Création de sources d'identité OIDC Amazon Verified Permissions - Amazon Verified Permissions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de sources d'identité OIDC Amazon Verified Permissions

La procédure suivante ajoute une source d'identité à un magasin de politiques existant.

Vous pouvez également créer une source d'identité lorsque vous créez un nouveau magasin de politiques dans la console Verified Permissions. Au cours de ce processus, vous pouvez importer automatiquement les revendications contenues dans vos jetons de source d'identité dans les attributs des entités. Choisissez l'option Configuration guidée ou Configuration avec API Gateway et un fournisseur d'identité. Ces options créent également des politiques initiales.

Note

Les sources d'identité ne sont pas disponibles dans le volet de navigation de gauche tant que vous n'avez pas créé un magasin de politiques. Les sources d'identité que vous créez sont associées au magasin de politiques actuel.

Vous pouvez omettre le type d'entité principal lorsque vous créez une source d'identité create-identity-sourcedans AWS CLI ou CreateIdentitySourcedans l'API Verified Permissions. Cependant, un type d'entité vide crée une source d'identité avec un type d'entité deAWS::Cognito. Ce nom d'entité n'est pas compatible avec le schéma Policy Store. Pour intégrer les identités Amazon Cognito à votre schéma de magasin de politiques, vous devez définir le type d'entité principal sur une entité de magasin de politiques prise en charge.

AWS Management Console
Pour créer une source d'identité OpenID Connect (OIDC)

  1. Ouvrez la console des autorisations vérifiées. Choisissez votre magasin de polices.

  2. Dans le volet de navigation de gauche, choisissez Identity sources.

  3. Choisissez Créer une source d'identité.

  4. Choisissez un fournisseur OIDC externe.

  5. Dans URL de l'émetteur, entrez l'URL de votre émetteur OIDC. Il s'agit du point de terminaison du service qui fournit le serveur d'autorisation, les clés de signature et d'autres informations sur votre fournisseur, par exemplehttps://auth.example.com. L'URL de votre émetteur doit héberger un document de découverte OIDC à l'adresse. /.well-known/openid-configuration

  6. Dans Type de jeton, choisissez le type de JWT OIDC que vous souhaitez que votre demande soumette pour autorisation. Pour de plus amples informations, veuillez consulter Mappage des jetons OIDC au schéma.

  7. Dans Map token claims to schema entities, choisissez une entité User et User claim pour la source d'identité. L'entité utilisateur est une entité de votre magasin de politiques à laquelle vous souhaitez faire référence aux utilisateurs de votre fournisseur OIDC. La réclamation de l'utilisateur est généralement sub une réclamation provenant de votre identifiant ou de votre jeton d'accès qui contient l'identifiant unique de l'entité à évaluer. Les identités de l'IdP OIDC connecté seront mappées au type principal sélectionné.

  8. (Facultatif) Dans les revendications de jeton de carte relatives à des entités de schéma, choisissez une entité de groupe et une revendication de groupe pour la source d'identité. L'entité Group est le parent de l'entité User. Les revendications de groupe sont mappées à cette entité. La réclamation de groupe est généralement groups une réclamation provenant de votre identifiant ou de votre jeton d'accès qui contient une chaîne, un JSON ou une chaîne de noms de groupes d'utilisateurs délimitée par des espaces pour l'entité à évaluer. Les identités de l'IdP OIDC connecté seront mappées au type principal sélectionné.

  9. Dans Validation (facultatif), entrez le client IDs ou le public URLs que vous souhaitez que votre magasin de politiques accepte dans les demandes d'autorisation, le cas échéant.

  10. Choisissez Créer une source d'identité.

  11. (Facultatif) Si votre magasin de politiques possède un schéma, avant de pouvoir référencer les attributs que vous extrayez des jetons d'identité ou d'accès dans vos politiques Cedar, vous devez mettre à jour votre schéma pour informer Cedar du type de principal créé par votre source d'identité. Cet ajout au schéma doit inclure les attributs auxquels vous souhaitez faire référence dans vos politiques Cedar. Pour plus d'informations sur le mappage des attributs des jetons OIDC aux attributs principaux de Cedar, consultezMappage des jetons OIDC au schéma.

  12. Créez des politiques qui utilisent les informations des jetons pour prendre des décisions d'autorisation. Pour de plus amples informations, veuillez consulter Création de politiques statiques relatives aux autorisations vérifiées par Amazon.

Maintenant que vous avez créé une source d'identité, mis à jour le schéma et créé des politiques, les décisions IsAuthorizedWithToken d'autorisation sont prises par Verified Permissions. Pour plus d'informations, consultez le guide IsAuthorizedWithTokende référence de l'API Amazon Verified Permissions.

AWS CLI
Pour créer une source d'identité OIDC

Vous pouvez créer une source d'identité à l'aide de cette CreateIdentitySourceopération. L'exemple suivant crée une source d'identité qui peut accéder aux identités authentifiées auprès d'un fournisseur d'identité OIDC (IdP).

  1. Créez un config.txt fichier contenant les détails suivants d'un IdP OIDC à utiliser par --configuration le paramètre de create-identity-source la commande.

    {
    "openIdConnectConfiguration": {
        "issuer": "https://auth.example.com",
        "tokenSelection": {
                "identityTokenOnly": {
                        "clientIds":["1example23456789"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

  2. Exécutez la commande suivante pour créer une source d'identité OIDC.

    $ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

  3. (Facultatif) Si votre magasin de politiques possède un schéma, avant de pouvoir référencer les attributs que vous extrayez des jetons d'identité ou d'accès dans vos politiques Cedar, vous devez mettre à jour votre schéma pour informer Cedar du type de principal créé par votre source d'identité. Cet ajout au schéma doit inclure les attributs auxquels vous souhaitez faire référence dans vos politiques Cedar. Pour plus d'informations sur le mappage des attributs des jetons OIDC aux attributs principaux de Cedar, consultezMappage des jetons OIDC au schéma.

  4. Créez des politiques qui utilisent les informations des jetons pour prendre des décisions d'autorisation. Pour de plus amples informations, veuillez consulter Création de politiques statiques relatives aux autorisations vérifiées par Amazon.

Maintenant que vous avez créé une source d'identité, mis à jour le schéma et créé des politiques, les décisions IsAuthorizedWithToken d'autorisation sont prises par Verified Permissions. Pour plus d'informations, consultez le guide IsAuthorizedWithTokende référence de l'API Amazon Verified Permissions.