Schützen Sie Ihre Anwendungen mit Identitätsquellen und Tokens - Amazon Verified Permissions
Den richtigen Identitätsanbieter auswählen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schützen Sie Ihre Anwendungen mit Identitätsquellen und Tokens

Schützen Sie Ihre Anwendungen schnell, indem Sie eine Identitätsquelle erstellen, die einen externen Identitätsanbieter (IdP) in Amazon Verified Permissions repräsentiert. Identitätsquellen stellen Informationen von einem Benutzer bereit, der sich bei einem IdP authentifiziert hat, der eine Vertrauensbeziehung zu Ihrem Richtlinienspeicher unterhält. Wenn Ihre Anwendung eine Autorisierungsanfrage mit einem Token aus einer Identitätsquelle stellt, kann Ihr Richtlinienspeicher anhand von Benutzereigenschaften und Zugriffsberechtigungen Autorisierungsentscheidungen treffen. Sie können einen Amazon Cognito Cognito-Benutzerpool oder einen benutzerdefinierten OpenID Connect (OIDC) IdP als Identitätsquelle hinzufügen.

Sie können OpenID Connect (OIDC) -Identitätsanbieter (IdPs) mit verifizierten Berechtigungen verwenden. Ihre Anwendung kann Autorisierungsanfragen mit JSON-Webtoken (JWTs) generieren, die von einem OIDC-konformen Identitätsanbieter generiert wurden. Die Benutzeridentität im Token ist der Prinzipal-ID zugeordnet. Bei ID-Tokens ordnet Verified Permissions Attributansprüche den Hauptattributen zu. Mit Zugriffstoken werden diese Ansprüche dem Kontext zugeordnet. Mit beiden Tokentypen können Sie einen Anspruch quasi einer Prinzipalgruppe groups zuordnen und Richtlinien erstellen, die die rollenbasierte Zugriffskontrolle (RBAC) bewerten.

Anmerkung

Verified Permissions trifft Autorisierungsentscheidungen auf der Grundlage von Informationen aus einem IdP-Token, interagiert jedoch in keiner Weise direkt mit dem IdP.

Eine step-by-step exemplarische Vorgehensweise, die die Autorisierungslogik für Amazon API Gateway REST APIs mithilfe eines Amazon Cognito-Benutzerpools oder eines OIDC-Identitätsanbieters erstellt, finden Sie unter Autorisieren von API-Gateways APIs mithilfe von Amazon Verified Permissions with Amazon Cognito oder Bring your own identity provider im Security Blog.AWS

Themen

Den richtigen Identitätsanbieter auswählen

Verified Permissions funktioniert zwar mit einer Vielzahl von Berechtigungen IdPs, Sie sollten jedoch Folgendes berücksichtigen, wenn Sie entscheiden, welche Berechtigungen Sie in Ihrer Anwendung verwenden möchten:

Verwenden Sie Amazon Cognito, wenn:

  • Sie entwickeln neue Anwendungen ohne bestehende Identitätsinfrastruktur

  • Sie möchten AWS verwaltete Benutzerpools mit integrierten Sicherheitsfunktionen

  • Sie benötigen die Integration eines Anbieters für soziale Identitäten

  • Sie möchten eine vereinfachte Tokenverwaltung

Verwenden Sie OIDC-Anbieter, wenn:

  • Sie verfügen über eine bestehende Identitätsinfrastruktur (Auth0, Okta, Azure AD)

  • Sie müssen eine zentralisierte Benutzerverwaltung aufrechterhalten

  • Sie haben Compliance-Anforderungen für bestimmte IdPs