Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dell'autenticazione tramite provider di identità esterno (IdP)
L'autenticazione con provider di identità esterno (IdP) consente all'organizzazione di utilizzare un provider di identità compatibile con OIDC esistente, come Okta o Microsoft Entra ID, per gestire l'accesso degli utenti all'applicazione Web Agent Space. AWS DevOps Gli utenti accedono con le proprie credenziali aziendali direttamente tramite il tuo IdP, senza AWS richiedere IAM Identity Center.
Prerequisiti
Prima di configurare l'autenticazione IdP esterna, assicurati di avere:
Un provider di identità compatibile con OIDC (Okta o Microsoft Entra ID)
Accesso amministrativo al tuo provider di identità
Autorizzazioni di amministratore per accedere alla console AWS DevOps dell'agente
Un Agent Space configurato o pronto per la creazione
Come funziona
Quando configuri l'autenticazione IdP esterna:
Gli utenti accedono all'URL dell'app Web Agent Space
Vengono reindirizzati alla pagina di accesso del tuo provider di identità
Dopo l'autenticazione con le credenziali aziendali, vengono reindirizzati nuovamente all'app web
L'app Web scambia il token di autenticazione con AWS credenziali di breve durata destinate all'Agent Space
Le sessioni sono valide per un massimo di 8 ore. Le credenziali vengono aggiornate automaticamente utilizzando i token di aggiornamento OIDC senza richiedere agli utenti di effettuare nuovamente l'autenticazione.
Configurazione dell'autenticazione IdP esterna
Passaggio 1: registra un'applicazione nel tuo provider di identità
Scegli il tuo provider di identità e segui le istruzioni di configurazione corrispondenti.
Opzione A: Okta
Nella console di amministrazione Okta, vai su Applicazioni > Applicazioni e scegli Crea integrazione tra app
Seleziona OIDC - OpenID Connect come metodo di accesso e Applicazione Web come tipo di applicazione. Seleziona Next (Successivo).
Imposta un nome descrittivo per l'applicazione (ad esempio,)
AWS DevOps AgentIn Tipo di sovvenzione, assicurati che sia selezionato quanto segue:
Codice di autorizzazione (predefinito)
Token di aggiornamento: necessario per l'aggiornamento della sessione. Se non abilitato, gli utenti non saranno in grado di mantenere le sessioni.
Nota
Per impostazione predefinita, Okta non abilita il tipo di concessione Refresh Token. È necessario abilitarlo esplicitamente.
Per ora, lascia il reindirizzamento di accesso URIs come valore predefinito: lo aggiornerai dopo aver configurato Agent Space
In Assegnazioni, assegna gli utenti o i gruppi che devono avere accesso
Seleziona Salva
Nella scheda Generale dell'applicazione, prendete nota dei seguenti valori:
ID cliente
Client secret: scegli Copy per salvare questo valore in modo sicuro
Prendi nota del tuo dominio Okta: questo è l'URL dell'emittente (ad esempio,).
https://dev-12345678.okta.com
Nota
Nella scheda Accedi, verifica che l'emittente sia impostato su Okta URL (non dinamico). Ciò garantisce un URL emittente stabile.
Nota
Non aggiungete un'attestazione di gruppo al token ID nella scheda Reclami del server di autorizzazione. AWS DevOps L'agente non utilizza l'iscrizione al gruppo del tuo IdP.
Opzione B: Microsoft Entra ID
Nel portale di Azure, vai a Microsoft Entra ID > Registrazioni app > Nuova registrazione
Imposta un nome descrittivo (ad esempio,)
AWS DevOps AgentIn Tipi di account supportati, seleziona l'opzione appropriata per la tua organizzazione (in genere solo account presenti in questa directory organizzativa)
Lascia vuoto l'URI di reindirizzamento per ora. Scegli Registrati
Nella pagina Panoramica dell'applicazione, tenete presente i seguenti valori:
ID dell'applicazione (client): utilizzato come ID client durante la configurazione di Agent Space
ID di directory (tenant): utilizzato per creare l'URL dell'emittente
Passa a Certificati e segreti > Nuovo segreto del client
Imposta una descrizione e un periodo di scadenza
Scegli Aggiungi e copia immediatamente il valore segreto: non verrà più mostrato
L'URL dell'emittente per Entra ID segue questo formato.
{tenant-id}Sostituiscilo con il tuo ID di directory (tenant) riportato nella fase 5:https://login.microsoftonline.com/{tenant-id}/v2.0
Nota
Non abilitare l'attestazione opzionale del gruppo nella configurazione del token. AWS DevOps L'agente non utilizza l'iscrizione al gruppo del tuo IdP.
Passaggio 2: abilitare l'app Operator con l'autenticazione IdP
Nella console dell' AWS DevOps agente, seleziona il tuo Agent Space
Vai alla scheda Accesso
In Accesso utente, scegli Provider di identità esterno
Nel modulo di configurazione, configura quanto segue:
Provider di identità: seleziona il tuo provider di identità (Okta o Microsoft Entra ID)
URL dell'emittente: l'URL dell'emittente OIDC del tuo provider di identità
ID client: l'ID client dell'applicazione OIDC che hai creato
Client Secret: il client secret dell'applicazione OIDC
In Identity Provider Application Role Name, scegli una delle tre opzioni:
Crea automaticamente un nuovo ruolo di DevOps agente (consigliato): crea un nuovo ruolo di servizio con le autorizzazioni appropriate
Assegna un ruolo esistente: utilizza un ruolo IAM esistente che hai già creato
Crea un nuovo ruolo di DevOps agente utilizzando un modello di policy: utilizza i dettagli forniti per creare il tuo ruolo nella console IAM
Controlla l'avviso di avviso relativo all'URL di callback visualizzato nella parte inferiore del modulo. Copia questo URL: dovrai aggiungerlo al reindirizzamento consentito dal tuo provider di identità URIs prima che gli utenti possano accedere.
Scegli Connect
Dopo aver scelto Connect, la console visualizza la configurazione del provider di identità esterno con i seguenti dettagli:
Provider: il provider di identità selezionato
URL dell'emittente: l'URL dell'emittente OIDC configurato
ID client: l'ID client configurato
IAM Role ARN: il ruolo IAM utilizzato per l'accesso degli utenti
URL di callback: configura questo URL nel tuo provider di identità come URI di reindirizzamento consentito
URL di accesso: utilizza questo URL per accedere all'app Web tramite il tuo provider di identità
Passaggio 3: aggiungi l'URL di callback al tuo provider di identità
Okta
Nella console di amministrazione Okta, vai alla scheda Generale dell'applicazione
In Login, scegli Modifica
Aggiungi l'URL di callback come URI di reindirizzamento dell'accesso:
https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/callback
(Facoltativo) Imposta l'URI di accesso iniziale per abilitare l'accesso avviato dall'IdP dalla dashboard di Okta:
https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/login
(Consigliato) Aggiungi un URI di reindirizzamento alla disconnessione per reindirizzare gli utenti all'app Web dopo il logout. In caso contrario, gli utenti potrebbero visualizzare una pagina di errore durante la disconnessione:
https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome
Seleziona Salva
ID Microsoft Entra
Nel portale di Azure, accedi alla pagina di autenticazione dell'applicazione
In Configurazioni della piattaforma, scegli Aggiungi una piattaforma > Web
Inserisci l'URL di callback come URI di reindirizzamento:
https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/callback
(Facoltativo) Aggiungi un URI di reindirizzamento alla disconnessione per reindirizzare gli utenti all'app Web dopo il logout:
https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome
Scegli Configura
Fase 4: Verifica la configurazione
Vai all'URL di accesso mostrato nella console:
https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/login
Dovresti essere reindirizzato alla pagina di accesso del tuo provider di identità
Accedi con le tue credenziali aziendali
Una volta completata l'autenticazione, verrai reindirizzato all'app web Agent Space
Aggiornamento della configurazione IdP
Puoi ruotare il segreto del client senza disconnetterti:
Nella console dell' AWS DevOps agente, seleziona il tuo Agent Space
Vai alla scheda Accesso
In Configurazione del provider di identità esterno, scegli Ruota il segreto del client
Inserisci il nuovo Client Secret
Seleziona Salva
Per modificare qualsiasi altro campo di configurazione IdP (ad esempio URL dell'emittente, ID client o provider di identità), devi disconnettere l'IdP esistente e configurarne uno nuovo.
In che modo gli utenti accedono all'app web Agent Space
Dopo aver configurato l'autenticazione IdP esterna:
Condividi l'URL dell'app Web Agent Space con gli utenti autorizzati
Quando gli utenti accedono all'URL, vengono reindirizzati alla pagina di accesso del provider di identità
Dopo aver inserito le loro credenziali (e completato l'MFA, se configurato dal tuo IdP), vengono reindirizzati all'app web di Agent Space
Le sessioni si aggiornano automaticamente: consulta Gestione delle sessioni per i dettagli
Gestione della sessione
Le sessioni IdP esterne per l'app Web Agent Space hanno le seguenti caratteristiche:
Durata della sessione: le sessioni del browser durano fino a 8 ore. Questo non è configurabile in AWS DevOps Agent. Se la durata della sessione del tuo IdP supera le 8 ore, gli utenti possono essere riautenticati automaticamente alla visita successiva senza inserire le credenziali. Configura la durata delle sessioni e dei token del tuo IdP in base ai requisiti di sicurezza della tua organizzazione.
Aggiornamento delle credenziali: le sessioni vengono aggiornate automaticamente utilizzando i token di aggiornamento OIDC senza richiedere agli utenti di effettuare nuovamente l'autenticazione
Autenticazione a più fattori: supportata se configurata nel tuo provider di identità. L'IdP gestisce l'MFA durante l'accesso: non è necessaria alcuna configurazione aggiuntiva in Agent AWS DevOps
Comportamento del logout
Quando un utente fa clic su Logout nell'app Web:
Tutti i cookie di sessione vengono cancellati immediatamente
L'utente viene reindirizzato all'endpoint di logout OIDC del provider di identità per terminare la sessione SSO
Se è configurato un URI di reindirizzamento della disconnessione, l'utente viene reindirizzato alla pagina di benvenuto dell'app Web
Revoca dell'accesso utente
Per revocare immediatamente l'accesso di un utente, puoi revocare le sue sessioni direttamente nel portale di amministrazione del tuo provider di identità:
Okta — Nella Okta Admin Console, vai su Directory > Persone, seleziona l'utente, scegli Altre azioni > Cancella sessioni utente
ID Microsoft Entra: nel portale di Azure, accedi a Utenti, seleziona l'utente e scegli Revoca sessioni
Considerazioni relative alla sicurezza
Archiviazione segreta del client: il segreto del client fornito durante la configurazione viene crittografato utilizzando la chiave KMS gestita dal cliente, se ne hai fornita una durante la creazione di Agent Space, o una chiave di proprietà del servizio in caso contrario. Non viene mai restituito nelle risposte API o visualizzato nella console dopo la configurazione iniziale.
Rotazione segreta dei client: i segreti dei client Entra hanno una scadenza configurabile. Imposta un promemoria per ruotare il segreto prima che scada utilizzando l'opzione Ruota client secret nella console dell'agente. AWS DevOps Se il segreto scade, gli utenti non potranno accedere finché non verrà ruotato.
Gestione permanente dei token: la durata dei token (token di accesso, token di aggiornamento) emessi dal tuo provider di identità è controllata dalla configurazione del tuo IdP. Ti consigliamo di configurare la durata appropriata dei token nel tuo IdP:
Okta : configura la durata dei token in Sicurezza > API > Server di autorizzazione > Politiche di accesso
Microsoft Entra ID: configura la durata dei token utilizzando i criteri di durata dei token
Dichiarazione di gruppo: non abilita l'attestazione di gruppo nella configurazione del token del tuo provider di identità. AWS DevOps Al momento l'agente non utilizza l'iscrizione al gruppo del tuo IdP.
Identificatore utente: l' AWS DevOps agente utilizza un'attestazione specifica del provider per identificare in modo univoco gli utenti:
Okta: utilizza l'attestazione del token ID
subID Microsoft Entra: utilizza l'attestazione
oid(identificatore dell'oggetto) del token ID
Questi identificatori sono immutabili e vengono visualizzati nei CloudTrail registri a fini di controllo.
Disconnessione dell'IdP esterno
Nella console dell' AWS DevOps agente, seleziona il tuo Agent Space
Vai alla scheda Accesso
In Accesso utente, scegli Disconnetti
Esamina gli impatti elencati nella finestra di dialogo di conferma e conferma
La disconnessione comporterà:
Rimuovere la configurazione IdP dall'Agent Space
Impedisci agli utenti di accedere tramite il provider di identità esterno
Rimuovi la cronologia delle chat individuali e degli artefatti associata agli account utente IdP
Le sessioni utente attive continueranno fino alla scadenza o al successivo aggiornamento delle credenziali fallisce.
Risoluzione dei problemi
Il reindirizzamento a IdP non riesce: verifica che l'URL dell'emittente corrisponda all'endpoint di rilevamento OIDC del tuo IdP. Per Okta, assicurati che l'emittente sia impostato su Okta URL (non dinamico) nella scheda Accedi. Per Entra, usa il formato.
https://login.microsoftonline.com/{tenant-id}/v2.0Accesso negato o errore di policy (Okta): verifica che l'utente o il relativo gruppo sia assegnato all'applicazione in Assegnazioni. Seleziona Sign On > Sign On Policy.
Errore di configurazione IdP dopo l'accesso: il tuo provider di identità non ha restituito un token di aggiornamento. Assicurati che l'
offline_accessambito e il tipo di concessione del token di aggiornamento siano abilitati:Okta: vai alla scheda Generale dell'applicazione e abilita la casella di controllo Refresh Token in Tipo di concessione
Entra — Vai alle autorizzazioni API e assicurati che
offline_accesssia elencato tra le autorizzazioni delegate
L'autenticazione ha esito positivo ma l'app Web mostra un errore: verifica che l'URI di reindirizzamento nel tuo IdP corrisponda esattamente all'URL di callback mostrato nella console dell'agente. AWS DevOps
Errori di autenticazione: se l'attestazione opzionale del gruppo è abilitata nel tuo IdP, disabilitala. AWS DevOps L'agente non utilizza le attestazioni di gruppo.
L'accesso non riesce dopo l'autenticazione IdP: per Entra, la verifica non
requestedAccessTokenVersionè impostatanullnel manifesto dell'applicazione. Per Okta, verifica che l'URL dell'emittente sia corretto.Pagina di errore dopo aver fatto clic su Logout (Okta): se visualizzi un
post_logout_redirect_urierrore dopo la disconnessione, aggiungilohttps://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcomecome URI di reindirizzamento per la disconnessione nella scheda Generale dell'applicazione Okta.Gli utenti rimangono sulla pagina del provider di identità dopo il logout (Entra): per reindirizzare gli utenti all'app Web dopo il logout, aggiungilo
https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcomecome URI di reindirizzamento nella pagina di autenticazione dell'applicazione Entra.
