Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Trabajar con fuentes de identidad del OIDC También puede configurar cualquier IdP de OpenID Connect (OIDC) compatible como fuente de identidad de un almacén de políticas. Los proveedores de OIDC son similares a los grupos de usuarios de Amazon Cognito: se JWTs producen como producto de la autenticación. Para añadir un proveedor de OIDC, debe proporcionar una URL del emisor Una nueva fuente de identidad del OIDC requiere la siguiente información: + La URL del emisor. Los permisos verificados deben poder detectar un `.well-known/openid-configuration` punto final en esta URL. + Registros CNAME que no incluyen caracteres comodín. Por ejemplo, no se `a.example.com` puede asignar a. `*.example.net` Por el contrario, no se `*.example.com` puede mapear a. `a.example.net` + El tipo de token que quieres usar en las solicitudes de autorización. En este caso, ha elegido el **token de identidad**. + Por ejemplo, el tipo de entidad de usuario que desea asociar a su fuente de identidad`MyCorp::User`. + El tipo de entidad de grupo que desea asociar a su fuente de identidad, por ejemplo`MyCorp::UserGroup`. + Un ejemplo de token de ID o una definición de las afirmaciones del token de ID. + El prefijo que desea aplicar a la entidad IDs de usuario y grupo. En la CLI y la API, puede elegir este prefijo. En los almacenes de políticas que se crean con la opción **Configurar con API Gateway y un proveedor de identidades** o la opción de **configuración guiada**, Verified Permissions asigna un prefijo del nombre del emisor menos`https://`, por ejemplo. `MyCorp::User::"auth.example.com|a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"` Para obtener más información sobre el uso de las operaciones de la API para autorizar solicitudes de fuentes del OIDC, consulte. [Operaciones de API disponibles para la autorización](authorization.md#authorization-operations) En el siguiente ejemplo se muestra cómo se puede crear una política que permita el acceso a los informes de fin de año a los empleados del departamento de contabilidad que tengan una clasificación confidencial y no estén en una oficina satélite. Verified Permissions obtiene estos atributos de las afirmaciones que figuran en el token de identificación del director. Tenga en cuenta que al hacer referencia a un grupo en el principal, debe utilizar el `in` operador para que la política se evalúe correctamente. ``` permit( principal in MyCorp::UserGroup::"MyOIDCProvider|Accounting", action, resource in MyCorp::Folder::"YearEnd2024" ) when { principal.jobClassification == "Confidential" && !(principal.location like "SatelliteOffice*") }; ``` **Topics** + [Creación de fuentes de identidad OIDC de permisos verificados de Amazon](oidc-create.md) + [Edición de las fuentes de identidad OIDC de Amazon Verified Permissions](oidc-edit.md) + [Asignación de tokens OIDC al esquema](oidc-map-token-to-schema.md) + [Validación de clientes y audiencias para proveedores de OIDC](oidc-validation.md)