Arbeiten mit OIDC-Identitätsquellen - Amazon Verified Permissions

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit OIDC-Identitätsquellen

Sie können auch jeden kompatiblen OpenID Connect (OIDC) IdP als Identitätsquelle für einen Richtlinienspeicher konfigurieren. OIDC-Anbieter ähneln Amazon Cognito Cognito-Benutzerpools: Sie produzieren JWTs als Produkt der Authentifizierung. Um einen OIDC-Anbieter hinzuzufügen, müssen Sie eine Aussteller-URL angeben

Für eine neue OIDC-Identitätsquelle sind die folgenden Informationen erforderlich:

  • Die URL des Ausstellers. Verifizierte Berechtigungen müssen in der Lage sein, einen .well-known/openid-configuration Endpunkt unter dieser URL zu erkennen.

  • CNAME-Einträge, die keine Platzhalter enthalten. a.example.comKann beispielsweise nicht zugeordnet werden. *.example.net Umgekehrt *.example.com kann nicht zugeordnet werden. a.example.net

  • Der Tokentyp, den Sie in Autorisierungsanfragen verwenden möchten. In diesem Fall haben Sie Identitätstoken gewählt.

  • Der Benutzer-Entitätstyp, den Sie Ihrer Identitätsquelle zuordnen möchten, zum BeispielMyCorp::User.

  • Zum Beispiel der Gruppen-Entitätstyp, den Sie Ihrer Identitätsquelle zuordnen möchtenMyCorp::UserGroup.

  • Ein Beispiel für ein ID-Token oder eine Definition der Ansprüche im ID-Token.

  • Das Präfix, das Sie auf die Benutzer- und Gruppenentität anwenden möchten IDs. In der CLI und API können Sie dieses Präfix wählen. In Richtlinienspeichern, die Sie mit der Option Mit API Gateway und einem Identitätsanbieter einrichten oder Geführte Einrichtung erstellen, weist Verified Permissions beispielsweise ein Präfix mit dem Namen des Ausstellers minus https:// zu. MyCorp::User::"auth.example.com|a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Weitere Informationen zur Verwendung von API-Vorgängen zur Autorisierung von Anfragen aus OIDC-Quellen finden Sie unter. Verfügbare API-Operationen für die Autorisierung

Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die Mitarbeitern der Buchhaltungsabteilung Zugriff auf Jahresabschlussberichte gewährt, die vertraulich eingestuft sind und sich nicht in einem Außenbüro befinden. Verified Permissions leitet diese Attribute aus den Ansprüchen im ID-Token des Prinzipals ab.

Beachten Sie, dass Sie beim Verweisen auf eine Gruppe im Prinzipal den in Operator verwenden müssen, damit die Richtlinie korrekt ausgewertet wird.

permit(
     principal in MyCorp::UserGroup::"MyOIDCProvider|Accounting", 
     action, 
     resource in MyCorp::Folder::"YearEnd2024" 
) when { 
     principal.jobClassification == "Confidential" &&
     !(principal.location like "SatelliteOffice*")
};
Themen