Contrôles par fournisseur d'identité pour les fournisseurs OIDC partagés - AWS Identity and Access Management
Types de fournisseurs OIDCFournisseurs d'identité OIDC partagés avec contrôles par fournisseur d'identitéRessources supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles par fournisseur d'identité pour les fournisseurs OIDC partagés

Pour les fournisseurs d'identité OpenID Connect (OIDC) partagés reconnus (IdPs), IAM exige une évaluation explicite des revendications spécifiques dans les politiques de confiance des rôles. Ces demandes obligatoires, appelées contrôles des fournisseurs d'identité, sont évaluées par IAM lors de la création des rôles et des mises à jour des politiques de confiance. Si la politique de confiance des rôles n'évalue pas les contrôles requis par l'IdP OIDC partagé, la création ou la mise à jour du rôle échouera. Cela garantit que seules les identités autorisées de l'organisation visée peuvent assumer des rôles et accéder aux AWS ressources. Ce contrôle de sécurité est crucial lorsque les fournisseurs OIDC sont partagés entre plusieurs AWS clients.

Les contrôles des fournisseurs d'identité ne seront pas évalués par IAM pour les politiques de confiance des rôles OIDC existantes. Pour toute modification de la politique de confiance des rôles OIDC existants, IAM exigera que les contrôles des fournisseurs d'identité soient inclus dans la politique de confiance des rôles.

Types de fournisseurs OIDC

IAM classe les fournisseurs d'identité OIDC en deux types distincts : privés et partagés. Un IdP OIDC privé peut être détenu et géré par une seule organisation ou peut être locataire d'un fournisseur SaaS, l'URL de son émetteur OIDC servant d'identifiant unique spécifique à cette organisation. En revanche, un IdP OIDC partagé est utilisé par plusieurs organisations, l'URL de l'émetteur OIDC pouvant être identique pour toutes les organisations utilisant ce fournisseur d'identité partagé.

Le tableau ci-dessous décrit les principales différences entre les fournisseurs OIDC privés et partagés :

Caractéristiques Fournisseur OIDC privé Fournisseur OIDC partagé

Emetteur

Unique à l'organisation

Partagé entre plusieurs organisations

Informations sur la location

Communiquée par l'intermédiaire d'un émetteur unique

Communiquée par le biais de réclamations dans JWT

Exigences relatives à la politique de confiance

Aucune évaluation de réclamation spécifique requise

Évaluation des allégations spécifiques requise

Fournisseurs d'identité OIDC partagés avec contrôles par fournisseur d'identité

Lorsque vous créez ou modifiez un fournisseur OIDC dans IAM, le système identifie et évalue automatiquement les demandes requises pour les fournisseurs OIDC partagés reconnus. Si les contrôles du fournisseur d'identité ne sont pas configurés dans la politique de confiance des rôles, la création ou la mise à jour des rôles échouera avec une MalformedPolicyDocument erreur.

Le tableau suivant répertorie les fournisseurs OIDC partagés qui nécessitent le contrôle du fournisseur d'identité dans les politiques de confiance des rôles :

IdP OIDC URL OIDC Réclamation de location Réclamations requises
Construire un site https://agent.buildkite.com

sub

 agent.buildkite.com:sub
Codefresh SaaS https://oidc.codefresh.io sub oidc.codefresh.io:sub
Studio DVC https://studio.datachain.ai/api sub studio.datachain.ai/api:sub
GitHub actions https://token.actions.githubusercontent.com sub token.actions.githubusercontent.com:sub
GitHub streaming du journal d'audit https://oidc-configuration.audit-log.githubusercontent.com sub oidc-configuration.audit-log.githubusercontent.com:sub
GitHub vstoken https://vstoken.actions.githubusercontent.com sub vstoken.actions.githubusercontent.com:sub
GitLab https://gitlab.com sub gitlab.com:sub
IBM Turbonomic SaaS*

  • https://rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg

  • https://rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26

  • https://oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb

  • https://oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu

 sub

  • rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26:sub

  • oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb:sub

  • oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu:sub
sandboxes.cloud https://sandboxes.cloud aud sandboxes.cloud:aud
Échelle https://scalr.io sub scalr.io:sub
Nuage de Shisho https://tokens.cloud.shisho.dev sub tokens.cloud.shisho.dev:sub
Cloud Terraform https://app.terraform.io sub app.terraform.io:sub
Vers le haut https://proidc.upbound.io sub proidc.upbound.io:sub

* IBM Turbonomic met régulièrement à jour l'URL de son émetteur OIDC avec les nouvelles versions de la plateforme. Nous ajouterons d'autres émetteurs Turbonomic OIDC au champ d'application en tant que fournisseur partagé selon les besoins.

Pour tout nouvel OIDC IdPs identifié par IAM comme étant partagé, les contrôles du fournisseur d'identité requis pour les politiques de confiance dans les rôles seront documentés et appliqués de la même manière.

Ressources supplémentaires

Ressources supplémentaires :