Bekerja dengan sumber identitas OIDC - Izin Terverifikasi Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan sumber identitas OIDC

Anda juga dapat mengonfigurasi IdP OpenID Connect (OIDC) yang sesuai sebagai sumber identitas penyimpanan kebijakan. Penyedia OIDC mirip dengan kumpulan pengguna Amazon Cognito: mereka JWTs menghasilkan sebagai produk otentikasi. Untuk menambahkan penyedia OIDC, Anda harus memberikan URL penerbit

Sumber identitas OIDC baru memerlukan informasi berikut:

  • URL penerbit. Izin Terverifikasi harus dapat menemukan .well-known/openid-configuration titik akhir di URL ini.

  • Catatan CNAME yang tidak termasuk kartu liar. Misalnya, tidak a.example.com dapat dipetakan ke*.example.net. Sebaliknya, tidak *.example.com dapat dipetakan ke. a.example.net

  • Jenis token yang ingin Anda gunakan dalam permintaan otorisasi. Dalam hal ini, Anda memilih token Identity.

  • Jenis entitas pengguna yang ingin Anda kaitkan dengan sumber identitas Anda, misalnyaMyCorp::User.

  • Jenis entitas grup yang ingin Anda kaitkan dengan sumber identitas Anda, misalnyaMyCorp::UserGroup.

  • Contoh token ID, atau definisi klaim dalam token ID.

  • Awalan yang ingin Anda terapkan ke entitas IDs pengguna dan grup. Di CLI dan API, Anda dapat memilih awalan ini. Di penyimpanan kebijakan yang Anda buat dengan opsi Penyiapan dengan API Gateway dan penyedia identitas atau Penyiapan terpandu, Izin Terverifikasi menetapkan awalan nama penerbit dikurangihttps://, misalnya. MyCorp::User::"auth.example.com|a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Untuk informasi selengkapnya tentang penggunaan operasi API untuk mengotorisasi permintaan dari sumber OIDC, lihat. Operasi API yang tersedia untuk otorisasi

Contoh berikut ini menunjukkan bagaimana Anda dapat membuat kebijakan yang memungkinkan akses ke laporan akhir tahun untuk karyawan di departemen akuntansi, memiliki klasifikasi rahasia, dan tidak berada di kantor satelit. Izin Terverifikasi memperoleh atribut ini dari klaim dalam token ID prinsipal.

Perhatikan bahwa saat mereferensikan grup di prinsipal, Anda harus menggunakan in operator agar kebijakan dapat dievaluasi dengan benar.

permit(
     principal in MyCorp::UserGroup::"MyOIDCProvider|Accounting", 
     action, 
     resource in MyCorp::Folder::"YearEnd2024" 
) when { 
     principal.jobClassification == "Confidential" &&
     !(principal.location like "SatelliteOffice*")
};
Topik