Identitätsanbieterkontrollen für gemeinsam genutzte OIDC-Anbieter - AWS Identitäts- und Zugriffsverwaltung
OIDC-AnbietertypenGemeinsame OIDC-Identitätsanbieter mit Kontrollen durch IdentitätsanbieterWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identitätsanbieterkontrollen für gemeinsam genutzte OIDC-Anbieter

Für anerkannte Shared OpenID Connect (OIDC) -Identitätsanbieter (IdPs) erfordert IAM eine ausdrückliche Bewertung bestimmter Ansprüche in den Richtlinien zur Rollenvertrauensstellung. Diese erforderlichen Ansprüche, die als Identitätsanbieterkontrollen bezeichnet werden, werden von IAM bei der Rollenerstellung und bei der Aktualisierung der Vertrauensrichtlinien bewertet. Wenn die Rollenvertrauensrichtlinie die Kontrollen, die für den gemeinsamen OIDC-IdP erforderlich sind, nicht bewertet, schlägt die Rollenerstellung oder -aktualisierung fehl. Dadurch wird sichergestellt, dass nur autorisierte Identitäten der vorgesehenen Organisation Rollen übernehmen und auf Ressourcen zugreifen können. AWS Diese Sicherheitskontrolle ist von entscheidender Bedeutung, wenn OIDC-Anbieter von mehreren Kunden gemeinsam genutzt werden. AWS

Die Kontrollen der Identitätsanbieter werden von IAM nicht anhand vorhandener OIDC-Richtlinien zur Vertrauensstellung für Rollen bewertet. Für alle Änderungen an der Rollenvertrauensrichtlinie für bestehende OIDC-Rollen verlangt IAM, dass die Kontrollen des Identitätsanbieters in die Rollenvertrauensrichtlinie aufgenommen werden.

OIDC-Anbietertypen

IAM unterteilt OIDC-Identitätsanbieter in zwei verschiedene Typen: private und gemeinsam genutzte. Ein privater OIDC-IdP kann einer einzelnen Organisation gehören und von dieser verwaltet werden oder ein Mandant eines SaaS-Anbieters sein, wobei seine OIDC-Aussteller-URL als eindeutige Kennung für diese Organisation dient. Im Gegensatz dazu wird ein gemeinsamer OIDC-IdP in mehreren Organisationen verwendet, wobei die OIDC-Aussteller-URL für alle Organisationen, die diesen gemeinsamen Identitätsanbieter verwenden, identisch sein kann.

In der folgenden Tabelle sind die wichtigsten Unterschiede zwischen privaten und gemeinsam genutzten OIDC-Anbietern aufgeführt:

Merkmal Privater OIDC-Anbieter Gemeinsamer OIDC-Anbieter

Aussteller

Einzigartig für die Organisation

Von mehreren Organisationen gemeinsam genutzt

Informationen zum Mietverhältnis

Wird über einen eindeutigen Emittenten kommuniziert

Wird über Anträge in JWT kommuniziert

Anforderungen an die Vertrauensrichtlinie

Es ist keine spezifische Prüfung des Antrags erforderlich

Bewertung bestimmter Ansprüche erforderlich

Gemeinsame OIDC-Identitätsanbieter mit Kontrollen durch Identitätsanbieter

Wenn Sie einen OIDC-Anbieter in IAM erstellen oder ändern, identifiziert und bewertet das System automatisch die erforderlichen Ansprüche für anerkannte gemeinsame OIDC-Anbieter. Wenn in der Rollenvertrauensrichtlinie keine Kontrollen für Identitätsanbieter konfiguriert sind, schlägt die Rollenerstellung oder -aktualisierung mit einem Fehler fehl. MalformedPolicyDocument

In der folgenden Tabelle sind die gemeinsam genutzten OIDC-Anbieter aufgeführt, für die Identitätsanbieterkontrollen in den Richtlinien zur Rollenvertrauensstellung erforderlich sind:

OIDC-IdP OIDC-URL Mietanspruch Erforderliche Ansprüche
Buildkite https://agent.buildkite.com

sub

 agent.buildkite.com:sub
Codefresh SaaS https://oidc.codefresh.io sub oidc.codefresh.io:sub
DVC-Studio https://studio.datachain.ai/api sub studio.datachain.ai/api:sub
GitHub Aktionen https://token.actions.githubusercontent.com sub token.actions.githubusercontent.com:sub
GitHub Streaming von Auditprotokollen https://oidc-configuration.audit-log.githubusercontent.com sub oidc-configuration.audit-log.githubusercontent.com:sub
GitHub vstoken https://vstoken.actions.githubusercontent.com sub vstoken.actions.githubusercontent.com:sub
GitLab https://gitlab.com sub gitlab.com:sub
IBM Turbonomic SaaS*

  • https://rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg

  • https://rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26

  • https://oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb

  • https://oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu

 sub

  • rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26:sub

  • oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb:sub

  • oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu:sub
Sandboxen.cloud https://sandboxes.cloud aud sandboxes.cloud:aud
Skalieren https://scalr.io sub scalr.io:sub
Shisho Cloud https://tokens.cloud.shisho.dev sub tokens.cloud.shisho.dev:sub
Terraform-Wolke https://app.terraform.io sub app.terraform.io:sub
Aufwärts https://proidc.upbound.io sub proidc.upbound.io:sub

* IBM Turbonomic aktualisiert seine OIDC-Aussteller-URL regelmäßig mit neuen Versionen der Plattform. Bei Bedarf werden wir weitere Turbonomic OIDC-Emittenten als gemeinsamen Anbieter in den Geltungsbereich aufnehmen.

Für jedes neue OIDC IdPs , das IAM als gemeinsam genutzt identifiziert, werden die erforderlichen Kontrollen des Identitätsanbieters für Richtlinien zum Rollenvertrauen auf ähnliche Weise dokumentiert und durchgesetzt.

Weitere Ressourcen

Zusätzliche Ressourcen: