OIDC-Identitätsquellen mit Amazon Verified Permissions erstellen - Amazon Verified Permissions

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

OIDC-Identitätsquellen mit Amazon Verified Permissions erstellen

Mit dem folgenden Verfahren wird einem vorhandenen Richtlinienspeicher eine Identitätsquelle hinzugefügt.

Sie können auch eine Identitätsquelle erstellen, wenn Sie in der Konsole Verified Permissions einen neuen Richtlinienspeicher erstellen. In diesem Prozess können Sie die Ansprüche in Ihren Identitätsquellen-Token automatisch in Entitätsattribute importieren. Wählen Sie die Option Geführte Einrichtung oder Einrichtung mit API Gateway und einem Identitätsanbieter. Mit diesen Optionen werden auch erste Richtlinien erstellt.

Anmerkung

Identitätsquellen sind im Navigationsbereich auf der linken Seite erst verfügbar, wenn Sie einen Richtlinienspeicher erstellt haben. Identitätsquellen, die Sie erstellen, sind dem aktuellen Richtlinienspeicher zugeordnet.

Sie können den Hauptentitätstyp weglassen, wenn Sie eine Identitätsquelle mit create-identity-sourcein der AWS CLI oder CreateIdentitySourcein der Verified Permissions API erstellen. Ein leerer Entitätstyp erstellt jedoch eine Identitätsquelle mit dem EntitätstypAWS::Cognito. Dieser Entitätsname ist nicht mit dem Richtlinienspeicherschema kompatibel. Um Amazon Cognito Cognito-Identitäten in Ihr Policy Store-Schema zu integrieren, müssen Sie den Prinzipal-Entitätstyp auf eine unterstützte Policy Store-Entität festlegen.

AWS Management Console
So erstellen Sie eine OpenID Connect (OIDC) -Identitätsquelle

  1. Öffnen Sie die Konsole Verified Permissions. Wählen Sie Ihren Richtlinienspeicher aus.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Identitätsquellen aus.

  3. Wählen Sie Identitätsquelle erstellen aus.

  4. Wählen Sie Externer OIDC-Anbieter.

  5. Geben Sie unter Aussteller-URL die URL Ihres OIDC-Ausstellers ein. Dies ist der Dienstendpunkt, der beispielsweise den Autorisierungsserver, Signaturschlüssel und andere Informationen über Ihren Anbieter bereitstellt. https://auth.example.com Ihre Aussteller-URL muss ein OIDC-Discovery-Dokument unter hosten. /.well-known/openid-configuration

  6. Wählen Sie unter Tokentyp den Typ des OIDC JWT aus, den Ihre Anwendung zur Autorisierung einreichen soll. Weitere Informationen finden Sie unter Zuordnung von OIDC-Token zum Schema.

  7. Wählen Sie unter Tokenansprüche Schemaentitäten zuordnen eine Benutzerentität und Benutzeranspruch für die Identitätsquelle aus. Die Benutzerentität ist eine Entität in Ihrem Richtlinienspeicher, auf die Sie auf Benutzer Ihres OIDC-Anbieters verweisen möchten. Bei dem Benutzeranspruch handelt es sich in der Regel sub um einen Anspruch aus Ihrer ID oder Ihrem Zugriffstoken, das die eindeutige Kennung für die zu bewertende Entität enthält. Identitäten des verbundenen OIDC-IdP werden dem ausgewählten Prinzipaltyp zugeordnet.

  8. (Optional) Wählen Sie unter Tokenansprüche Schemaentitäten zuordnen eine Gruppenentität und einen Gruppenanspruch als Identitätsquelle aus. Die Gruppenentität ist der Benutzerentität übergeordnet. Gruppenansprüche werden dieser Entität zugeordnet. Bei dem Gruppenanspruch handelt es sich in der Regel groups um einen Anspruch aus Ihrer ID oder Ihrem Zugriffstoken, der eine Zeichenfolge, JSON oder eine durch Leerzeichen getrennte Zeichenfolge mit Benutzergruppennamen für die auszuwertende Entität enthält. Identitäten des verbundenen OIDC-IdP werden dem ausgewählten Prinzipaltyp zugeordnet.

  9. Geben Sie im Feld Validierung — optional den Kunden IDs oder die Zielgruppe ein URLs , die Ihr Richtlinienspeicher gegebenenfalls in Autorisierungsanfragen akzeptieren soll.

  10. Wählen Sie „Identitätsquelle erstellen“.

  11. (Optional) Wenn Ihr Richtlinienspeicher über ein Schema verfügt, müssen Sie, bevor Sie in Ihren Cedar-Richtlinien auf Attribute verweisen können, die Sie aus Identitäts- oder Zugriffstoken extrahieren, Ihr Schema aktualisieren, damit Cedar weiß, welche Art von Prinzipal Ihre Identitätsquelle erstellt. Diese Ergänzung zum Schema muss die Attribute enthalten, auf die Sie in Ihren Cedar-Richtlinien verweisen möchten. Weitere Informationen zur Zuordnung von OIDC-Tokenattributen zu Cedar-Prinzipalattributen finden Sie unter. Zuordnung von OIDC-Token zum Schema

  12. Erstellen Sie Richtlinien, die Informationen aus den Tokens verwenden, um Autorisierungsentscheidungen zu treffen. Weitere Informationen finden Sie unter Statische Richtlinien für Amazon Verified Permissions erstellen.

Nachdem Sie nun eine Identitätsquelle erstellt, das Schema aktualisiert und Richtlinien erstellt haben, lassen Sie zunächst IsAuthorizedWithToken Verifizierte Berechtigungen Autorisierungsentscheidungen treffen. Weitere Informationen finden Sie IsAuthorizedWithTokenim Referenzhandbuch zur Amazon Verified Permissions API.

AWS CLI
Um eine OIDC-Identitätsquelle zu erstellen

Sie können mithilfe der Operation eine Identitätsquelle erstellen. CreateIdentitySource Im folgenden Beispiel wird eine Identitätsquelle erstellt, die auf authentifizierte Identitäten von einem OIDC-Identitätsanbieter (IdP) zugreifen kann.

  1. Erstellen Sie eine config.txt Datei, die die folgenden Details eines OIDC-IdP zur Verwendung durch den --configuration Parameter des Befehls enthält. create-identity-source

    {
    "openIdConnectConfiguration": {
        "issuer": "https://auth.example.com",
        "tokenSelection": {
                "identityTokenOnly": {
                        "clientIds":["1example23456789"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

  2. Führen Sie den folgenden Befehl aus, um eine OIDC-Identitätsquelle zu erstellen.

    $ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

  3. (Optional) Wenn Ihr Richtlinienspeicher über ein Schema verfügt, müssen Sie, bevor Sie in Ihren Cedar-Richtlinien auf Attribute verweisen können, die Sie aus Identitäts- oder Zugriffstoken extrahieren, Ihr Schema aktualisieren, damit Cedar den Prinzipaltyp erkennt, den Ihre Identitätsquelle erstellt. Diese Ergänzung zum Schema muss die Attribute enthalten, auf die Sie in Ihren Cedar-Richtlinien verweisen möchten. Weitere Informationen zur Zuordnung von OIDC-Tokenattributen zu Cedar-Prinzipalattributen finden Sie unter. Zuordnung von OIDC-Token zum Schema

  4. Erstellen Sie Richtlinien, die Informationen aus den Tokens verwenden, um Autorisierungsentscheidungen zu treffen. Weitere Informationen finden Sie unter Statische Richtlinien für Amazon Verified Permissions erstellen.

Nachdem Sie nun eine Identitätsquelle erstellt, das Schema aktualisiert und Richtlinien erstellt haben, lassen Sie zunächst IsAuthorizedWithToken Verifizierte Berechtigungen Autorisierungsentscheidungen treffen. Weitere Informationen finden Sie IsAuthorizedWithTokenim Referenzhandbuch zur Amazon Verified Permissions API.