Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Bekerja dengan sumber identitas OIDC Anda juga dapat mengonfigurasi IdP OpenID Connect (OIDC) yang sesuai sebagai sumber identitas penyimpanan kebijakan. Penyedia OIDC mirip dengan kumpulan pengguna Amazon Cognito: mereka JWTs menghasilkan sebagai produk otentikasi. Untuk menambahkan penyedia OIDC, Anda harus memberikan URL penerbit Sumber identitas OIDC baru memerlukan informasi berikut: + URL penerbit. Izin Terverifikasi harus dapat menemukan `.well-known/openid-configuration` titik akhir di URL ini. + Catatan CNAME yang tidak termasuk kartu liar. Misalnya, tidak `a.example.com` dapat dipetakan ke`*.example.net`. Sebaliknya, tidak `*.example.com` dapat dipetakan ke. `a.example.net` + Jenis token yang ingin Anda gunakan dalam permintaan otorisasi. Dalam hal ini, Anda memilih **token Identity**. + Jenis entitas pengguna yang ingin Anda kaitkan dengan sumber identitas Anda, misalnya`MyCorp::User`. + Jenis entitas grup yang ingin Anda kaitkan dengan sumber identitas Anda, misalnya`MyCorp::UserGroup`. + Contoh token ID, atau definisi klaim dalam token ID. + Awalan yang ingin Anda terapkan ke entitas IDs pengguna dan grup. Di CLI dan API, Anda dapat memilih awalan ini. Di penyimpanan kebijakan yang Anda buat dengan opsi **Penyiapan **dengan API Gateway dan penyedia identitas** atau Penyiapan terpandu**, Izin Terverifikasi menetapkan awalan nama penerbit dikurangi`https://`, misalnya. `MyCorp::User::"auth.example.com|a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"` Untuk informasi selengkapnya tentang penggunaan operasi API untuk mengotorisasi permintaan dari sumber OIDC, lihat. [Operasi API yang tersedia untuk otorisasi](authorization.md#authorization-operations) Contoh berikut ini menunjukkan bagaimana Anda dapat membuat kebijakan yang memungkinkan akses ke laporan akhir tahun untuk karyawan di departemen akuntansi, memiliki klasifikasi rahasia, dan tidak berada di kantor satelit. Izin Terverifikasi memperoleh atribut ini dari klaim dalam token ID prinsipal. Perhatikan bahwa saat mereferensikan grup di prinsipal, Anda harus menggunakan `in` operator agar kebijakan dapat dievaluasi dengan benar. ``` permit( principal in MyCorp::UserGroup::"MyOIDCProvider|Accounting", action, resource in MyCorp::Folder::"YearEnd2024" ) when { principal.jobClassification == "Confidential" && !(principal.location like "SatelliteOffice*") }; ``` **Topics** + [Membuat Izin Terverifikasi Amazon Sumber identitas OIDC](oidc-create.md) + [Mengedit Izin Terverifikasi Amazon Sumber identitas OIDC](oidc-edit.md) + [Memetakan token OIDC ke skema](oidc-map-token-to-schema.md) + [Validasi klien dan audiens untuk penyedia OIDC](oidc-validation.md)