DynamoDB - Liên kết nhận dạng web
Liên kết Nhận dạng Web cho phép bạn đơn giản hóa xác thực và ủy quyền cho các nhóm người dùng lớn. Bạn có thể bỏ qua việc tạo tài khoản cá nhân và yêu cầu người dùng đăng nhập vào nhà cung cấp danh tính để nhận thông tin xác thực hoặc mã thông báo tạm thời. Nó sử dụng AWS Security Token Service (STS) để quản lý thông tin đăng nhập. Các ứng dụng sử dụng các mã thông báo này để tương tác với các dịch vụ.
Liên đoàn Nhận dạng Web cũng hỗ trợ các nhà cung cấp nhận dạng khác như - Amazon, Google và Facebook.
Function- Trong quá trình sử dụng, Web Identity Federation trước tiên sẽ gọi một nhà cung cấp danh tính để xác thực người dùng và ứng dụng và nhà cung cấp này sẽ trả về một mã thông báo. Điều này dẫn đến ứng dụng gọi AWS STS và chuyển mã thông báo để nhập. STS ủy quyền cho ứng dụng và cấp cho nó thông tin xác thực truy cập tạm thời, cho phép ứng dụng sử dụng vai trò IAM và truy cập tài nguyên dựa trên chính sách.
Triển khai Liên kết Nhận dạng Web
Bạn phải thực hiện ba bước sau trước khi sử dụng:
Sử dụng nhà cung cấp danh tính bên thứ ba được hỗ trợ để đăng ký làm nhà phát triển.
Đăng ký ứng dụng của bạn với nhà cung cấp để lấy ID ứng dụng.
Tạo một hoặc nhiều vai trò IAM, bao gồm cả phần đính kèm chính sách. Bạn phải sử dụng một vai trò cho mỗi nhà cung cấp cho mỗi ứng dụng.
Giả sử một trong các vai trò IAM của bạn để sử dụng Liên kết Nhận dạng Web. Sau đó, ứng dụng của bạn phải thực hiện quy trình ba bước -
- Authentication
- Chuyển đổi thông tin xác thực
- Quyền truy cập tài nguyên
Trong bước đầu tiên, ứng dụng của bạn sử dụng giao diện riêng để gọi nhà cung cấp và sau đó quản lý quy trình mã thông báo.
Sau đó, bước hai quản lý mã thông báo và yêu cầu ứng dụng của bạn gửi AssumeRoleWithWebIdentityyêu cầu AWS STS. Yêu cầu chứa mã thông báo đầu tiên, ID ứng dụng của nhà cung cấp và ARN của vai trò IAM. STS cung cấp thông tin xác thực được đặt sẽ hết hạn sau một khoảng thời gian nhất định.
Ở bước cuối cùng, ứng dụng của bạn nhận được phản hồi từ STS chứa thông tin truy cập cho các tài nguyên DynamoDB. Nó bao gồm thông tin xác thực truy cập, thời gian hết hạn, vai trò và ID vai trò.