本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Verified Access 的用户身份信任提供商
您可以选择 AWS IAM Identity Center 使用兼容 OpenID Connect 的用户身份信任提供商。
**Topics**
+ [使用 IAM Identity Center 作为信任提供商](#identity-center)
+ [使用 OpenID Connect 信任提供商](#oidc-provider)
## 使用 IAM Identity Center 作为信任提供商
您可以使用 AWS 经过验证的访问权限 AWS IAM Identity Center 作为您的*用户身份*信任提供商。
### 先决条件和注意事项
+ 您的 IAM 身份中心实例必须是一个 AWS Organizations 实例。独立 AWS 账户 IAM 身份中心实例将无法运行。
+ 您的 IAM Identity Center 实例必须在您要在其中创建已验证访问信任提供商的同一个 AWS 区域中启用。
+ Verified Access 可以向 IAM Identity Center 中分配到最多 1000 个组的用户提供访问权限。
有关不同实例类型的详细信息,请参阅《AWS IAM Identity Center 用户指南》**中的 [Manage organization and account instances of IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html)。
### 创建 IAM Identity Center 信任提供商
在您的 AWS 账户上启用 IAM 身份中心后,您可以使用以下步骤将 IAM Identity Center 设置为经过验证的访问的信任提供商。
**创建 IAM 身份中心信任提供商(AWS 控制台)**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Verified Access 信任提供商**,然后选择**创建 Verified Access 信任提供商**。
1. (可选)在**名称标签**和**描述**中,输入信任提供商的名称和描述。
1. 在**策略参考名称**中输入一个标识符,以便日后处理策略规则时使用。
1. 在**信任提供商类型**下,选择**用户信任提供商**。
1. 在**用户信任提供商类型**下,选择 **IAM Identity Center**。
1. (可选)若要添加标签,请选择**添加新标签**,然后输入该标签的键和值。
1. 选择**创建 Verified Access 信任提供商**。
**创建 IAM 身份中心信任提供商 (AWS CLI)**
+ [create-verified-access-trust-提供者](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) ()AWS CLI
### 删除 IAM Identity Center 信任提供商
在删除信任提供商前,必须从附加该信任提供商的实例中删除所有端点和组配置。
**删除 IAM 身份中心信任提供商(AWS 控制台)**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Verified Access 信任提供商**,然后在 **Verified Access 信任提供商**下选择要删除的信任提供商。
1. 选择**操作**,然后选择**删除 Verified Access 信任提供商**。
1. 在文本框中输入 `delete` 以确认删除。
1. 选择**删除**。
**删除 IAM 身份中心信任提供商 (AWS CLI)**
+ [delete-verified-access-trust-提供者](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) ()AWS CLI
## 使用 OpenID Connect 信任提供商
AWS Verified Access 支持使用标准 OpenID Connect (OIDC) 方法的身份提供商。您可以使用兼容 OIDC 的提供商作为 Verified Access 的*用户身份*信任提供商。但是,由于潜在的 OIDC 提供商种类繁多, AWS 因此无法使用已验证访问权限测试每个 OIDC 集成。
Verified Access 从 OIDC 提供商的 `UserInfo Endpoint` 处获取其评估的信任数据。`Scope` 参数用于确定将检索哪几组信任数据。收到信任数据后,将根据该数据评估 Verified Access 策略。
自2025年2月24日起创建信任提供商,OIDC信任提供商的ID令牌声明包含在密钥中`addition_user_context`。
对于在 2025 年 2 月 24 日之前创建的信任提供商,Verified Access 不使用 OIDC 提供商`ID token`发送的信任数据。仅根据策略评估来自 `UserInfo Endpoint` 的信任数据。
自2025年2月24日起创建信任提供商,默认会话持续时间为一天。对于在 2025 年 2 月 24 日之前创建的信任提供商,默认会话持续时间为七天。
如果指定了刷新令牌,Verified Access 将使用刷新令牌的到期时间作为会话持续时间。如果没有刷新令牌,则使用默认的会话持续时间。
**Topics**
+ [创建 OIDC 信任提供商的先决条件](#create-oidc-prereq)
+ [创建 OIDC 信任提供商](#create-oidc-provider)
+ [修改 OIDC 信任提供商](#modify-oidc-provider)
+ [删除 OIDC 信任提供商](#delete-oidc-provider)
### 创建 OIDC 信任提供商的先决条件
您需要直接从信任提供商服务中收集以下信息:
+ Issuer
+ 授权端点
+ 令牌端点
+ UserInfo endpoint
+ 客户端 ID
+ 客户端密钥
+ Scope
### 创建 OIDC 信任提供商
按照以下过程创建 OIDC 作为信任提供商。
**创建 OIDC 信任提供商(控制台)AWS**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Verified Access 信任提供商**,然后选择**创建 Verified Access 信任提供商**。
1. (可选)在**名称标签**和**描述**中,输入信任提供商的名称和描述。
1. 在**策略参考名称**中输入一个标识符,以便日后处理策略规则时使用。
1. 在**信任提供商类型**下,选择**用户信任提供商**。
1. 在**用户信任提供者类型**下,选择 **OIDC (OpenID Connect)**。
1. 对于 **OIDC(OpenID Connect)**,请选择信任提供商。
1. 在**发布者**中,输入 OIDC 发布者的标识符。
1. 在**授权端点**中,输入授权端点的完整 URL。
1. 在**令牌端点**中,输入令牌端点的完整 URL。
1. 在**用户端点**中,输入用户端点的完整 URL。
1. (本机应用程序 OIDC)对于**公共签名密钥 URL**,请输入公共签名密钥端点的完整 URL。
1. 输入 OAuth 2.0 客户机标识符作为**客户端 ID**。
1. 输入 OAuth 2.0 客户端密钥作为**客户机密钥**。
1. 输入由您的身份提供商定义的以空格分隔的范围列表。**至少,openid作用域是必需的。**
1. (可选)若要添加标签,请选择**添加新标签**,然后输入该标签的键和值。
1. 选择**创建 Verified Access 信任提供商**。
1. 您必须将重定向 URI 添加到 OIDC 提供商的允许列表中。
+ HTTP 应用程序-使用以下 URI: **https://application\$1domain/oauth2/idpresponse**。在控制台中,您可以在已验证访问终端节点的**详细信息**选项卡上找到应用程序域。使用 AWS CLI 或 S AWS DK,当您描述已验证访问终端节点时,应用程序域将包含在输出中。
+ TCP 应用程序-使用以下 URI: **http://localhost:8000**。
**创建 OIDC 信任提供商 (CLI AWS )**
+ [create-verified-access-trust-提供者](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) ()AWS CLI
### 修改 OIDC 信任提供商
创建信任提供商后,您可以更新其配置。
**修改 OIDC 信任提供商(控制台)AWS**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Verified Access 信任提供商**,然后在 **Verified Access 信任提供商**下选择要修改的信任提供商。
1. 选择**操作**,然后选择**修改 Verified Access 信任提供商**。
1. 修改要更改的选项。
1. 选择**修改 Verified Access 信任提供商**。
**修改 OIDC 信任提供者 (CLI AWS )**
+ [modify-verified-access-trust-提供者](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-trust-provider.html) ()AWS CLI
### 删除 OIDC 信任提供商
在删除用户信任提供商前,您首先需要从附加了该信任提供商的实例中删除所有端点和组配置。
**删除 OIDC 信任提供商(AWS 控制台)**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Verified Access 信任提供商**,然后在 **Verified Access 信任提供商**下选择要删除的信任提供商。
1. 选择**操作**,然后选择**删除 Verified Access 信任提供商**。
1. 在文本框中输入 `delete` 以确认删除。
1. 选择**删除**。
**删除 OIDC 信任提供商 (CLI AWS )**
+ [delete-verified-access-trust-提供者](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) ()AWS CLI