本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置 IAM 身份中心身份验证
<a name="aws-devops-agent-security-setting-up-iam-identity-center-authentication"></a>

IAM Identity Center 身份验证提供了一种集中方式来管理用户对 A AWS DevOps gent Space Web 应用程序的访问权限。本指南介绍如何配置 IAM Identity Center 身份验证和管理用户。

## 先决条件
<a name="prerequisites"></a>

在设置 IAM 身份中心身份验证之前，请确保您具有：
+ 您的组织或账户已启用 IAM 身份中心
+  AWS DevOps 代理中的管理员权限
+ 已配置或准备创建的代理空间

## 身份验证选项
<a name="authentication-options"></a>

AWS DevOps 代理提供两种用于访问 Agent Space Web 应用程序的身份验证方法：

**IAM 身份中心身份验证**-建议在生产环境中使用。提供集中式用户管理、与外部身份提供商的集成以及长达 12 小时的会话。

**管理员访问权限（IAM 身份验证）**-在初始设置和配置期间为管理员提供快速访问权限。会话限制在 30 分钟以内。

## 在创建代理空间期间配置 IAM 身份中心
<a name="configuring-iam-identity-center-during-agent-space-creation"></a>

创建代理空间时，您可以在 A **c** cess 选项卡上配置 IAM 身份中心身份验证：

### 步骤 1：导航到 Web 应用程序配置
<a name="step-1-navigate-to-the-web-app-configuration"></a>

1. 配置您的代理空间详细信息和 AWS 帐户访问权限后，进入**访问**选项卡

1. 您将看到两个部分：“Connect IAM 身份中心” 和 “管理员访问权限”

### 步骤 2：配置 IAM 身份中心集成
<a name="step-2-configure-iam-identity-center-integration"></a>

在 **Connect [代理空间] 到 IAM 身份中心**部分：

1. **验证 IAM 身份中心实例** — 控制台显示哪个 Identity Center 实例将管理 Web App 用户访问权限（例如`ssoins-7223a9580931edbe`）。系统将自动预填充离您最近的 IAM 身份中心实例。

1. **选择 IAM Identity Center 应用程序角色名称选项** — 选择三个选项之一：

**自动创建新的 DevOps 代理角色**（推荐）：
+ 系统会自动创建具有适当权限的新服务角色
+ 这是最简单的选项，适用于大多数用例

**分配现有角色**：
+ 使用您已经创建的现有 IAM 角色
+ 系统将验证该角色是否具有所需的权限
+ 如果您的组织已为 AWS DevOps 代理预先创建了角色，请选择此选项

**使用策略模板创建新的 DevOps 代理角色**：
+ 使用提供的策略详细信息在 IAM 控制台中创建自己的自定义角色
+ 如果您需要自定义角色权限，请选择此选项

单击 Connect 后，系统会自动：
+ 创建或配置指定的 IAM 角色
+ 为您的代理空间设置 IAM 身份中心应用程序
+ 在 IAM 身份中心和 Agent Space Web 应用程序之间建立信任关系
+ 配置 OAuth 2.0 身份验证流程，确保用户访问安全

### 备选方案：使用管理员访问权限
<a name="alternative-using-admin-access"></a>

如果您想在不设置 IAM 身份中心的情况下立即访问 Agent Space Web 应用程序，请执行以下操作：

1. 在**管理员访问权限**部分，记下提供管理员访问权限的 IAM 角色 ARN（例如）`arn:aws:iam::440491339484:role/service-role/DevOpsAgentRole-WebappAdmin-15ppoc42`

1. 点击蓝色的**管理员访问权限**按钮启动采用 IAM 身份验证的 Agent Space Web 应用程序

1. 使用此方法的会话限制为 30 分钟

**注意**  
**管理员访问权限用于初始设置和配置。对于生产用途和持续操作，请配置 IAM 身份中心身份验证。

## 添加用户和组。
<a name="adding-users-and-groups"></a>

配置 IAM Identity Center 身份验证后，您需要向特定用户和群组授予对 Agent Space Web 应用程序的访问权限：

### 步骤 1：访问用户管理
<a name="step-1-access-user-management"></a>

1. 在 AWS DevOps 代理控制台中，选择您的代理空间

1. 前往 “**访问权限**” 选项卡

1. 在 “**用户访问权限**” 下，单击 “**管理用户和群组**”

### 步骤 2：添加用户或群组
<a name="step-2-add-users-or-groups"></a>

1. 选择 “**添加用户或群组**”

1. 在 IAM 身份中心目录中搜索用户或群组

1. 选中要添加的用户或群组旁边的复选框

1. 单击 “**添加**” 授予他们访问权限

选定的用户现在可以使用他们的 IAM 身份中心证书访问 Agent Space Web 应用程序。

### 与外部身份提供商合作
<a name="working-with-external-identity-providers"></a>

如果你使用外部身份提供商（例如 Okta、Microsoft Entra ID 或 Ping 身份）和 IAM 身份中心：
+ 用户和群组从您的外部身份提供商同步到 IAM 身份中心
+ 将用户和组添加到 Agent Space Web 应用程序时，即从同步目录中进行选择
+ 用户属性和群组成员资格由您的外部身份提供商维护
+ 同步后，您的身份提供商的更改会自动反映在 IAM 身份中心中

## 用户如何访问 Agent Space Web 应用程序
<a name="how-users-access-the-agent-space-web-app"></a>

将用户添加到代理空间后：

1. 与授权用户共享 Agent Space Web 应用程序 URL

1. 当用户导航到该 URL 时，他们会被重定向到 IAM 身份中心登录页面

1. 输入他们的凭证（如果已配置，则完成 MFA）后，他们将被重定向回 Agent Space 网络应用程序

1. 默认情况下，他们的会话有效期为 8 小时（可由 Identity Center 管理员配置）

## 管理用户访问权限
<a name="managing-user-access"></a>

您可以随时更新用户访问权限：

**添加更多用户或群组：**
+ 按照上述相同步骤添加其他用户或群组

**正在删除访问权限：**

1. 在 “**用户访问权限**” 部分，找到要移除的用户或组

1. 点击他们名字旁边的**移除**按钮

1. 确认移除

被移除的用户将立即失去访问权限，但活动会话可能会持续到到期为止。

## 会话管理
<a name="session-management"></a>

Agent Space Web 应用程序的 IAM 身份中心会话具有以下特征：
+ **默认会话时长** — 8 小时
+ **会话安全** — 仅限 HTTP 的 Cookie 可增强保护
+ **多重身份验证** — 在 IAM 身份中心配置时支持
+ **API 凭证** — 针对 API 调用颁发短期（15 分钟）Sigv4 凭证并自动续订

要配置会话持续时间：

1. 导航到 IAM 身份中心控制台

1. 前往 **“设置” > “****身份验证**”

1. 在 “**会话持续时间**” 下，配置您的首选持续时间（从 1 小时到 12 小时）

1. 选择**保存更改**

## 断开身份中心的连接
<a name="disconnecting-identity-center"></a>

1. 在 Agent Space 的控制台中，点击右上角的**操作**，然后选择**断开与 IAM 身份中心的**连接

1. 在确认对话框中确认