Kontrol penyedia identitas untuk penyedia OIDC bersama - AWS Identity and Access Management
Jenis penyedia OIDCPenyedia identitas OIDC bersama dengan kontrol penyedia identitasSumber daya tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol penyedia identitas untuk penyedia OIDC bersama

Untuk penyedia identitas OpenID Connect (OIDC) bersama yang diakui (IdPs), IAM memerlukan evaluasi eksplisit atas klaim spesifik dalam kebijakan kepercayaan peran. Klaim yang diperlukan ini, yang disebut kontrol penyedia identitas, dievaluasi oleh IAM selama pembuatan peran dan pembaruan kebijakan kepercayaan. Jika kebijakan kepercayaan peran tidak mengevaluasi kontrol yang diperlukan oleh iDP OIDC bersama, pembuatan atau pembaruan peran akan gagal. Ini memastikan bahwa hanya identitas resmi dari organisasi yang dituju yang dapat mengambil peran dan mengakses AWS sumber daya. Kontrol keamanan ini sangat penting ketika penyedia OIDC dibagi di beberapa AWS pelanggan.

Kontrol penyedia identitas tidak akan dievaluasi oleh IAM untuk kebijakan kepercayaan peran OIDC yang ada. Untuk setiap modifikasi kebijakan kepercayaan peran untuk peran OIDC yang ada, IAM akan mengharuskan kontrol penyedia identitas dimasukkan dalam kebijakan kepercayaan peran.

Jenis penyedia OIDC

IAM mengkategorikan penyedia identitas OIDC menjadi dua jenis yang berbeda: pribadi dan bersama. IdP OIDC pribadi dapat dimiliki dan dikelola oleh satu organisasi atau dapat menjadi penyewa penyedia SaaS, dengan URL Penerbit OIDC-nya berfungsi sebagai pengidentifikasi unik khusus untuk organisasi itu. Sebaliknya, iDP OIDC bersama digunakan di beberapa organisasi, di mana URL Penerbit OIDC mungkin identik untuk semua organisasi yang menggunakan penyedia identitas bersama tersebut.

Tabel di bawah ini menguraikan perbedaan utama antara penyedia OIDC pribadi dan bersama:

Karakteristik Penyedia OIDC Pribadi Penyedia OIDC Bersama

Penerbit

Unik untuk organisasi

Dibagikan di berbagai organisasi

Informasi Sewa

Dikomunikasikan melalui Emiten yang unik

Dikomunikasikan melalui klaim di JWT

Persyaratan Kebijakan Kepercayaan

Tidak diperlukan evaluasi klaim khusus

Evaluasi klaim spesifik yang diperlukan

Penyedia identitas OIDC bersama dengan kontrol penyedia identitas

Saat Anda membuat atau memodifikasi penyedia OIDC di IAM, sistem secara otomatis mengidentifikasi dan mengevaluasi klaim yang diperlukan untuk penyedia OIDC bersama yang diakui. Jika kontrol penyedia identitas tidak dikonfigurasi dalam kebijakan kepercayaan peran, pembuatan atau pembaruan peran akan gagal karena kesalahan. MalformedPolicyDocument

Tabel berikut mencantumkan penyedia OIDC bersama yang memerlukan kontrol penyedia identitas dalam kebijakan kepercayaan peran:

IdP OIDC URL OIDC Klaim Sewa Klaim yang Diperlukan
Buildkite https://agent.buildkite.com

sub

 agent.buildkite.com:sub
SaaS Codefresh https://oidc.codefresh.io sub oidc.codefresh.io:sub
Studio DVC https://studio.datachain.ai/api sub studio.datachain.ai/api:sub
GitHub tindakan https://token.actions.githubusercontent.com sub token.actions.githubusercontent.com:sub
GitHub streaming log audit https://oidc-configuration.audit-log.githubusercontent.com sub oidc-configuration.audit-log.githubusercontent.com:sub
GitHub vstoken https://vstoken.actions.githubusercontent.com sub vstoken.actions.githubusercontent.com:sub
GitLab https://gitlab.com sub gitlab.com:sub
IBM Turbonomik SaaS*

  • https://rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg

  • https://rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26

  • https://oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb

  • https://oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu

 sub

  • rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26:sub

  • oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb:sub

  • oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu:sub
sandboxes.cloud https://sandboxes.cloud aud sandboxes.cloud:aud
Scalr https://scalr.io sub scalr.io:sub
Awan Shisho https://tokens.cloud.shisho.dev sub tokens.cloud.shisho.dev:sub
Awan Terraform https://app.terraform.io sub app.terraform.io:sub
Naik https://proidc.upbound.io sub proidc.upbound.io:sub

* IBM Turbonomic secara berkala memperbarui URL Penerbit OIDC mereka dengan versi platform baru. Kami akan menambahkan emiten Turbonomic OIDC tambahan dalam cakupan sebagai penyedia bersama sesuai kebutuhan.

Untuk setiap OIDC baru IdPs yang diidentifikasi IAM sebagai bersama, kontrol penyedia identitas yang diperlukan untuk kebijakan kepercayaan peran akan didokumentasikan dan ditegakkan dengan cara yang sama.

Sumber daya tambahan

Sumber daya tambahan: