IAM Identity Center 发布新的 SDK 插件以简化与外部身份提供者的令牌交换流程
IAM Identity Center 发布了一个新的 SDK 插件,可以简化通过 Microsoft EntraID、Okta 等外部身份提供者(IdP)进行身份验证的应用程序的 AWS 资源授权。该插件支持可信身份传播(TIP),简化了外部 IDP 令牌与 IAM Identity Center 令牌的交换方式。这些令牌可以利用外部 IdP 中定义的用户和组成员身份,实现对 AWS 资源(如 Amazon S3 存储桶)的精确访问控制。
新的 SDK 插件实现了令牌交换流程的自动化,无需复杂的自定义工作流程。配置完成后,它就能无缝处理 IAM Identity Center 令牌的创建和用户身份凭证的生成。这些凭证可用于在请求访问不同 AWS 资源时,创建与用户身份绑定的 IAM 角色会话。该 TIP 插件目前适用于 Java 2.0 和 JavaScript v3 SDK,是 AWS 推荐的基于用户身份的授权解决方案。
借助 IAM Identity Center,您只需将现有的员工身份来源连接到 AWS 一次,即可获得 Amazon Q 等 AWS 应用程序提供的个性化体验。您还可以定义和审计对 AWS 服务中的数据的基于用户身份的访问权限,并从一个中心位置管理对多个 AWS 账户的访问权限。有关该插件的安装说明,请参阅此处。有关 Amazon Q Business 开发人员如何集成该插件以打造基于用户身份的生成式人工智能体验的示例,请参阅此处。该插件现已在支持 IAM Identity Center 的所有 AWS 区域推出,不额外收费。