DynamoDB - Fédération d'identité Web

Web Identity Federation vous permet de simplifier l'authentification et l'autorisation pour les grands groupes d'utilisateurs. Vous pouvez ignorer la création de comptes individuels et demander aux utilisateurs de se connecter à un fournisseur d'identité pour obtenir des informations d'identification ou des jetons temporaires. Il utilise AWS Security Token Service (STS) pour gérer les informations d'identification. Les applications utilisent ces jetons pour interagir avec les services.

Web Identity Federation prend également en charge d'autres fournisseurs d'identité tels que - Amazon, Google et Facebook.

Function- En cours d'utilisation, Web Identity Federation appelle d'abord un fournisseur d'identité pour l'authentification des utilisateurs et des applications, et le fournisseur renvoie un jeton. Il en résulte que l'application appelle AWS STS et transmet le jeton pour l'entrée. STS autorise l'application et lui accorde des informations d'identification d'accès temporaires, qui permettent à l'application d'utiliser un rôle IAM et d'accéder aux ressources en fonction de la stratégie.

Implémentation de la fédération d'identité Web

Vous devez effectuer les trois étapes suivantes avant l'utilisation -

  • Utilisez un fournisseur d'identité tiers pris en charge pour vous inscrire en tant que développeur.

  • Enregistrez votre application auprès du fournisseur pour obtenir un identifiant d'application.

  • Créez un ou plusieurs rôles IAM, y compris l'attachement de stratégie. Vous devez utiliser un rôle par fournisseur et par application.

Assumez l'un de vos rôles IAM pour utiliser Web Identity Federation. Votre application doit ensuite effectuer un processus en trois étapes -

  • Authentication
  • Acquisition d'informations d'identification
  • Accès aux ressources

Dans la première étape, votre application utilise sa propre interface pour appeler le fournisseur, puis gère le processus de jeton.

Ensuite, la deuxième étape gère les jetons et nécessite que votre application envoie un AssumeRoleWithWebIdentitydemande à AWS STS. La demande contient le premier jeton, l'ID d'application du fournisseur et l'ARN du rôle IAM. Le STS fournit des informations d'identification définies pour expirer après une certaine période.

À l'étape finale, votre application reçoit une réponse de STS contenant des informations d'accès aux ressources DynamoDB. Il comprend les informations d'identification d'accès, l'heure d'expiration, le rôle et l'ID de rôle.