設定 IAM Identity Center 身分驗證 - AWS DevOps 代理程式
先決條件身分驗證選項在客服人員空間建立期間設定 IAM Identity Center新增使用者和群組使用者如何存取 Agent Space Web 應用程式管理使用者存取工作階段管理中斷連接 Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 IAM Identity Center 身分驗證

IAM Identity Center 身分驗證提供集中式方法來管理使用者對 AWS DevOps Agent Space Web 應用程式的存取。本指南說明如何設定 IAM Identity Center 身分驗證和管理使用者。

先決條件

設定 IAM Identity Center 身分驗證之前,請確定您已:

  • 在您的組織或帳戶中啟用 IAM Identity Center

  • 管理員許可 in AWS DevOps 代理程式

  • 已設定或準備建立的客服人員空間

身分驗證選項

AWS DevOps Agent 提供兩種存取 Agent Space Web 應用程式的身分驗證方法:

IAM Identity Center 身分驗證 – 建議用於生產環境。提供集中式使用者管理、與外部身分提供者整合,以及長達 12 小時的工作階段。

管理員存取 (IAM 身分驗證) – 在初始設定和組態期間為管理員提供快速存取。工作階段限制為 30 分鐘。

在客服人員空間建立期間設定 IAM Identity Center

建立客服人員空間時,您可以在存取索引標籤上設定 IAM Identity Center 身分驗證:

步驟 1:導覽至 Web 應用程式組態

  1. 設定客服人員空間詳細資訊和 AWS 帳戶存取權後,請繼續前往存取索引標籤

  2. 您將看到兩個部分:「連接 IAM Identity Center」和「管理存取」

步驟 2:設定 IAM Identity Center 整合

將 【客服人員空間】 連線至 IAM Identity Center 區段中:

  1. 驗證 IAM Identity Center 執行個體 – 主控台會顯示哪個 Identity Center 執行個體將管理 Web App 使用者存取權 (例如 ssoins-7223a9580931edbe)。系統會自動預先填入您最接近的 IAM Identity Center 執行個體。

  2. 選取 IAM Identity Center 應用程式角色名稱選項 – 選擇三個選項之一:

自動建立新的 DevOps Agent 角色 (建議):

  • 系統會自動建立具有適當許可的新服務角色

  • 這是最簡單的選項,適用於大多數使用案例

指派現有角色

  • 使用您已建立的現有 IAM 角色

  • 系統會驗證角色具有必要的許可

  • 如果您的組織具有預先建立的 AWS DevOps Agent 角色,請選擇此選項

使用政策範本建立新的 DevOps Agent 角色

  • 使用提供的政策詳細資訊,在 IAM 主控台中建立您自己的自訂角色

  • 如果您需要自訂角色許可,請選擇此選項

按一下連線後,系統會自動:

  • 建立或設定指定的 IAM 角色

  • 為您的客服人員空間設定 IAM Identity Center 應用程式

  • 在 IAM Identity Center 和 Agent Space Web 應用程式之間建立信任關係

  • 設定 OAuth 2.0 身分驗證流程以安全存取使用者

替代方案:使用管理員存取

如果您想要立即存取 Agent Space Web 應用程式,而不設定 IAM Identity Center:

  1. 管理員存取區段中,記下提供管理員存取權的 IAM 角色 ARN (例如 arn:aws:iam::440491339484:role/service-role/DevOpsAgentRole-WebappAdmin-15ppoc42)

  2. 按一下藍色管理員存取按鈕,以使用 IAM 身分驗證啟動 Agent Space Web 應用程式

  3. 使用此方法的工作階段限制為 30 分鐘

注意

管理員存取權適用於初始設定和組態。對於生產用途和持續操作,設定 IAM Identity Center 身分驗證。

新增使用者和群組

設定 IAM Identity Center 身分驗證後,您需要授予特定使用者和群組對 Agent Space Web 應用程式的存取權:

步驟 1:存取使用者管理

  1. 在 AWS DevOps 代理程式主控台中,選取您的代理程式空間

  2. 前往存取索引標籤

  3. 使用者存取下,按一下管理使用者和群組

步驟 2:新增使用者或群組

  1. 選擇新增使用者或群組

  2. 在 IAM Identity Center 目錄中搜尋使用者或群組

  3. 選取您要新增的使用者或群組旁的核取方塊

  4. 按一下新增以授予他們存取權

選取的使用者現在可以使用其 IAM Identity Center 憑證存取 Agent Space Web 應用程式。

使用外部身分提供者

如果您使用外部身分提供者 (例如 Okta、Microsoft Entra ID 或 Ping Identity) 搭配 IAM Identity Center:

  • 使用者和群組會從外部身分提供者同步到 IAM Identity Center

  • 當您將使用者和群組新增至 Agent Space Web 應用程式時,您會從同步目錄選取

  • 使用者屬性和群組成員資格由外部身分提供者維護

  • 同步後,您的身分提供者的變更會自動反映在 IAM Identity Center 中

使用者如何存取 Agent Space Web 應用程式

將使用者新增至 代理程式空間之後:

  1. 與授權使用者共用 Agent Space Web 應用程式 URL

  2. 當使用者導覽至 URL 時,他們會重新導向至 IAM Identity Center 登入頁面

  3. 輸入登入資料 (如果已設定完成 MFA) 之後,系統會將其重新導向回 Agent Space Web 應用程式

  4. 根據預設,其工作階段的有效期為 8 小時 (可由 Identity Center 管理員設定)

管理使用者存取

您可以隨時更新使用者存取權:

新增更多使用者或群組:

  • 依照上述相同步驟新增其他使用者或群組

移除存取權:

  1. 使用者存取區段中,尋找要移除的使用者或群組

  2. 按一下其名稱旁的移除按鈕

  3. 確認移除

移除的使用者將立即失去存取權,但作用中的工作階段可能會繼續,直到過期為止。

工作階段管理

Agent Space Web 應用程式的 IAM Identity Center 工作階段具有下列特性:

  • 預設工作階段持續時間 – 8 小時

  • 工作階段安全性 – 用於增強保護的僅限 HTTP Cookie

  • 多重要素驗證 – 在 IAM Identity Center 中設定時支援

  • API 登入資料 – 短期 (15 分鐘) SigV4 登入資料會針對 API 呼叫發出並自動續約

若要設定工作階段持續時間:

  1. 導覽至 IAM Identity Center 主控台

  2. 前往設定 > 身分驗證

  3. 工作階段持續時間下,設定您偏好的持續時間 (從 1 小時到 12 小時)

  4. 選擇 Save changes (儲存變更)

中斷連接 Identity Center

  1. 在客服人員空間的主控台中,按一下右上角的動作,然後選取從 IAM Identity Center 中斷連線

  2. 在確認對話方塊中確認