AWS Identity and Access Management упрощает управление поставщиками идентификации OpenID Connect
Сегодня AWS Identity and Access Management (IAM) объявляет об улучшениях, упрощающих управление поставщиками идентификации (IdP) OpenID Connect (OIDC) в своих аккаунтах AWS. Эти улучшения включают повышение доступности при обработке входа федеративных пользователей через существующие IdP и упрощение процесса подготовки новых IdP OIDC.
Теперь IAM для защиты взаимодействия с поставщиками IdP OIDC доверяет корневому центру сертификации (CA), привязывающему сертификат сервера SSL/TLS поставщика IdP. Такой подход соответствует действующим отраслевым стандартам и избавляет клиентов от необходимости обновлять отпечатки сертификатов при смене сертификатов SSL/TLS. Для клиентов, использующих менее распространенные корневые центры сертификации или самозаверяющие сертификаты сервера SSL/TLS, IAM будет по-прежнему полагаться на отпечаток сертификата, заданный в конфигурации IdP. Данное изменение автоматически распространяется на новые и существующие IdP OIDC, и от клиентов не требуется никаких действий.
Кроме того, когда клиенты настраивают новый IdP OIDC с помощью консоли IAM или API/CLI, клиентам больше не нужно предоставлять отпечаток сертификата сервера SSL/TLS поставщика IdP, поскольку IAM автоматически получит его. Этот отпечаток сохраняется в конфигурации IdP, но не используется, если IdP полагается на доверенный корневой центр сертификации.
Эти улучшения теперь доступны в коммерческих регионах AWS, регионах AWS GovCloud (США) и регионах Китая. Дополнительные сведения см. в разделе Федерация сетевых удостоверений в документации по продукту IAM.