本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Verified Access 的使用者身分信任提供者
<a name="user-trust"></a>

您可以選擇使用 AWS IAM Identity Center 或 OpenID Connect 相容的使用者身分信任提供者。

**Topics**
+ [使用 IAM Identity Center 做為信任提供者](#identity-center)
+ [使用 OpenID Connect 信任提供者](#oidc-provider)

## 使用 IAM Identity Center 做為信任提供者
<a name="identity-center"></a>

您可以使用 AWS IAM Identity Center 做為具有 AWS Verified Access *的使用者身分*信任提供者。

### 先決條件和考量事項
<a name="create-idc-prereq"></a>
+ 您的 IAM Identity Center 執行個體必須是 AWS Organizations 執行個體。獨立 AWS 帳戶 IAM Identity Center 執行個體將無法運作。
+ 您的 IAM Identity Center 執行個體必須在您要建立 Verified Access 信任提供者的相同 AWS 區域中啟用。
+ 驗證存取可以提供存取權給 IAM Identity Center 中指派給最多 1，000 個群組的使用者。

如需不同[執行個體類型的詳細資訊，請參閱《 使用者指南》中的管理 IAM Identity Center 的組織和帳戶](https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html)執行個體。 *AWS IAM Identity Center *

### 建立 IAM Identity Center 信任提供者
<a name="create-identity-center"></a>

在 AWS 您的帳戶上啟用 IAM Identity Center 後，您可以使用下列程序將 IAM Identity Center 設定為 Verified Access 的信任提供者。

**建立 IAM Identity Center 信任提供者AWS （主控台）**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**已驗證存取信任提供者**，然後選擇**建立已驗證存取信任提供者**。

1. （選用） 針對**名稱標籤**和**描述**，輸入信任提供者的名稱和描述。

1. 針對**政策參考名稱**，輸入稍後使用政策規則時使用的識別符。

1. 在**信任提供者類型**下，選取**使用者信任提供者**。

1. 在**使用者信任提供者類型**下，選取 **IAM Identity Center**。

1. (選用) 若要新增標籤，請選擇 **Add new tag (新增標籤)**，然後輸入標籤的鍵和值。

1. 選擇**建立已驗證存取信任提供者**。

**建立 IAM Identity Center 信任提供者 (AWS CLI)**
+ [create-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) (AWS CLI)

### 刪除 IAM Identity Center 信任提供者
<a name="delete-identity-center"></a>

您必須先從信任提供者連接的執行個體中移除所有端點和群組組態，才能刪除信任提供者。

**刪除 IAM Identity Center 信任提供者AWS （主控台）**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Verified Access 信任提供者**，然後在 **Verified Access 信任提供者下選取要刪除的信任提供者**。

1. 選擇**動作**，然後選擇**刪除已驗證的存取信任提供者**。

1. 在文字方塊`delete`中輸入 以確認刪除。

1. 選擇 **刪除**。

**刪除 IAM Identity Center 信任提供者 (AWS CLI)**
+ [delete-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) (AWS CLI)

## 使用 OpenID Connect 信任提供者
<a name="oidc-provider"></a>

AWS Verified Access 支援使用標準 OpenID Connect (OIDC) 方法的身分提供者。您可以使用 OIDC 相容提供者做為具有 Verified Access *的使用者身分*信任提供者。不過，由於潛在的 OIDC 供應商種類繁多， AWS 無法測試每個與 Verified Access 的 OIDC 整合。

Verified Access 會從 OIDC 提供者的 取得評估的信任資料`UserInfo Endpoint`。`Scope` 參數用於判斷要擷取的信任資料集。收到信任資料後，系統會針對其評估 Verified Access 政策。

自 2025 年 2 月 24 日起建立的信任提供者，來自 OIDC 信任提供者的 ID 權杖宣告會包含在`addition_user_context`金鑰中。

對於在 2025 年 2 月 24 日之前建立的信任提供者，Verified Access 不會使用來自 OIDC 提供者所`ID token`傳送之 的信任資料。只有來自 的信任資料`UserInfo Endpoint`才會根據 政策進行評估。

使用截至 2025 年 2 月 24 日建立的信任提供者，預設工作階段持續時間為一天。透過在 2025 年 2 月 24 日之前建立的信任提供者，預設工作階段持續時間為七天。

如果指定重新整理權杖，Verified Access 會使用重新整理權杖過期做為工作階段持續時間。如果沒有重新整理字符，則會使用預設工作階段持續時間。

**Topics**
+ [建立 OIDC 信任提供者的先決條件](#create-oidc-prereq)
+ [建立 OIDC 信任提供者](#create-oidc-provider)
+ [修改 OIDC 信任提供者](#modify-oidc-provider)
+ [刪除 OIDC 信任提供者](#delete-oidc-provider)

### 建立 OIDC 信任提供者的先決條件
<a name="create-oidc-prereq"></a>

您需要直接從您的信任提供者服務收集以下資訊：
+ 發行者
+ 授權端點
+ 權杖端點
+ UserInfo 端點
+ 用戶端 ID
+ Client secret (用戶端密碼)
+ Scope (範圍)

### 建立 OIDC 信任提供者
<a name="create-oidc-provider"></a>

使用下列程序建立 OIDC 做為您的信任提供者。

**建立 OIDC 信任提供者AWS （主控台）**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**已驗證存取信任提供者**，然後選擇**建立已驗證存取信任提供者**。

1. （選用） 針對**名稱標籤**和**描述**，輸入信任提供者的名稱和描述。

1. 針對**政策參考名稱**，輸入稍後使用政策規則時使用的識別符。

1. 在**信任提供者類型**下，選取**使用者信任提供者**。

1. 在**使用者信任提供者類型**下，選取 **OIDC (OpenID Connect)**。

1. 針對 **OIDC (OpenID Connect)**，選擇信任提供者。

1. 針對**發行者**，輸入 OIDC 發行者的識別符。

1. 針對**授權端點**，輸入授權端點的完整 URL。

1. 針對**權杖端點**，輸入權杖端點的完整 URL。

1. 針對**使用者端點**，輸入使用者端點的完整 URL。

1. （原生應用程式 OIDC) 針對**公有簽署金鑰 URL**，輸入公有簽署金鑰端點的完整 URL。

1. 輸入用戶端 ID 的 OAuth 2.0 用戶端識別符。 ****

1. 輸入用戶端秘密的 OAuth 2.0 **用戶端秘密**。

1. 輸入由您的身分提供者定義的以空格分隔的範圍清單。範圍至少openid需要 **範圍**。

1. (選用) 若要新增標籤，請選擇 **Add new tag (新增標籤)**，然後輸入標籤的鍵和值。

1. 選擇**建立已驗證存取信任提供者**。

1. 您必須將重新導向 URI 新增至 OIDC 提供者的允許清單。
   + HTTP 應用程式 – 使用下列 URI：**https://application\$1domain/oauth2/idpresponse**。在 主控台中，您可以在驗證存取端點**的詳細資訊**索引標籤上找到應用程式網域。當您描述 Verified Access 端點時，使用 AWS CLI 或 AWS SDK，應用程式網域會包含在輸出中。
   + TCP 應用程式 – 使用下列 URI：**http://localhost:8000**。

**建立 OIDC 信任提供者 (AWS CLI)**
+ [create-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) (AWS CLI)

### 修改 OIDC 信任提供者
<a name="modify-oidc-provider"></a>

建立信任提供者之後，您可以更新其組態。

**修改 OIDC 信任提供者AWS （主控台）**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Verified Access 信任提供者**，然後在 **Verified Access 信任提供者下選取要修改的信任提供者**。

1. 選擇**動作**，然後選擇**修改已驗證的存取信任提供者**。

1. 修改您要變更的選項。

1. 選擇**修改已驗證的存取信任提供者**。

**修改 OIDC 信任提供者 (AWS CLI)**
+ [modify-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-trust-provider.html) (AWS CLI)

### 刪除 OIDC 信任提供者
<a name="delete-oidc-provider"></a>

您必須先從信任提供者連接的執行個體中移除所有端點和群組組態，才能刪除使用者信任提供者。

**刪除 OIDC 信任提供者AWS （主控台）**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Verified Access 信任提供者**，然後在 **Verified Access 信任提供者下選取要刪除的信任提供者**。

1. 選擇**動作**，然後選擇**刪除已驗證的存取信任提供者**。

1. 在文字方塊`delete`中輸入 以確認刪除。

1. 選擇 **刪除**。

**刪除 OIDC 信任提供者 (AWS CLI)**
+ [delete-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) (AWS CLI)