Trabajar con fuentes de identidad del OIDC - Amazon Verified Permissions

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Trabajar con fuentes de identidad del OIDC

También puede configurar cualquier IdP de OpenID Connect (OIDC) compatible como fuente de identidad de un almacén de políticas. Los proveedores de OIDC son similares a los grupos de usuarios de Amazon Cognito: se JWTs producen como producto de la autenticación. Para añadir un proveedor de OIDC, debe proporcionar una URL del emisor

Una nueva fuente de identidad del OIDC requiere la siguiente información:

  • La URL del emisor. Los permisos verificados deben poder detectar un .well-known/openid-configuration punto final en esta URL.

  • Registros CNAME que no incluyen caracteres comodín. Por ejemplo, no se a.example.com puede asignar a. *.example.net Por el contrario, no se *.example.com puede mapear a. a.example.net

  • El tipo de token que quieres usar en las solicitudes de autorización. En este caso, ha elegido el token de identidad.

  • Por ejemplo, el tipo de entidad de usuario que desea asociar a su fuente de identidadMyCorp::User.

  • El tipo de entidad de grupo que desea asociar a su fuente de identidad, por ejemploMyCorp::UserGroup.

  • Un ejemplo de token de ID o una definición de las afirmaciones del token de ID.

  • El prefijo que desea aplicar a la entidad IDs de usuario y grupo. En la CLI y la API, puede elegir este prefijo. En los almacenes de políticas que se crean con la opción Configurar con API Gateway y un proveedor de identidades o la opción de configuración guiada, Verified Permissions asigna un prefijo del nombre del emisor menoshttps://, por ejemplo. MyCorp::User::"auth.example.com|a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Para obtener más información sobre el uso de las operaciones de la API para autorizar solicitudes de fuentes del OIDC, consulte. Operaciones de API disponibles para la autorización

En el siguiente ejemplo se muestra cómo se puede crear una política que permita el acceso a los informes de fin de año a los empleados del departamento de contabilidad que tengan una clasificación confidencial y no estén en una oficina satélite. Verified Permissions obtiene estos atributos de las afirmaciones que figuran en el token de identificación del director.

Tenga en cuenta que al hacer referencia a un grupo en el principal, debe utilizar el in operador para que la política se evalúe correctamente.

permit(
     principal in MyCorp::UserGroup::"MyOIDCProvider|Accounting", 
     action, 
     resource in MyCorp::Folder::"YearEnd2024" 
) when { 
     principal.jobClassification == "Confidential" &&
     !(principal.location like "SatelliteOffice*")
};
Temas