AWS Identity and Access Management 简化了 OpenID Connect 身份提供者的管理

发布于: 2024年7月12日

今天，AWS Identity and Access Management (IAM) 宣布推出改进功能，用于简化客户在其 AWS 账户中管理 OpenID Connect (OIDC) 身份提供者 (IdP) 的方式。这些改进功能包括：提高通过现有 IdP 处理联合用户登录时的可用性、简化预置新 OIDC IdP 的流程。

通过信任锚定 IdP 的 SSL/TLS 服务器证书的根证书颁发机构 (CA)，IAM 现在可保护与 OIDC IdP 的通信。这符合当前的行业标准，并且客户无需在轮换 SSL/TLS 证书时更新证书指纹。如果客户使用的是不太常见的根 CA 或自签名 SSL/TLS 服务器证书，IAM 仍依赖在 IdP 配置中设置的证书指纹。此更改会自动适用于新的和现有的 OIDC IdP，无需客户采取任何操作。

此外，如果客户使用 IAM 控制台或 API/CLI 配置新的 OIDC IdP，则他们无需再提供 IdP 的 SSL/TLS 服务器证书指纹，因为 IAM 会自动检索此指纹。此指纹由 IdP 配置维护，但如果 IdP 依赖可信根 CA，则不使用该指纹。

这些改进功能现已在 AWS 商业区域、AWS GovCloud（美国）区域和中国区域推出。有关更多信息，请参阅 IAM 产品文档中的关于 Web 身份联合验证。