View a markdown version of this page

设置 IAM 身份中心身份验证 - AWS DevOps 代理人
先决条件身份验证选项在创建代理空间期间配置 IAM 身份中心添加用户和组。用户如何访问 Agent Space Web 应用程序管理用户访问权限会话管理断开身份中心的连接

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 IAM 身份中心身份验证

IAM Identity Center 身份验证提供了一种集中方式来管理用户对 A AWS DevOps gent Space Web 应用程序的访问权限。本指南介绍如何配置 IAM Identity Center 身份验证和管理用户。

先决条件

在设置 IAM 身份中心身份验证之前,请确保您具有:

  • 您的组织或账户已启用 IAM 身份中心

  • AWS DevOps 代理中的管理员权限

  • 已配置或准备创建的代理空间

身份验证选项

AWS DevOps 代理提供两种用于访问 Agent Space Web 应用程序的身份验证方法:

IAM 身份中心身份验证-建议在生产环境中使用。提供集中式用户管理、与外部身份提供商的集成以及长达 12 小时的会话。

管理员访问权限(IAM 身份验证)-在初始设置和配置期间为管理员提供快速访问权限。会话限制在 30 分钟以内。

在创建代理空间期间配置 IAM 身份中心

创建代理空间时,您可以在 A c cess 选项卡上配置 IAM 身份中心身份验证:

步骤 1:导航到 Web 应用程序配置

  1. 配置您的代理空间详细信息和 AWS 帐户访问权限后,进入访问选项卡

  2. 您将看到两个部分:“Connect IAM 身份中心” 和 “管理员访问权限”

步骤 2:配置 IAM 身份中心集成

Connect [代理空间] 到 IAM 身份中心部分:

  1. 验证 IAM 身份中心实例 — 控制台显示哪个 Identity Center 实例将管理 Web App 用户访问权限(例如ssoins-7223a9580931edbe)。系统将自动预填充离您最近的 IAM 身份中心实例。

  2. 选择 IAM Identity Center 应用程序角色名称选项 — 选择三个选项之一:

自动创建新的 DevOps 代理角色(推荐):

  • 系统会自动创建具有适当权限的新服务角色

  • 这是最简单的选项,适用于大多数用例

分配现有角色

  • 使用您已经创建的现有 IAM 角色

  • 系统将验证该角色是否具有所需的权限

  • 如果您的组织已为 AWS DevOps 代理预先创建了角色,请选择此选项

使用策略模板创建新的 DevOps 代理角色

  • 使用提供的策略详细信息在 IAM 控制台中创建自己的自定义角色

  • 如果您需要自定义角色权限,请选择此选项

单击 Connect 后,系统会自动:

  • 创建或配置指定的 IAM 角色

  • 为您的代理空间设置 IAM 身份中心应用程序

  • 在 IAM 身份中心和 Agent Space Web 应用程序之间建立信任关系

  • 配置 OAuth 2.0 身份验证流程,确保用户访问安全

备选方案:使用管理员访问权限

如果您想在不设置 IAM 身份中心的情况下立即访问 Agent Space Web 应用程序,请执行以下操作:

  1. 管理员访问权限部分,记下提供管理员访问权限的 IAM 角色 ARN(例如)arn:aws:iam::440491339484:role/service-role/DevOpsAgentRole-WebappAdmin-15ppoc42

  2. 点击蓝色的管理员访问权限按钮启动采用 IAM 身份验证的 Agent Space Web 应用程序

  3. 使用此方法的会话限制为 30 分钟

注意

管理员访问权限用于初始设置和配置。对于生产用途和持续操作,请配置 IAM 身份中心身份验证。

添加用户和组。

配置 IAM Identity Center 身份验证后,您需要向特定用户和群组授予对 Agent Space Web 应用程序的访问权限:

步骤 1:访问用户管理

  1. 在 AWS DevOps 代理控制台中,选择您的代理空间

  2. 前往 “访问权限” 选项卡

  3. 在 “用户访问权限” 下,单击 “管理用户和群组

步骤 2:添加用户或群组

  1. 选择 “添加用户或群组

  2. 在 IAM 身份中心目录中搜索用户或群组

  3. 选中要添加的用户或群组旁边的复选框

  4. 单击 “添加” 授予他们访问权限

选定的用户现在可以使用他们的 IAM 身份中心证书访问 Agent Space Web 应用程序。

与外部身份提供商合作

如果你使用外部身份提供商(例如 Okta、Microsoft Entra ID 或 Ping 身份)和 IAM 身份中心:

  • 用户和群组从您的外部身份提供商同步到 IAM 身份中心

  • 将用户和组添加到 Agent Space Web 应用程序时,即从同步目录中进行选择

  • 用户属性和群组成员资格由您的外部身份提供商维护

  • 同步后,您的身份提供商的更改会自动反映在 IAM 身份中心中

用户如何访问 Agent Space Web 应用程序

将用户添加到代理空间后:

  1. 与授权用户共享 Agent Space Web 应用程序 URL

  2. 当用户导航到该 URL 时,他们会被重定向到 IAM 身份中心登录页面

  3. 输入他们的凭证(如果已配置,则完成 MFA)后,他们将被重定向回 Agent Space 网络应用程序

  4. 默认情况下,他们的会话有效期为 8 小时(可由 Identity Center 管理员配置)

管理用户访问权限

您可以随时更新用户访问权限:

添加更多用户或群组:

  • 按照上述相同步骤添加其他用户或群组

正在删除访问权限:

  1. 在 “用户访问权限” 部分,找到要移除的用户或组

  2. 点击他们名字旁边的移除按钮

  3. 确认移除

被移除的用户将立即失去访问权限,但活动会话可能会持续到到期为止。

会话管理

Agent Space Web 应用程序的 IAM 身份中心会话具有以下特征:

  • 默认会话时长 — 8 小时

  • 会话安全 — 仅限 HTTP 的 Cookie 可增强保护

  • 多重身份验证 — 在 IAM 身份中心配置时支持

  • API 凭证 — 针对 API 调用颁发短期(15 分钟)Sigv4 凭证并自动续订

要配置会话持续时间:

  1. 导航到 IAM 身份中心控制台

  2. 前往 “设置” > “身份验证

  3. 在 “会话持续时间” 下,配置您的首选持续时间(从 1 小时到 12 小时)

  4. 选择保存更改

断开身份中心的连接

  1. 在 Agent Space 的控制台中,点击右上角的操作,然后选择断开与 IAM 身份中心的连接

  2. 在确认对话框中确认