Membuat Izin Terverifikasi Amazon Sumber identitas Amazon Cognito - Izin Terverifikasi Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat Izin Terverifikasi Amazon Sumber identitas Amazon Cognito

Prosedur berikut menambahkan sumber identitas ke toko kebijakan yang ada.

Anda juga dapat membuat sumber identitas saat membuat penyimpanan kebijakan baru di konsol Izin Terverifikasi. Dalam proses ini, Anda dapat secara otomatis mengimpor klaim dalam token sumber identitas Anda ke atribut entitas. Pilih opsi Penyiapan terpandu atau Siapkan dengan API Gateway dan penyedia identitas. Opsi ini juga membuat kebijakan awal.

catatan

Sumber identitas tidak tersedia di panel navigasi di sebelah kiri hingga Anda membuat toko kebijakan. Sumber identitas yang Anda buat terkait dengan penyimpanan kebijakan saat ini.

Anda dapat mengabaikan tipe entitas utama saat membuat sumber identitas dengan create-identity-sourcedi AWS CLI atau di API CreateIdentitySourceIzin Terverifikasi. Namun, tipe entitas kosong menciptakan sumber identitas dengan tipe entitasAWS::Cognito. Nama entitas ini tidak kompatibel dengan skema penyimpanan kebijakan. Untuk mengintegrasikan identitas Amazon Cognito dengan skema penyimpanan kebijakan, Anda harus menyetel jenis entitas utama ke entitas penyimpanan kebijakan yang didukung.

AWS Management Console
Untuk membuat sumber identitas kumpulan pengguna Amazon Cognito

  1. Buka konsol Izin Terverifikasi. Pilih toko polis Anda.

  2. Di panel navigasi di sebelah kiri, pilih Sumber identitas.

  3. Pilih Buat sumber identitas.

  4. Di detail kumpulan pengguna Cognito, pilih Wilayah AWS dan masukkan ID kumpulan Pengguna untuk sumber identitas Anda.

  5. Dalam konfigurasi Principal, untuk tipe Principal, pilih tipe entitas untuk prinsipal dari sumber ini. Identitas dari kumpulan pengguna Amazon Cognito yang terhubung akan dipetakan ke tipe utama yang dipilih.

  6. Dalam Konfigurasi grup, pilih Gunakan grup Cognito jika Anda ingin memetakan klaim kumpulan cognito:groups pengguna. Pilih tipe entitas yang merupakan induk dari tipe utama.

  7. Dalam validasi aplikasi Klien, pilih apakah akan memvalidasi aplikasi klien. IDs

    • Untuk memvalidasi aplikasi klien IDs, pilih Hanya terima token dengan aplikasi IDs klien yang cocok. Pilih Tambahkan ID aplikasi klien baru untuk setiap ID aplikasi klien untuk memvalidasi. Untuk menghapus ID aplikasi klien yang telah ditambahkan, pilih Hapus di sebelah ID aplikasi klien.

    • Pilih Jangan memvalidasi aplikasi klien IDs jika Anda tidak ingin memvalidasi aplikasi klien. IDs

  8. Pilih Buat sumber identitas.

  9. (Opsional) Jika toko kebijakan Anda memiliki skema, sebelum Anda dapat mereferensikan atribut yang Anda ekstrak dari identitas atau token akses dalam kebijakan Cedar Anda, Anda harus memperbarui skema Anda untuk membuat Cedar mengetahui jenis prinsipal yang dibuat oleh sumber identitas Anda. Penambahan skema itu harus menyertakan atribut yang ingin Anda referensikan dalam kebijakan Cedar Anda. Untuk informasi selengkapnya tentang pemetaan atribut token Amazon Cognito ke atribut utama Cedar, lihat. Memetakan token Amazon Cognito ke skema

    catatan

    Saat Anda membuat penyimpanan kebijakan terkait API atau menggunakan Penyiapan dengan API Gateway dan penyedia identitas saat membuat penyimpanan kebijakan, Izin Terverifikasi akan menanyakan kumpulan pengguna Anda untuk atribut pengguna dan membuat skema tempat tipe utama Anda diisi dengan atribut kumpulan pengguna.

  10. Buat kebijakan yang menggunakan informasi dari token untuk membuat keputusan otorisasi. Untuk informasi selengkapnya, lihat Membuat kebijakan statis Izin Terverifikasi Amazon.

Setelah Anda membuat sumber identitas, memperbarui skema, dan membuat kebijakan, gunakan IsAuthorizedWithToken agar Izin Terverifikasi membuat keputusan otorisasi. Untuk informasi selengkapnya, lihat IsAuthorizedWithTokendi panduan referensi API Izin Terverifikasi Amazon.

AWS CLI
Untuk membuat sumber identitas kumpulan pengguna Amazon Cognito

Anda dapat membuat sumber identitas dengan menggunakan CreateIdentitySourceoperasi. Contoh berikut membuat sumber identitas yang dapat mengakses identitas yang diautentikasi dari kumpulan pengguna Amazon Cognito.

  1. Buat config.txt file yang berisi detail berikut dari kumpulan pengguna Amazon Cognito untuk digunakan oleh --configuration parameter dalam perintah. create-identity-source

    {
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
        "groupConfiguration": {
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

  2. Jalankan perintah berikut untuk membuat sumber identitas Amazon Cognito.

    $ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

  3. (Opsional) Jika toko kebijakan Anda memiliki skema, sebelum Anda dapat mereferensikan atribut yang Anda ekstrak dari identitas atau token akses dalam kebijakan Cedar Anda, Anda harus memperbarui skema Anda untuk membuat Cedar mengetahui jenis prinsipal yang dibuat oleh sumber identitas Anda. Penambahan skema itu harus menyertakan atribut yang ingin Anda referensikan dalam kebijakan Cedar Anda. Untuk informasi selengkapnya tentang pemetaan atribut token Amazon Cognito ke atribut utama Cedar, lihat. Memetakan token Amazon Cognito ke skema

    catatan

    Saat Anda membuat penyimpanan kebijakan terkait API atau menggunakan Penyiapan dengan API Gateway dan penyedia identitas saat membuat penyimpanan kebijakan, Izin Terverifikasi akan menanyakan kumpulan pengguna Anda untuk atribut pengguna dan membuat skema tempat tipe utama Anda diisi dengan atribut kumpulan pengguna.

  4. Buat kebijakan yang menggunakan informasi dari token untuk membuat keputusan otorisasi. Untuk informasi selengkapnya, lihat Membuat kebijakan statis Izin Terverifikasi Amazon.

Setelah Anda membuat sumber identitas, memperbarui skema, dan membuat kebijakan, gunakan IsAuthorizedWithToken agar Izin Terverifikasi membuat keputusan otorisasi. Untuk informasi selengkapnya, lihat IsAuthorizedWithTokendi panduan referensi API Izin Terverifikasi Amazon.

Untuk informasi selengkapnya tentang penggunaan akses Amazon Cognito dan token identitas untuk pengguna yang diautentikasi di Izin Terverifikasi, lihat Otorisasi dengan Izin Terverifikasi Amazon di Panduan Pengembang Amazon Cognito.