发布于: Jul 10, 2024
今天,Amazon Identity and Access Management(IAM)发布改进功能,以简化客户在其亚马逊云科技账户中管理 OpenID Connect(OIDC)身份提供者(IdP)的方式。这些改进功能包括提高通过现有 IdP 处理联合用户登录时的可用性,以及简化配置新 OIDC IdP 的流程。
IAM 现在通过信任锚定 IdP 的 SSL/TLS 服务器证书的根证书颁发机构(CA)来保护与 OIDC IdP 的通信。这符合当前的行业标准,并且客户无需在轮换 SSL/TLS 证书时更新证书指纹。对于使用不太常见的根 CA 或自签名 SSL/TLS 服务器证书的客户,IAM 将继续依赖在 IdP 配置中设置的证书指纹。此更改会自动应用于新的和现有的 OIDC IdP,无需客户采取任何操作。
此外,客户使用 IAM 控制台或 API/CLI 配置新的 OIDC IdP 时,不再需要提供 IdP 的 SSL/TLS 服务器证书指纹,因为 IAM 会自动检索它。此指纹由 IdP 配置维护,但如果 IdP 依赖受信任的根 CA,则不使用该指纹。
此改进功能现已在由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域推出。有关更多信息,请参阅 IAM 产品文档中的关于 Web 身份联合验证。