As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configure aplicativos OAuth 2.0 gerenciados pelo cliente para propagação confiável de identidade
Para configurar um aplicativo OAuth 2.0 gerenciado pelo cliente para propagação confiável de identidade, você deve primeiro adicioná-lo ao IAM Identity Center. Use o procedimento a seguir para adicionar a aplicação ao IAM Identity Center.
**Topics**
+ [Etapa 1: selecionar o tipo de aplicação](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-select-app-type)
+ [Etapa 2: especificar detalhes da aplicação](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details)
+ [Etapa 3: especificar as configurações de autenticação](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings)
+ [Etapa 4: especificar as credenciais da aplicação](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials)
+ [Etapa 5: revisar e configurar](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure)
## Etapa 1: selecionar o tipo de aplicação
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Escolha a guia **Gerenciada pelo cliente**.
1. Escolha **Adicionar aplicação**.
1. Na página **Selecionar tipo de aplicação**, em **Preferências de configuração**, escolha **Eu tenho uma aplicação que quero configurar**.
1. Em **Tipo de aplicativo**, escolha **OAuth 2.0**.
1. Escolha **Avançar** para prosseguir para a próxima página, [Etapa 2: especificar detalhes da aplicação](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details).
## Etapa 2: especificar detalhes da aplicação
1. Na página **Especificar detalhes da aplicação**, em **Nome e descrição da aplicação**, insira um **Nome de exibição** para a aplicação, como **MyApp**. Insira uma **Descrição**.
1. Em **Método de atribuição de usuário e grupo**, escolha uma das seguintes opções:
+ **Exigir atribuições**: permita apenas que usuários e grupos do IAM Identity Center atribuídos a essa aplicação a acessem.
**Visibilidade do bloco do aplicativo — Somente usuários atribuídos ao aplicativo diretamente ou por meio de uma atribuição em grupo podem visualizar o quadro do aplicativo no portal de AWS acesso, desde que a **visibilidade do aplicativo no portal de AWS acesso** esteja definida como Visível.**
+ **Não exigir atribuições**: permita que todos os usuários e grupos autorizados do IAM Identity Center acessem essa aplicação.
Visibilidade do bloco do aplicativo — O bloco do aplicativo é visível para todos os usuários que entram no portal de AWS acesso, a menos que a **visibilidade do aplicativo no portal de AWS acesso** esteja definida como **Não visível**.
1. Em **portal de AWS acesso**, insira a URL na qual os usuários podem acessar o aplicativo e especifique se o mosaico do aplicativo ficará visível ou não no portal de AWS acesso. Se você escolher **Não visível**, nem mesmo os usuários atribuídos poderão visualizar o bloco da aplicação.
1. Expanda **Tags (opcional)**, escolha **Adicionar nova tag** e especifique valores de **Chave** e **Valor (opcional)**.
Para obter mais informações sobre tags, consulte [Recursos de marcação Centro de Identidade do AWS IAM](tagging.md).
1. Escolha **Avançar** e prossiga para a próxima página, [Etapa 3: especificar as configurações de autenticação](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings).
## Etapa 3: especificar as configurações de autenticação
Para adicionar um aplicativo gerenciado pelo cliente que suporte OAuth 2.0 ao IAM Identity Center, você deve especificar um emissor de token confiável. Um emissor de token confiável é um servidor de autorização OAuth 2.0 que cria tokens assinados. Esses tokens autorizam as aplicações que iniciam as solicitações (aplicações solicitantes) a acessar as aplicações gerenciadas pela AWS (aplicações recebedoras).
1. Na página **Especificar configurações de autenticação**, em **Emissores de token confiáveis**, faça uma das seguintes alternativas:
+ Para usar um emissor de tokens confiáveis existente:
Marque a caixa de seleção ao lado do nome do emissor de tokens confiáveis que você deseja excluir.
+ Para adicionar um novo emissor de tokens confiáveis:
1. Escolha **Criar emissor de tokens confiáveis.**
1. Uma nova guia de navegador é aberta. Siga as etapas de 5 a 8 em [Como adicionar um emissor de tokens confiáveis ao console do IAM Identity Center](setuptrustedtokenissuer.md#how-to-add-trustedtokenissuer).
1. Depois de concluir essas etapas, volte à janela do navegador que você está usando para a configuração da aplicação e selecione o emissor de tokens confiáveis que acabou de adicionar.
1. Na lista de emissores de tokens confiáveis, marque a caixa de seleção ao lado do nome do emissor de tokens confiáveis que você acabou de adicionar.
Depois de selecionar um emissor de tokens confiáveis, a seção **Configurar os emissores de tokens confiáveis selecionados** é exibida.
1. Em **Configurar os emissores de token confiáveis selecionados**, insira a **declaração Aud**. A **declaração Aud** identifica o público-alvo (destinatários) do token gerado pelo emissor de tokens confiáveis. Para obter mais informações, consulte [Declaração de Aud](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim).
1. Para evitar que os usuários precisem ser autenticados novamente quando estiverem usando essa aplicação, selecione **Habilitar concessão de tokens de atualização**. Quando selecionada, essa opção atualiza o token de acesso da sessão a cada 60 minutos, até que a sessão expire ou o usuário encerre a sessão.
1. Escolha **Avançar** e prossiga para a próxima página, [Etapa 4: especificar as credenciais da aplicação](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials).
## Etapa 4: especificar as credenciais da aplicação
Conclua as etapas deste procedimento para especificar as credenciais que a aplicação usa para realizar ações de troca de tokens com aplicações confiáveis. Essas credenciais são usadas em uma política baseada no recurso. A política exige que você especifique uma entidade principal que tenha permissões para fazer as ações nela especificadas. **Você deve especificar uma entidade principal**, mesmo que as aplicações confiáveis estejam na mesma Conta da AWS.
**nota**
Ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para a realização de uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo.
Essa política exige a ação de API [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html). Para obter mais informações sobre essa política e um exemplo que você pode adaptar conforme exigido ao ambiente, consulte [Exemplo de política baseada em recursos para o IAM Identity Center](iam-auth-access-using-resource-based-policies.md).
1. Na página **Especificar credenciais da aplicação**, escolha uma das seguintes opções:
+ Para especificar rapidamente um ou mais perfis do IAM:
1. Selecione **Inserir um ou mais perfis do IAM**.
1. Em **Inserir perfis do IAM**, especifique o nome do recurso da Amazon (ARN) de um perfil do IAM existente. Para especificar o ARN, use a sintaxe a seguir. A parte da região do ARN está em branco porque os recursos do IAM são globais.
```
arn:aws:iam::account:role/role-name-with-path
```
*Para obter mais informações, consulte [Acesso entre contas usando políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html#access_policies-cross-account-using-resource-based-policies) e [IAM ARNs no Guia do](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) usuário.AWS Identity and Access Management *
+ Para editar manualmente a política (necessária se você especificar informações não AWS credenciais):
1. Selecione **Editar a política da aplicação**.
1. Modifique a política digitando ou colando texto na caixa de texto JSON.
1. Resolva todos os avisos de segurança, erros ou avisos gerais gerados durante a validação de política. Para obter mais informações, consulte [Validating IAM policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) no *AWS Identity and Access Management User Guide*.
1. Escolha **Avançar** e prossiga para a próxima página, [Etapa 5: revisar e configurar](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure).
## Etapa 5: revisar e configurar
1. Na página **Revisar e configurar**, revise as escolhas feitas. Para fazer alterações, escolha a seção de configuração desejada, escolha **Editar** e faça as alterações necessárias.
1. Quando terminar, escolha **Adicionar aplicação**.
1. A aplicação que você adicionou aparece na lista **Aplicações gerenciadas pelo cliente**.
1. Depois de configurar seu aplicativo gerenciado pelo cliente no IAM Identity Center, você deve especificar um ou mais Serviços da AWS aplicativos confiáveis para propagação de identidade. Isso permite que os usuários façam login na aplicação gerenciada pelo cliente e acessem os dados na aplicação confiável.
Para obter mais informações, consulte [Especificar aplicações confiáveis](trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps.md).