AWS Identity and Access Management 簡化 OpenID Connect 身分提供者的管理

張貼日期: 2024年7月12日

今日，AWS Identity and Access Management (IAM) 宣布推出改進，簡化客戶管理 AWS 帳戶中 OpenID Connect (OIDC) 身分提供者 (IdP) 的方式。這些改進包括透過現有 IdP 處理聯合身分使用者登入時提高可用性，並簡化佈建新 OIDC IdP 的流程。

IAM 現在藉由信任錨定 IdP 之 SSL/TLS 伺服器憑證的根憑證認證機構 (CA)，以確保與 OIDC IdP 之間的通訊安全。這符合現行業界標準，客戶在輪換 SSL/TLS 憑證時，無需更新憑證指紋。對於使用較不常見之根 CA 或自我簽署 SSL/TLS 伺服器憑證的客戶，IAM 將繼續依賴您 IdP 組態中設定的憑證指紋。此變更會自動套用至新的及現有 OIDC IdP，客戶無需採取任何行動。

此外，客戶使用 IAM 主控台或 API/CLI 設定新的 OIDC IdP 時，無需提供 IdP 的 SSL/TLS 伺服器憑證指紋，因為 IAM 會自動擷取。此指紋與 IdP 組態一起維護，但如果 IdP 依賴可信根 CA，則不會使用此指紋。

這些改進現已在商業 AWS 區域、AWS GovCloud (美國) 區域和中國區域推出。如需更多資訊，請參閱 IAM 產品文件中的關於 Web 聯合身分。