Sécurisez vos applications avec des sources d'identité et des jetons - Amazon Verified Permissions
Choisir le bon fournisseur d'identité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurisez vos applications avec des sources d'identité et des jetons

Sécurisez rapidement vos applications en créant une source d'identité représentant un fournisseur d'identité externe (IdP) dans Amazon Verified Permissions. Les sources d'identité fournissent des informations provenant d'un utilisateur qui s'est authentifié auprès d'un IdP ayant une relation de confiance avec votre magasin de politiques. Lorsque votre application fait une demande d'autorisation à l'aide d'un jeton provenant d'une source d'identité, votre magasin de politiques peut prendre des décisions d'autorisation à partir des propriétés des utilisateurs et des autorisations d'accès. Vous pouvez ajouter un groupe d'utilisateurs Amazon Cognito ou un IdP OpenID Connect (OIDC) personnalisé comme source d'identité.

Vous pouvez utiliser les fournisseurs d'identité OpenID Connect (OIDC) (IdPs) dotés d'autorisations vérifiées. Votre application peut générer des demandes d'autorisation à l'aide de jetons Web JSON (JWTs) générés par un fournisseur d'identité conforme à l'OIDC. L'identité de l'utilisateur figurant dans le jeton est mappée à l'identifiant principal. Avec les jetons d'identification, Verified Permissions associe les revendications d'attributs aux attributs principaux. Avec les jetons d'accès, ces revendications sont mises en correspondance avec le contexte. Avec les deux types de jetons, vous pouvez associer une réclamation groups à un groupe principal et élaborer des politiques qui évaluent le contrôle d'accès basé sur les rôles (RBAC).

Note

Verified Permissions prend des décisions d'autorisation sur la base des informations provenant d'un jeton IdP, mais n'interagit en aucune façon directement avec l'IdP.

Pour découvrir comment step-by-step créer une logique d'autorisation pour Amazon API Gateway REST à APIs l'aide d'un groupe d'utilisateurs Amazon Cognito ou d'un fournisseur d'identité OIDC, consultez Authorize API Gateway APIs using Amazon Verified Permissions with Amazon Cognito ou créez votre propre fournisseur d'identité sur le blog de sécurité.AWS

Rubriques

Choisir le bon fournisseur d'identité

Bien que les autorisations vérifiées fonctionnent avec de nombreuses IdPs options, tenez compte des points suivants lorsque vous décidez laquelle utiliser dans votre application :

Utilisez Amazon Cognito lorsque :

  • Vous créez de nouvelles applications sans infrastructure d'identité existante

  • Vous voulez des groupes d'utilisateurs AWS gérés avec des fonctionnalités de sécurité intégrées

  • Vous avez besoin de l'intégration d'un fournisseur d'identité sociale

  • Vous souhaitez une gestion simplifiée des jetons

Utilisez les fournisseurs OIDC lorsque :

  • Vous disposez d'une infrastructure d'identité existante (Auth0, Okta, Azure AD)

  • Vous devez maintenir une gestion centralisée des utilisateurs

  • Vous avez des exigences de conformité spécifiques IdPs