Оглавление

Как пишет блог AWS, платформа Amazon Q Business получила важное обновление для поставщиков программного обеспечения. Теперь независимые вендоры (ISV) могут использовать собственные системы аутентификации для доступа к индексам данных своих клиентов через механизм Trusted Token Issuer.

Что изменилось в аутентификации

Ранее поставщикам SaaS-решений приходилось реализовывать авторизацию через AWS IAM Identity Center, что создавало необходимость двойной аутентификации. С поддержкой Trusted Token Issuer ISV могут использовать собственные OpenID Connect-провайдеры, что значительно упрощает процесс интеграции.

Ключевые преимущества нового подхода:

  • Устранение необходимости двойной аутентификации
  • Сохранение корпоративных стандартов безопасности
  • Упрощение процесса интеграции для разработчиков
  • Поддержка тонкого контроля доступа на уровне пользователей

Как работают поставщики данных

Поставщики данных — это поставщики SaaS-решений, которые регистрируются в AWS и получают авторизацию для использования индексов Amazon Q своих клиентов. Процесс включает регистрацию ISV, где они предоставляют конфигурационную информацию, включая данные OpenID Connect для поддержки TTI.

Это классический пример того, как крупные облачные провайдеры постепенно открывают свои экосистемы для внешних провайдеров идентификации. Вместо того чтобы заставлять всех танцевать под свою дудку, AWS предлагает гибкий механизм интеграции — умный ход для увеличения уровня внедрения среди корпоративных клиентов, уже имеющих свои системы аутентификации.

Техническая реализация

Механизм Trusted Token Issuer представляет собой API обмена токенами, который распространяет информацию об идентификации в сессиях IAM-ролей. Это позволяет сервисам AWS принимать решения об авторизации на основе фактической идентификации конечного пользователя и членства в группах.

Процесс внедрения включает первоначальную настройку клиентом и последующий поток аутентификации, реализуемый поставщиками данных для доступа пользователей. Клиенты должны выполнить одноразовую настройку, добавив поставщика данных в приложение Amazon Q Business.

Диаграмма процесса аутентификации TTI для модулей доступа к данным Amazon Q Business

Во время настройки в AWS IAM Identity Center клиента создается TTI с информацией о поставщике удостоверений поставщика данных, что позволяет поставщику удостоверений поставщика данных аутентифицировать доступ к индексу Amazon Q клиента.

Новый подход особенно важен для многопользовательских сред, где требуется строгая изоляция данных между клиентами. Поставщики должны указывать свой tenantId — уникальный идентификатор для арендатора их приложения, что обеспечивает правильную изоляцию клиентов.