View a markdown version of this page

Configurando a autenticação do provedor de identidade externo (IdP) - AWS DevOps Agente
Pré-requisitosComo funcionaConfigurando a autenticação de IdP externoAtualizando a configuração do IdPComo os usuários acessam o aplicativo web Agent SpaceGerenciamento de sessõesConsiderações sobre segurançaDesconectando o IdP externoSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando a autenticação do provedor de identidade externo (IdP)

A autenticação de provedor de identidade externo (IdP) permite que sua organização use um provedor de identidade existente compatível com OIDC, como Okta ou Microsoft Entra ID, para gerenciar o acesso do usuário ao aplicativo web do Agent Space. AWS DevOps Os usuários fazem login com suas credenciais corporativas diretamente por meio do seu IdP, sem AWS precisar do IAM Identity Center.

Pré-requisitos

Antes de configurar a autenticação de IdP externo, verifique se você tem:

  • Um provedor de identidade compatível com OIDC (Okta ou Microsoft Entra ID)

  • Acesso de administrador ao seu provedor de identidade

  • Permissões de administrador para acessar o console do AWS DevOps agente

  • Um espaço de agente configurado ou pronto para ser criado

Como funciona

Quando você configura a autenticação de IdP externo:

  • Os usuários navegam até o URL do aplicativo web Agent Space

  • Eles são redirecionados para a página de login do seu provedor de identidade

  • Depois de se autenticarem com suas credenciais corporativas, eles são redirecionados de volta para o aplicativo web

  • O aplicativo web troca o token de autenticação por AWS credenciais de curta duração com escopo no Espaço do Agente

As sessões são válidas por até 8 horas. As credenciais são atualizadas automaticamente usando tokens de atualização do OIDC sem exigir que os usuários se autentiquem novamente.

Configurando a autenticação de IdP externo

Etapa 1: registrar um aplicativo em seu provedor de identidade

Escolha seu provedor de identidade e siga as instruções de configuração correspondentes.

Opção A: Okta

  1. No Okta Admin Console, navegue até Aplicativos > Aplicativos e escolha Criar integração de aplicativos

  2. Selecione OIDC - OpenID Connect como método de login e Aplicativo Web como tipo de aplicativo. Escolha Próximo.

  3. Defina um nome descritivo para o aplicativo (por exemplo,AWS DevOps Agent)

  4. Em Tipo de concessão, verifique se o seguinte está marcado:

    • Código de autorização (padrão)

    • Token de atualização — Isso é necessário para a atualização da sessão. Se não estiver ativado, os usuários não conseguirão manter as sessões.

nota

O Okta não habilita o tipo de concessão Refresh Token por padrão. Você deve habilitá-lo explicitamente.

  1. Deixe o redirecionamento de login URIs como o valor padrão por enquanto — você o atualizará após configurar o Espaço do Agente

  2. Em Tarefas, atribua os usuários ou grupos que devem ter acesso

  3. Escolha Salvar

  4. Na guia Geral do aplicativo, observe os seguintes valores:

    • ID do cliente

    • Segredo do cliente — Escolha Copiar para salvar esse valor com segurança

  5. Anote seu domínio Okta — este é o URL do emissor (por exemplo,https://dev-12345678.okta.com).

nota

Na guia Login, verifique se o emissor está definido como URL Okta (não dinâmico). Isso garante um URL de emissor estável.

nota

Não adicione uma reivindicação de grupos ao token de ID na guia Reivindicações do seu servidor de autorização. AWS DevOps O agente não usa a associação ao grupo do seu IdP.

Opção B: Microsoft Inserir ID

  1. No portal do Azure, navegue até Microsoft Entra ID > Registros de aplicativos > Novo registro

  2. Defina um nome descritivo (por exemplo,AWS DevOps Agent)

  3. Em Tipos de conta compatíveis, selecione a opção apropriada para sua organização (normalmente Contas somente neste diretório organizacional)

  4. Deixe o URI de redirecionamento em branco por enquanto. Escolha Registrar

  5. Na página Visão geral do aplicativo, observe os seguintes valores:

    • ID do aplicativo (cliente) — usado como ID do cliente ao configurar o Agent Space

    • ID do diretório (inquilino) — usado para construir o URL do emissor

  6. Navegue até Certificados e segredos > Novo segredo do cliente

    • Defina uma descrição e um período de expiração

    • Escolha Adicionar e copie o valor secreto imediatamente — ele não será exibido novamente

  7. O URL do emissor do Entra ID segue esse formato. {tenant-id}Substitua pelo ID do diretório (inquilino) da etapa 5:

    • https://login.microsoftonline.com/{tenant-id}/v2.0

nota

Não habilite a reivindicação opcional do grupo na configuração do Token. AWS DevOps O agente não usa a associação ao grupo do seu IdP.

Etapa 2: habilitar o aplicativo do operador com autenticação IdP

  1. No console do AWS DevOps agente, selecione seu Espaço do agente

  2. Vá para a guia Acesso

  3. Em Acesso do usuário, escolha Provedor de identidade externo

  4. No formulário de configuração, configure o seguinte:

    • Provedor de identidade — Selecione seu provedor de identidade (Okta ou Microsoft Entra ID)

    • URL do emissor — O URL do emissor do OIDC do seu provedor de identidade

    • ID do cliente — O ID do cliente do aplicativo OIDC que você criou

    • Segredo do cliente — O segredo do cliente do seu aplicativo OIDC

  5. Em Nome da função do aplicativo do provedor de identidade, escolha uma das três opções:

    • Criar automaticamente uma nova função de DevOps agente (recomendado) — Cria uma nova função de serviço com as permissões apropriadas

    • Atribuir uma função existente — Use uma função do IAM existente que você já criou

    • Crie uma nova função de DevOps agente usando um modelo de política — Use os detalhes fornecidos para criar sua própria função no console do IAM

  6. Revise o alerta de aviso de URL de retorno de chamada exibido na parte inferior do formulário. Copie esse URL — você precisará adicioná-lo ao redirecionamento permitido do seu provedor de identidade URIs antes que os usuários possam fazer login.

  7. Selecione Connect (Conectar).

Depois de escolher Connect, o console exibe a configuração do provedor de identidade externo com os seguintes detalhes:

  • Provedor — O provedor de identidade que você selecionou

  • URL do emissor — O URL configurado do emissor do OIDC

  • ID do cliente — O ID do cliente configurado

  • ARN da função do IAM — A função do IAM usada para acesso do usuário

  • URL de retorno de chamada — Configure essa URL em seu provedor de identidade como uma URI de redirecionamento permitida

  • URL de login — Use esse URL para acessar o aplicativo web por meio do seu provedor de identidade

Etapa 3: adicionar o URL de retorno de chamada ao seu provedor de identidade

Okta

  1. No Okta Admin Console, navegue até a guia Geral do seu aplicativo

  2. Em Login, escolha Editar

  3. Adicione o URL de retorno de chamada como um URI de redirecionamento de login:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/callback

  4. (Opcional) Defina o URI de início de login para ativar o login iniciado pelo IdP no painel do Okta:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/login

  5. (Recomendado) Adicione um URI de redirecionamento de desconexão para redirecionar os usuários de volta ao aplicativo web após o logout. Sem isso, os usuários podem ver uma página de erro ao sair:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome

  6. Escolha Salvar

Microsoft Entra ID

  1. No portal do Azure, navegue até a página de Autenticação do seu aplicativo

  2. Em Configurações da plataforma, escolha Adicionar uma plataforma > Web

  3. Insira o URL de retorno de chamada como o URI de redirecionamento:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/callback

  4. (Opcional) Adicione um URI de redirecionamento de desconexão para redirecionar os usuários de volta ao aplicativo web após o logout:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome

  5. Escolha Configurar

Etapa 4: Verificar a configuração

  1. Navegue até o URL de login mostrado no console:

    • https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/login

  2. Você deve ser redirecionado para a página de login do seu provedor de identidade

  3. Faça login com suas credenciais corporativas

  4. Após a autenticação bem-sucedida, você será redirecionado de volta para o aplicativo web do Agent Space

Atualizando a configuração do IdP

Você pode alternar o segredo do cliente sem se desconectar:

  1. No console do AWS DevOps agente, selecione seu Espaço do agente

  2. Vá para a guia Acesso

  3. Em Configuração do provedor de identidade externo, escolha Rotate client secret

  4. Insira o novo segredo do cliente

  5. Escolha Salvar

Para alterar qualquer outro campo de configuração do IdP (como URL do emissor, ID do cliente ou provedor de identidade), você deve desconectar o IdP existente e configurar um novo.

Como os usuários acessam o aplicativo web Agent Space

Depois de configurar a autenticação de IdP externo:

  • Compartilhe o URL do aplicativo web Agent Space com usuários autorizados

  • Quando os usuários navegam até o URL, eles são redirecionados para a página de login do seu provedor de identidade

  • Depois de inserir suas credenciais (e concluir o MFA, se configurado pelo seu IdP), eles são redirecionados de volta ao aplicativo web Agent Space

  • As sessões são atualizadas automaticamente — consulte Gerenciamento de sessões para obter detalhes

Gerenciamento de sessões

As sessões de IdP externo para o aplicativo web Agent Space têm as seguintes características:

  • Duração da sessão — As sessões do navegador duram até 8 horas. Isso não é configurável no AWS DevOps Agente. Se a duração da sessão do seu IdP exceder 8 horas, os usuários poderão ser reautenticados automaticamente na próxima visita sem inserir credenciais. Configure a vida útil da sessão e do token do seu IdP de acordo com os requisitos de segurança da sua organização.

  • Atualização de credenciais — As sessões são atualizadas automaticamente usando tokens de atualização do OIDC sem exigir que os usuários se autentiquem novamente

  • Autenticação multifatorial — Compatível quando configurada em seu provedor de identidade. O IdP manipula o MFA durante o login — nenhuma configuração adicional é necessária no Agente AWS DevOps

Comportamento de logout

Quando um usuário clica em Sair no aplicativo web:

  1. Todos os cookies de sessão são apagados imediatamente

  2. O usuário é redirecionado para o endpoint de logout do OIDC do provedor de identidade para encerrar a sessão de SSO

  3. Se um URI de redirecionamento de saída estiver configurado, o usuário será redirecionado de volta para a página de boas-vindas do aplicativo web

Revogando o acesso do usuário

Para revogar imediatamente o acesso de um usuário, você pode revogar suas sessões diretamente no portal administrativo do seu provedor de identidade:

  • Okta — No Okta Admin Console, navegue até Diretório > Pessoas, selecione o usuário, escolha Mais ações > Limpar sessões de usuário

  • Microsoft Entra ID — No portal do Azure, navegue até Usuários, selecione o usuário e escolha Revogar sessões

Considerações sobre segurança

Armazenamento secreto do cliente — O segredo do cliente que você fornece durante a configuração é criptografado usando sua chave KMS gerenciada pelo cliente, caso você tenha fornecido uma ao criar o Espaço do Agente, ou uma chave de propriedade do serviço. Ele nunca é retornado nas respostas da API ou exibido no console após a configuração inicial.

Rotação de segredos do cliente — Os segredos do cliente Entra têm uma expiração configurável. Defina um lembrete para alternar o segredo antes que ele expire usando a opção Girar segredo do cliente no console do agente. AWS DevOps Se o segredo expirar, os usuários não conseguirão fazer login até que ele seja rotacionado.

Gerenciamento da vida útil do token — A vida útil dos tokens (tokens de acesso, tokens de atualização) emitidos pelo seu provedor de identidade é controlada pela configuração do seu IdP. Recomendamos configurar a vida útil apropriada do token em seu IdP:

  • Okta — Configure a vida útil do token em Segurança > API > Servidores de autorização > Políticas de acesso

  • Microsoft Entra ID — Configure a vida útil do token usando políticas de vida útil do token

Declaração de grupos — Não habilite a declaração de grupos na configuração de token do seu provedor de identidade. AWS DevOps Atualmente, o agente não usa a associação ao grupo do seu IdP.

Identificador de usuário — O AWS DevOps agente usa uma declaração específica do provedor para identificar usuários de forma exclusiva:

  • Okta — Usa a sub declaração do token de ID

  • Microsoft Entra ID — usa a declaração oid (identificador de objeto) do token de ID

Esses identificadores são imutáveis e aparecem nos CloudTrail registros para fins de auditoria.

Desconectando o IdP externo

  1. No console do AWS DevOps agente, selecione seu Espaço do agente

  2. Vá para a guia Acesso

  3. Em Acesso do usuário, escolha Desconectar

  4. Analise os impactos listados na caixa de diálogo de confirmação e confirme

A desconexão irá:

  • Remova a configuração do IdP do Espaço do Agente

  • Impedir que os usuários façam login por meio do provedor de identidade externo

  • Remova o histórico individual de bate-papo e artefatos associados às contas de usuário do IdP

As sessões ativas do usuário continuarão até expirarem ou a próxima atualização de credencial falhar.

Solução de problemas

  • Falha no redirecionamento para o IdP — Verifique se o URL do emissor corresponde ao endpoint de descoberta do OIDC do seu IdP. Para Okta, certifique-se de que o Emissor esteja configurado como URL Okta (não Dinâmico) na guia Login. Para Entra, use o formatohttps://login.microsoftonline.com/{tenant-id}/v2.0.

  • Acesso negado ou erro de política (Okta) — Verifique se o usuário ou seu grupo está atribuído ao aplicativo em Atribuições. Marque Sign On > Regras da política de login.

  • Erro de configuração do IdP após o login — Seu provedor de identidade não retornou um token de atualização. Certifique-se de que o offline_access escopo e o tipo de concessão do token de atualização estejam habilitados:

    • Okta — Vá para a guia Geral do seu aplicativo e ative a caixa de seleção Atualizar Token em Tipo de concessão

    • Entrar — Acesse as permissões da API e verifique offline_access se está listado em permissões delegadas

  • A autenticação é bem-sucedida, mas o aplicativo web mostra um erro — Verifique se o URI de redirecionamento em seu IdP corresponde exatamente ao URL de retorno de chamada mostrado no console do agente. AWS DevOps

  • Falhas de autenticação — Se a declaração opcional do grupo estiver habilitada em seu IdP, desative-a. AWS DevOps O agente não usa reivindicações de grupo.

  • O login falha após a autenticação do IdP — Para Entra, verifique se não requestedAccessTokenVersion está definido null no Manifesto do aplicativo. Para Okta, verifique se o URL do emissor está correto.

  • Página de erro após clicar em Sair (Okta) — Se você ver um post_logout_redirect_uri erro após sair, adicione https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome como URI de redirecionamento de saída na guia Geral do seu aplicativo Okta.

  • Os usuários permanecem na página do provedor de identidade após o logout (Entra) — Para redirecionar os usuários de volta ao aplicativo web após o logout, adicione https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome como URI de redirecionamento na página de autenticação do seu aplicativo Entra.