As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurando a autenticação do provedor de identidade externo (IdP)
A autenticação de provedor de identidade externo (IdP) permite que sua organização use um provedor de identidade existente compatível com OIDC, como Okta ou Microsoft Entra ID, para gerenciar o acesso do usuário ao aplicativo web do Agent Space. AWS DevOps Os usuários fazem login com suas credenciais corporativas diretamente por meio do seu IdP, sem AWS precisar do IAM Identity Center.
## Pré-requisitos
Antes de configurar a autenticação de IdP externo, verifique se você tem:
+ Um provedor de identidade compatível com OIDC (Okta ou Microsoft Entra ID)
+ Acesso de administrador ao seu provedor de identidade
+ Permissões de administrador para acessar o console do AWS DevOps agente
+ Um espaço de agente configurado ou pronto para ser criado
## Como funciona
Quando você configura a autenticação de IdP externo:
+ Os usuários navegam até o URL do aplicativo web Agent Space
+ Eles são redirecionados para a página de login do seu provedor de identidade
+ Depois de se autenticarem com suas credenciais corporativas, eles são redirecionados de volta para o aplicativo web
+ O aplicativo web troca o token de autenticação por AWS credenciais de curta duração com escopo no Espaço do Agente
As sessões são válidas por até 8 horas. As credenciais são atualizadas automaticamente usando tokens de atualização do OIDC sem exigir que os usuários se autentiquem novamente.
## Configurando a autenticação de IdP externo
### Etapa 1: registrar um aplicativo em seu provedor de identidade
Escolha seu provedor de identidade e siga as instruções de configuração correspondentes.
#### Opção A: Okta
1. No Okta Admin Console, navegue até **Aplicativos** > **Aplicativos** e escolha **Criar integração de aplicativos**
1. Selecione **OIDC - OpenID Connect** como método de login e Aplicativo **Web** como tipo de aplicativo. Escolha **Próximo**.
1. Defina um nome descritivo para o aplicativo (por exemplo,`AWS DevOps Agent`)
1. Em **Tipo de concessão**, verifique se o seguinte está marcado:
+ **Código de autorização** (padrão)
+ **Token de atualização** — Isso é necessário para a atualização da sessão. Se não estiver ativado, os usuários não conseguirão manter as sessões.
**nota**
**O Okta não habilita o tipo de concessão Refresh Token por padrão. Você deve habilitá-lo explicitamente.
1. Deixe o **redirecionamento de login URIs** como o valor padrão por enquanto — você o atualizará após configurar o Espaço do Agente
1. Em **Tarefas**, atribua os usuários ou grupos que devem ter acesso
1. Escolha **Salvar**
1. Na guia **Geral** do aplicativo, observe os seguintes valores:
+ **ID do cliente**
+ **Segredo do cliente** — Escolha **Copiar** para salvar esse valor com segurança
1. Anote seu **domínio Okta** — este é o URL do emissor (por exemplo,`https://dev-12345678.okta.com`).
**nota**
**Na** **guia Login, verifique se o** emissor **está definido como** URL Okta ** (não dinâmico). Isso garante um URL de emissor estável.
**nota**
**Não adicione uma** ** reivindicação de grupos ao token de ID na guia Reivindicações do seu servidor de autorização. AWS DevOps O agente não usa a associação ao grupo do seu IdP.
#### Opção B: Microsoft Inserir ID
1. No portal do Azure, navegue até **Microsoft Entra ID** > **Registros de aplicativos** > **Novo** registro
1. Defina um nome descritivo (por exemplo,`AWS DevOps Agent`)
1. Em **Tipos de conta compatíveis**, selecione a opção apropriada para sua organização (normalmente **Contas somente neste diretório organizacional**)
1. Deixe o **URI de redirecionamento** em branco por enquanto. Escolha **Registrar**
1. Na página **Visão geral do** aplicativo, observe os seguintes valores:
+ **ID do aplicativo (cliente)** — usado como ID do cliente ao configurar o Agent Space
+ **ID do diretório (inquilino)** — usado para construir o URL do emissor
1. Navegue até **Certificados e segredos** > **Novo segredo do cliente**
+ Defina uma descrição e um período de expiração
+ Escolha **Adicionar** e copie o **valor** secreto imediatamente — ele não será exibido novamente
1. O URL do emissor do Entra ID segue esse formato. `{tenant-id}`Substitua pelo ID do diretório (inquilino) da etapa 5:
+ `https://login.microsoftonline.com/{tenant-id}/v2.0`
**nota**
**Não habilite a reivindicação opcional do** **grupo na** configuração do Token**. AWS DevOps O agente não usa a associação ao grupo do seu IdP.
### Etapa 2: habilitar o aplicativo do operador com autenticação IdP
1. No console do AWS DevOps agente, selecione seu Espaço do agente
1. Vá para a guia **Acesso**
1. Em **Acesso do usuário**, escolha **Provedor de identidade externo**
1. No formulário de configuração, configure o seguinte:
+ **Provedor de identidade** — Selecione seu provedor de identidade (Okta ou Microsoft Entra ID)
+ **URL do emissor — O URL** do emissor do OIDC do seu provedor de identidade
+ **ID do cliente** — O ID do cliente do aplicativo OIDC que você criou
+ **Segredo do cliente** — O segredo do cliente do seu aplicativo OIDC
1. Em **Nome da função do aplicativo do provedor de identidade**, escolha uma das três opções:
+ **Criar automaticamente uma nova função de DevOps agente** (recomendado) — Cria uma nova função de serviço com as permissões apropriadas
+ **Atribuir uma função existente** — Use uma função do IAM existente que você já criou
+ **Crie uma nova função de DevOps agente usando um modelo de política** — Use os detalhes fornecidos para criar sua própria função no console do IAM
1. Revise o alerta de aviso de **URL de retorno** de chamada exibido na parte inferior do formulário. Copie esse URL — você precisará adicioná-lo ao redirecionamento permitido do seu provedor de identidade URIs antes que os usuários possam fazer login.
1. Selecione **Connect (Conectar)**.
Depois de escolher **Connect**, o console exibe a **configuração do provedor de identidade externo** com os seguintes detalhes:
+ **Provedor** — O provedor de identidade que você selecionou
+ **URL do emissor — O URL** configurado do emissor do OIDC
+ **ID do cliente** — O ID do cliente configurado
+ **ARN da função do IAM** — A função do IAM usada para acesso do usuário
+ **URL de retorno** de chamada — Configure essa URL em seu provedor de identidade como uma URI de redirecionamento permitida
+ **URL de login** — Use esse URL para acessar o aplicativo web por meio do seu provedor de identidade
### Etapa 3: adicionar o URL de retorno de chamada ao seu provedor de identidade
#### Okta
1. No Okta Admin Console, navegue até a guia **Geral** do seu aplicativo
1. Em **Login**, escolha **Editar**
1. Adicione o URL de retorno de chamada como um URI de redirecionamento **de login:**
+ `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/callback`
1. (Opcional) Defina o **URI de início de login** para ativar o login iniciado pelo IdP no painel do Okta:
+ `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/login`
1. (Recomendado) Adicione um **URI de redirecionamento de desconexão para redirecionar os usuários de volta ao aplicativo web após o logout**. Sem isso, os usuários podem ver uma página de erro ao sair:
+ `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome`
1. Escolha **Salvar**
#### Microsoft Entra ID
1. No portal do Azure, navegue até a página de **Autenticação** do seu aplicativo
1. **Em **Configurações da plataforma**, escolha **Adicionar uma plataforma** > Web**
1. Insira o URL de retorno de chamada como o URI de **redirecionamento**:
+ `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/callback`
1. (Opcional) Adicione um URI de redirecionamento de desconexão para redirecionar os usuários de volta ao aplicativo web após o logout:
+ `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome`
1. Escolha **Configurar**
### Etapa 4: Verificar a configuração
1. Navegue até o **URL de login** mostrado no console:
+ `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/login`
1. Você deve ser redirecionado para a página de login do seu provedor de identidade
1. Faça login com suas credenciais corporativas
1. Após a autenticação bem-sucedida, você será redirecionado de volta para o aplicativo web do Agent Space
## Atualizando a configuração do IdP
Você pode alternar o segredo do cliente sem se desconectar:
1. No console do AWS DevOps agente, selecione seu Espaço do agente
1. Vá para a guia **Acesso**
1. Em **Configuração do provedor de identidade externo**, escolha **Rotate client secret**
1. Insira o novo **segredo do cliente**
1. Escolha **Salvar**
Para alterar qualquer outro campo de configuração do IdP (como URL do emissor, ID do cliente ou provedor de identidade), você deve desconectar o IdP existente e configurar um novo.
## Como os usuários acessam o aplicativo web Agent Space
Depois de configurar a autenticação de IdP externo:
+ Compartilhe o URL do aplicativo web Agent Space com usuários autorizados
+ Quando os usuários navegam até o URL, eles são redirecionados para a página de login do seu provedor de identidade
+ Depois de inserir suas credenciais (e concluir o MFA, se configurado pelo seu IdP), eles são redirecionados de volta ao aplicativo web Agent Space
+ As sessões são atualizadas automaticamente — consulte [Gerenciamento de sessões](#session-management) para obter detalhes
## Gerenciamento de sessões
As sessões de IdP externo para o aplicativo web Agent Space têm as seguintes características:
+ **Duração da sessão** — As sessões do navegador duram até 8 horas. Isso não é configurável no AWS DevOps Agente. Se a duração da sessão do seu IdP exceder 8 horas, os usuários poderão ser reautenticados automaticamente na próxima visita sem inserir credenciais. Configure a vida útil da sessão e do token do seu IdP de acordo com os requisitos de segurança da sua organização.
+ Atualização de **credenciais — As sessões são atualizadas** automaticamente usando tokens de atualização do OIDC sem exigir que os usuários se autentiquem novamente
+ **Autenticação multifatorial** — Compatível quando configurada em seu provedor de identidade. O IdP manipula o MFA durante o login — nenhuma configuração adicional é necessária no Agente AWS DevOps
### Comportamento de logout
Quando um usuário clica em **Sair** no aplicativo web:
1. Todos os cookies de sessão são apagados imediatamente
1. O usuário é redirecionado para o endpoint de logout do OIDC do provedor de identidade para encerrar a sessão de SSO
1. Se um URI de redirecionamento de saída estiver configurado, o usuário será redirecionado de volta para a página de boas-vindas do aplicativo web
### Revogando o acesso do usuário
Para revogar imediatamente o acesso de um usuário, você pode revogar suas sessões diretamente no portal administrativo do seu provedor de identidade:
+ **Okta** — No Okta Admin Console, navegue até **Diretório** > **Pessoas**, selecione o usuário, escolha **Mais ações** > **Limpar** sessões de usuário
+ **Microsoft Entra ID** — No portal do Azure, navegue até **Usuários**, selecione o usuário e escolha **Revogar sessões**
## Considerações sobre segurança
**Armazenamento secreto** do cliente — O segredo do cliente que você fornece durante a configuração é criptografado usando sua chave KMS gerenciada pelo cliente, caso você tenha fornecido uma ao criar o Espaço do Agente, ou uma chave de propriedade do serviço. Ele nunca é retornado nas respostas da API ou exibido no console após a configuração inicial.
**Rotação de segredos do** cliente — Os segredos do cliente Entra têm uma expiração configurável. Defina um lembrete para alternar o segredo antes que ele expire usando a opção **Girar segredo do cliente** no console do agente. AWS DevOps Se o segredo expirar, os usuários não conseguirão fazer login até que ele seja rotacionado.
**Gerenciamento da vida útil do token** — A vida útil dos tokens (tokens de acesso, tokens de atualização) emitidos pelo seu provedor de identidade é controlada pela configuração do seu IdP. Recomendamos configurar a vida útil apropriada do token em seu IdP:
+ **Okta** **— Configure a vida útil do token em **Segurança** > **API** > **Servidores de autorização > Políticas** de acesso**
+ **Microsoft Entra ID** — Configure a vida útil do token usando políticas de [vida útil do token](https://learn.microsoft.com/en-us/entra/identity-platform/configurable-token-lifetimes)
Declaração de **grupos** — Não habilite a declaração de grupos na configuração de token do seu provedor de identidade. AWS DevOps Atualmente, o agente não usa a associação ao grupo do seu IdP.
**Identificador de usuário** — O AWS DevOps agente usa uma declaração específica do provedor para identificar usuários de forma exclusiva:
+ **Okta** — Usa a `sub` declaração do token de ID
+ **Microsoft Entra ID** — usa a declaração `oid` (identificador de objeto) do token de ID
Esses identificadores são imutáveis e aparecem nos CloudTrail registros para fins de auditoria.
## Desconectando o IdP externo
1. No console do AWS DevOps agente, selecione seu Espaço do agente
1. Vá para a guia **Acesso**
1. Em **Acesso do usuário**, escolha **Desconectar**
1. Analise os impactos listados na caixa de diálogo de confirmação e confirme
A desconexão irá:
+ Remova a configuração do IdP do Espaço do Agente
+ Impedir que os usuários façam login por meio do provedor de identidade externo
+ Remova o histórico individual de bate-papo e artefatos associados às contas de usuário do IdP
As sessões ativas do usuário continuarão até expirarem ou a próxima atualização de credencial falhar.
## Solução de problemas
+ Falha no **redirecionamento para o IdP** — Verifique se o URL do emissor corresponde ao endpoint de descoberta do OIDC do seu IdP. Para Okta, certifique-se de que o **Emissor** esteja configurado como **URL Okta** (não **Dinâmico**) na guia **Login**. Para Entra, use o formato`https://login.microsoftonline.com/{tenant-id}/v2.0`.
+ **Acesso negado ou erro de política (Okta)** — Verifique se o usuário ou seu grupo está atribuído ao aplicativo em **Atribuições**. Marque **Sign On** > Regras **da política de login**.
+ **Erro de configuração do IdP após o login** — Seu provedor de identidade não retornou um token de atualização. Certifique-se de que o `offline_access` escopo e o tipo de concessão do token de atualização estejam habilitados:
+ **Okta** **— Vá para a guia **Geral** do seu aplicativo e ative a caixa de seleção **Atualizar Token** em Tipo de concessão**
+ **Entrar** — Acesse as **permissões da API** e verifique `offline_access` se está listado em permissões delegadas
+ A **autenticação é bem-sucedida, mas o aplicativo web mostra um erro** — Verifique se o URI de redirecionamento em seu IdP corresponde exatamente ao **URL de retorno de chamada mostrado no console** do agente. AWS DevOps
+ **Falhas de autenticação** — Se a declaração opcional do **grupo** estiver habilitada em seu IdP, desative-a. AWS DevOps O agente não usa reivindicações de grupo.
+ **O **login falha após a autenticação do IdP** — Para Entra, verifique se não `requestedAccessTokenVersion` está definido `null` no Manifesto do aplicativo.** Para Okta, verifique se o **URL do emissor está correto**.
+ **Página de erro após clicar em Sair (Okta)** **— Se você ver um `post_logout_redirect_uri` erro após sair, adicione `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome` como **URI de redirecionamento de saída** na guia Geral do seu aplicativo Okta.**
+ **Os usuários permanecem na página do provedor de identidade após o logout (Entra)** **— Para redirecionar os usuários de volta ao aplicativo web após o logout, adicione `https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome` como **URI de redirecionamento** na página de autenticação do seu aplicativo Entra.**