本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon MQ for RabbitMQ 的 OAuth 2.0 身分驗證和授權
<a name="oauth-for-amq-for-rabbitmq"></a>

Amazon MQ for RabbitMQ 支援多種身分驗證和授權方法。如需所有支援方法的資訊，請參閱 [Amazon MQ for RabbitMQ 代理程式的身分驗證和授權](rabbitmq-authentication.md)。

在 OAuth 2.0 身分驗證和授權中，代理程式使用者及其許可由外部 OAuth 2.0 身分提供者 (IdP) 管理。vhost、交換、佇列和主題的使用者身分驗證和資源許可是透過 OAuth 2.0 供應商的範圍系統集中。這可簡化使用者管理，並啟用與現有身分系統的整合。

**重要考量**  
Amazon MQ for ActiveMQ 代理程式不支援 OAuth 2.0 整合。
Amazon MQ for RabbitMQ 不支援私有 CA 發行的伺服器憑證。
RabbitMQ OAuth 2.0 外掛程式不支援權杖自我檢查端點和不透明存取權杖。它也不會執行字符撤銷檢查。
您必須包含 IAM 許可 `mq:UpdateBrokerAccessConfiguration`，才能在現有代理程式上啟用 OAuth 2.0。
Amazon MQ 會自動建立名為 `monitoring-AWS-OWNED-DO-NOT-DELETE`且具有僅監控許可的系統使用者。即使已啟用 OAuth 2.0 的代理程式，此使用者也會使用 RabbitMQ 的內部身分驗證系統，且僅限於循環介面存取。

如需如何為 Amazon MQ for RabbitMQ 代理程式設定 OAuth 2.0 的詳細資訊，請參閱 [使用 OAuth 2.0 身分驗證和授權](oauth-tutorial.md)。

**Topics**
+ [支援的 OAuth 2.0 組態](#oauth-tutorial-supported-configs)
+ [OAuth 2.0 身分驗證的其他驗證](#oauth-tutorial-additional-validations)

## 支援的 OAuth 2.0 組態
<a name="oauth-tutorial-supported-configs"></a>

Amazon MQ for RabbitMQ 支援 RabbitMQ OAuth 2.0 外掛程式中的所有[可設定變數](https://www.rabbitmq.com/docs/oauth2#variables-configurable)，但有下列例外：
+ `auth_oauth2.https.cacertfile`
+ `auth_oauth2.oauth_providers.{id/index}.https.cacertfile`
+ `management.oauth_client_secret`

  由於 Amazon MQ 不支援此金鑰，因此我們不支援 UAA 做為 IdP。
+ `management.oauth_resource_servers.{id/index}.oauth_client_secret`
+ `auth_oauth2.signing_keys.{id/index}`

## OAuth 2.0 身分驗證的其他驗證
<a name="oauth-tutorial-additional-validations"></a>

Amazon MQ 也會針對 OAuth 2.0 身分驗證強制執行下列額外驗證：
+ 所有 URLs都需要以 開頭`https://`。
+ 支援的簽章演算法：`Ed25519`、`Ed25519ph`、`Ed448`、`Ed448ph`、`EdDSA``ES256K`、`ES256`、`ES384`、`ES512`、、`HS256`、`HS384``HS512`、、`PS256`、`PS384``PS512`、、`RS256`、、 `RS384`和 `RS512`。