Center
<a name="how-to-add-trustedtokenissuer"></a>

Dalam organisasi yang memiliki beberapa administrator, tugas ini dilakukan oleh administrator Pusat Identitas IAM. Jika Anda adalah administrator Pusat Identitas IAM, Anda harus memilih IDP eksternal mana yang akan digunakan sebagai penerbit token tepercaya. 

**Untuk menambahkan penerbit token tepercaya ke konsol Pusat Identitas IAM**

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Pengaturan**.

1. Pada halaman **Pengaturan**, pilih tab **Otentikasi**.

1. Di bawah **Penerbit token tepercaya**, pilih **Buat penerbit token tepercaya**.

1. Pada halaman **Siapkan IDP eksternal untuk menerbitkan token tepercaya**, di bawah **detail penerbit token tepercaya**, lakukan hal berikut:
   + Untuk URL **Penerbit, tentukan URL** [penemuan OIDC](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url) dari IDP eksternal yang akan mengeluarkan token untuk propagasi identitas tepercaya. Anda harus menentukan URL titik akhir penemuan hingga dan tanpa`.well-known/openid-configuration`. Administrator iDP eksternal dapat memberikan URL ini.
**catatan**  
Catatan URL ini harus cocok dengan URL dalam klaim Penerbit (iss) dalam token yang diterbitkan untuk propagasi identitas tepercaya. 
   + Untuk **nama penerbit token Tepercaya**, masukkan nama untuk mengidentifikasi penerbit token tepercaya ini di IAM Identity Center dan di konsol aplikasi. 

1. Di bawah **atribut Peta**, lakukan hal berikut:
   + Untuk **atribut penyedia Identity**, pilih atribut dari daftar untuk dipetakan ke atribut di penyimpanan identitas Pusat Identitas IAM.
   + Untuk **atribut IAM Identity Center**, pilih atribut yang sesuai untuk pemetaan atribut.

1. Di bawah **Tag (opsional)**, pilih **Tambahkan tag baru**, tentukan nilai untuk **Kunci**, dan opsional untuk **Nilai**.

   Untuk informasi tentang tanda, lihat [Sumber daya penandaan AWS IAM Identity Center](tagging.md).

1. Pilih **Buat penerbit token tepercaya.**

1. Setelah Anda selesai membuat penerbit token tepercaya, hubungi administrator aplikasi untuk memberi tahu mereka nama penerbit token tepercaya, sehingga mereka dapat mengonfirmasi bahwa penerbit token tepercaya terlihat di konsol yang berlaku. 

1. Administrator aplikasi harus memilih penerbit token tepercaya ini di konsol yang berlaku untuk mengaktifkan akses pengguna ke aplikasi dari aplikasi yang dikonfigurasi untuk propagasi identitas tepercaya. 

## Cara melihat atau mengedit pengaturan penerbit token tepercaya di konsol Pusat Identitas IAM
<a name="view-edit-trusted-token-issuers"></a>

Setelah menambahkan penerbit token tepercaya ke konsol Pusat Identitas IAM, Anda dapat melihat dan mengedit pengaturan yang relevan. 

Jika Anda berencana untuk mengedit pengaturan penerbit token tepercaya, perlu diingat bahwa hal itu dapat menyebabkan pengguna kehilangan akses ke aplikasi apa pun yang dikonfigurasi untuk menggunakan penerbit token tepercaya. Untuk menghindari gangguan akses pengguna, sebaiknya Anda berkoordinasi dengan administrator untuk aplikasi apa pun yang dikonfigurasi untuk menggunakan penerbit token tepercaya sebelum Anda mengedit pengaturan.

**Untuk melihat atau mengedit setelan penerbit token tepercaya di konsol Pusat Identitas IAM**

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Pengaturan**.

1. Pada halaman **Pengaturan**, pilih tab **Otentikasi**.

1. Di bawah **Penerbit token tepercaya**, pilih penerbit token tepercaya yang ingin Anda lihat atau edit.

1. Pilih **Tindakan**, dan kemudian pilih **Edit**.

1. Pada halaman **Edit penerbit token tepercaya**, lihat atau edit pengaturan sesuai kebutuhan. Anda dapat mengedit nama penerbit token tepercaya, pemetaan atribut, dan tag.

1. Pilih **Simpan perubahan**.

1. Di kotak dialog **Edit penerbit token tepercaya**, Anda diminta untuk mengonfirmasi bahwa Anda ingin melakukan perubahan. Pilih **Konfirmasi**.

## Proses penyiapan dan alur permintaan untuk aplikasi yang menggunakan penerbit token tepercaya
<a name="setuptrustedtokenissuer-setup-process-request-flow"></a>

Bagian ini menjelaskan proses penyiapan dan alur permintaan untuk aplikasi yang menggunakan penerbit token tepercaya untuk propagasi identitas tepercaya. Diagram berikut memberikan gambaran umum tentang proses ini.

![\[Proses penyiapan dan alur permintaan untuk aplikasi menggunakan penerbit token tepercaya untuk propagasi identitas tepercaya\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/trusted-identity-propagation-trusted-token-issuer-request-flow.png)


Langkah-langkah berikut memberikan informasi tambahan tentang proses ini.

1. Siapkan Pusat Identitas IAM dan aplikasi AWS terkelola penerima untuk menggunakan penerbit token tepercaya. Untuk informasi, lihat [Tugas untuk menyiapkan penerbit token tepercaya](#setuptrustedtokenissuer-tasks).

1. Alur permintaan dimulai ketika pengguna membuka aplikasi yang meminta.

1. Aplikasi yang meminta meminta token dari penerbit token tepercaya untuk memulai permintaan ke aplikasi terkelola penerima AWS . Jika pengguna belum mengautentikasi, proses ini memicu alur otentikasi. Token berisi informasi berikut:
   + Subjek (Sub) pengguna.
   + Atribut yang digunakan IAM Identity Center untuk mencari pengguna yang sesuai di IAM Identity Center.
   + Klaim audiens (Aud) yang berisi nilai yang dikaitkan dengan penerbit token tepercaya dengan aplikasi AWS terkelola penerima. Jika ada klaim lain, klaim tersebut tidak digunakan oleh IAM Identity Center.

1. Aplikasi yang meminta, atau AWS driver yang digunakannya, meneruskan token ke IAM Identity Center dan meminta agar token ditukar dengan token yang dihasilkan oleh IAM Identity Center. Jika Anda menggunakan AWS driver, Anda mungkin perlu mengonfigurasi driver untuk kasus penggunaan ini. Untuk informasi selengkapnya, lihat dokumentasi untuk aplikasi AWS terkelola yang relevan. 

1. IAM Identity Center menggunakan endpoint OIDC Discovery untuk mendapatkan kunci publik yang dapat digunakan untuk memverifikasi keaslian token. IAM Identity Center kemudian melakukan hal berikut:
   + Memverifikasi token.
   + Mencari direktori Pusat Identitas. Untuk melakukan ini, IAM Identity Center menggunakan atribut yang dipetakan yang ditentukan dalam token.
   + Memverifikasi bahwa pengguna berwenang untuk mengakses aplikasi penerima. Jika aplikasi AWS terkelola dikonfigurasi untuk meminta penugasan kepada pengguna dan grup, pengguna harus memiliki penugasan langsung atau berbasis grup ke aplikasi; jika tidak, permintaan ditolak. Jika aplikasi AWS terkelola dikonfigurasi agar tidak memerlukan penugasan pengguna dan grup, pemrosesan dilanjutkan.
**catatan**  
AWS layanan memiliki konfigurasi pengaturan default yang menentukan apakah penugasan diperlukan untuk pengguna dan grup. Kami menyarankan Anda untuk tidak mengubah pengaturan **Memerlukan tugas** untuk aplikasi ini jika Anda berencana untuk menggunakannya dengan propagasi identitas tepercaya. Meskipun Anda telah mengonfigurasi izin berbutir halus yang memungkinkan pengguna mengakses sumber daya aplikasi tertentu, mengubah setelan **Memerlukan penetapan** dapat mengakibatkan perilaku yang tidak terduga, termasuk akses pengguna yang terganggu ke sumber daya ini.
   + Memverifikasi bahwa aplikasi yang meminta dikonfigurasi untuk menggunakan cakupan yang valid untuk aplikasi terkelola penerima AWS . 

1. Jika langkah verifikasi sebelumnya berhasil, IAM Identity Center membuat token baru. Token baru adalah token buram (terenkripsi) yang mencakup identitas pengguna yang sesuai di Pusat Identitas IAM, audiens (Aud) dari aplikasi AWS terkelola penerima, dan cakupan yang dapat digunakan aplikasi yang meminta saat membuat permintaan ke aplikasi terkelola penerima. AWS 

1. Aplikasi yang meminta, atau driver yang digunakannya, memulai permintaan sumber daya ke aplikasi penerima dan meneruskan token yang dihasilkan IAM Identity Center ke aplikasi penerima.

1. Aplikasi penerima melakukan panggilan ke IAM Identity Center untuk mendapatkan identitas pengguna dan cakupan yang dikodekan dalam token. Mungkin juga membuat permintaan untuk mendapatkan atribut pengguna atau keanggotaan grup pengguna dari direktori Pusat Identitas.

1. Aplikasi penerima menggunakan konfigurasi otorisasi untuk menentukan apakah pengguna berwenang untuk mengakses sumber daya aplikasi yang diminta.

1. Jika pengguna berwenang untuk mengakses sumber daya aplikasi yang diminta, aplikasi penerima menanggapi permintaan tersebut.

1. Identitas pengguna, tindakan yang dilakukan atas nama mereka, dan peristiwa lainnya dicatat dalam log dan CloudTrail peristiwa aplikasi penerima. Cara spesifik di mana informasi ini dicatat bervariasi berdasarkan aplikasi.

# Sesi peran IAM yang ditingkatkan identitas
<a name="trustedidentitypropagation-identity-enhanced-iam-role-sessions"></a>

[AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS) memungkinkan aplikasi untuk mendapatkan sesi peran IAM yang ditingkatkan identitas. Sesi peran yang disempurnakan identitas memiliki konteks identitas tambahan yang membawa pengenal pengguna ke panggilan yang dipanggilnya. Layanan AWS Layanan AWS dapat mencari keanggotaan grup dan atribut pengguna di IAM Identity Center dan menggunakannya untuk mengotorisasi akses pengguna ke sumber daya.

AWS aplikasi memperoleh sesi peran yang disempurnakan identitas dengan membuat permintaan ke tindakan AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API dan meneruskan pernyataan konteks dengan identifier (`userId`) pengguna dalam parameter permintaan ke`ProvidedContexts`. `AssumeRole` Pernyataan konteks diperoleh dari `idToken` klaim yang diterima sebagai tanggapan atas permintaan untuk`SSO OIDC`. [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) Saat AWS aplikasi menggunakan sesi peran yang disempurnakan identitas untuk mengakses sumber daya, CloudTrail mencatat, sesi inisiasi`userId`, dan tindakan yang diambil. Untuk informasi selengkapnya, lihat [Pencatatan sesi peran IAM yang ditingkatkan identitas](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).

**Topics**
+ [Jenis sesi peran IAM yang ditingkatkan identitas](#types-identity-enhanced-iam-role-sessions)
+ [Pencatatan sesi peran IAM yang ditingkatkan identitas](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)

## Jenis sesi peran IAM yang ditingkatkan identitas
<a name="types-identity-enhanced-iam-role-sessions"></a>

AWS STS dapat membuat dua jenis sesi peran IAM yang ditingkatkan identitas, tergantung pada pernyataan konteks yang diberikan pada permintaan. `AssumeRole` Aplikasi yang telah memperoleh token Id dari IAM Identity Center dapat menambahkan `sts:identiy_context` (disarankan) atau `sts:audit_context` (Didukung untuk kompatibilitas mundur) ke sesi peran IAM. Sesi peran IAM yang ditingkatkan identitas hanya dapat memiliki satu dari pernyataan konteks ini, bukan keduanya.

### Sesi peran IAM yang ditingkatkan identitas dibuat dengan `sts:identity_context`
<a name="role_session_sts_identity_context"></a>

Ketika sesi peran yang ditingkatkan identitas berisi panggilan `sts:identity_context` Layanan AWS menentukan apakah otorisasi sumber daya didasarkan pada pengguna yang diwakili dalam sesi peran, atau jika itu didasarkan pada peran. Layanan AWS yang mendukung otorisasi berbasis pengguna memberikan administrator aplikasi dengan kontrol untuk menetapkan akses ke pengguna atau ke grup di mana pengguna menjadi anggota. 

Layanan AWS yang tidak mendukung otorisasi berbasis pengguna mengabaikan. `sts:identity_context` CloudTrail mencatat userID pengguna Pusat Identitas IAM dengan semua tindakan yang diambil oleh peran tersebut. Untuk informasi selengkapnya, lihat [Pencatatan sesi peran IAM yang ditingkatkan identitas](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).

Untuk mendapatkan jenis sesi peran yang ditingkatkan identitas ini AWS STS, aplikasi memberikan nilai `sts:identity_context` bidang dalam [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)permintaan menggunakan parameter permintaan. `ProvidedContexts` Gunakan `arn:aws:iam::aws:contextProvider/IdentityCenter` sebagai nilai untuk`ProviderArn`.

Untuk informasi selengkapnya tentang bagaimana otorisasi berperilaku, lihat dokumentasi untuk penerima. Layanan AWS

### Sesi peran IAM yang ditingkatkan identitas dibuat dengan `sts:audit_context`
<a name="role_session_sts_audit_context"></a>

Di masa `sts:audit_context` lalu, digunakan untuk memungkinkan Layanan AWS untuk mencatat identitas pengguna tanpa menggunakannya untuk membuat keputusan otorisasi. Layanan AWS sekarang dapat menggunakan satu konteks - `sts:identity_context` - untuk mencapai hal ini serta untuk membuat keputusan otorisasi. Kami merekomendasikan penggunaan `sts:identity_context` di semua penyebaran baru propagasi identitas tepercaya.

## Pencatatan sesi peran IAM yang ditingkatkan identitas
<a name="trustedidentitypropagation-identity-enhanced-iam-role-session-logging"></a>

Ketika permintaan dibuat untuk Layanan AWS menggunakan sesi peran IAM yang disempurnakan identitas, Pusat Identitas IAM pengguna `userId` dicatat dalam elemen. CloudTrail `OnBehalfOf` Cara di mana peristiwa login CloudTrail bervariasi berdasarkan Layanan AWS. Tidak semua Layanan AWS mencatat `onBehalfOf` elemen.

Berikut ini adalah contoh bagaimana permintaan yang dibuat untuk Layanan AWS menggunakan sesi peran yang disempurnakan identitas masuk. CloudTrail

```
"userIdentity": {
      "type": "AssumedRole",
      "principalId": "AROAEXAMPLE:MyRole",
      "arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
      "accountId": "111111111111",
      "accessKeyId": "ASIAEXAMPLE",
      "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAEXAMPLE",
            "arn": "arn:aws:iam::111111111111:role/MyRole",
            "accountId": "111111111111",
            "userName": "MyRole"
        },
        "attributes": {
            "creationDate": "2023-12-12T13:55:22Z",
            "mfaAuthenticated": "false"
        }
    },
    "onBehalfOf": {
        "userId": "11111111-1111-1111-1111-1111111111",
        "identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
    }
}
```