Membuat Izin Terverifikasi Amazon Sumber identitas OIDC - Izin Terverifikasi Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat Izin Terverifikasi Amazon Sumber identitas OIDC

Prosedur berikut menambahkan sumber identitas ke toko kebijakan yang ada.

Anda juga dapat membuat sumber identitas saat membuat penyimpanan kebijakan baru di konsol Izin Terverifikasi. Dalam proses ini, Anda dapat secara otomatis mengimpor klaim dalam token sumber identitas Anda ke atribut entitas. Pilih opsi Pengaturan terpandu atau Siapkan dengan API Gateway dan penyedia identitas. Opsi ini juga membuat kebijakan awal.

catatan

Sumber identitas tidak tersedia di panel navigasi di sebelah kiri hingga Anda membuat toko kebijakan. Sumber identitas yang Anda buat terkait dengan penyimpanan kebijakan saat ini.

Anda dapat mengabaikan tipe entitas utama saat membuat sumber identitas dengan AWS CLI atau create-identity-sourcedi API CreateIdentitySourceIzin Terverifikasi. Namun, tipe entitas kosong menciptakan sumber identitas dengan tipe entitasAWS::Cognito. Nama entitas ini tidak kompatibel dengan skema penyimpanan kebijakan. Untuk mengintegrasikan identitas Amazon Cognito dengan skema penyimpanan kebijakan, Anda harus menetapkan jenis entitas utama ke entitas penyimpanan kebijakan yang didukung.

AWS Management Console
Untuk membuat sumber identitas OpenID Connect (OIDC)

  1. Buka konsol Izin Terverifikasi. Pilih toko polis Anda.

  2. Di panel navigasi di sebelah kiri, pilih Sumber identitas.

  3. Pilih Buat sumber identitas.

  4. Pilih penyedia OIDC eksternal.

  5. Di URL Penerbit, masukkan URL penerbit OIDC Anda. Ini adalah titik akhir layanan yang menyediakan server otorisasi, kunci penandatanganan, dan informasi lain tentang penyedia Anda, misalnya. https://auth.example.com URL penerbit Anda harus meng-host dokumen penemuan OIDC di. /.well-known/openid-configuration

  6. Pada tipe Token, pilih jenis OIDC JWT yang Anda ingin aplikasi Anda kirimkan untuk otorisasi. Untuk informasi selengkapnya, lihat Memetakan token OIDC ke skema.

  7. Dalam klaim token Peta ke entitas skema, pilih entitas Pengguna dan klaim Pengguna untuk sumber identitas. Entitas Pengguna adalah entitas di toko kebijakan yang ingin Anda rujuk ke pengguna dari penyedia OIDC Anda. Klaim Pengguna adalah klaim, biasanyasub, dari ID atau token akses Anda yang memegang pengenal unik untuk entitas yang akan dievaluasi. Identitas dari IdP OIDC yang terhubung akan dipetakan ke tipe utama yang dipilih.

  8. (Opsional) Dalam klaim token Peta ke entitas skema, pilih entitas Grup dan klaim Grup untuk sumber identitas. Entitas Grup adalah induk dari entitas Pengguna. Klaim grup dipetakan ke entitas ini. Klaim Grup adalah klaim, biasanyagroups, dari ID atau token akses Anda yang berisi string, JSON, atau string nama grup pengguna yang dibatasi spasi untuk entitas yang akan dievaluasi. Identitas dari IdP OIDC yang terhubung akan dipetakan ke tipe utama yang dipilih.

  9. Dalam validasi - opsional, masukkan klien IDs atau audiens URLs yang Anda ingin toko kebijakan Anda terima dalam permintaan otorisasi, jika ada.

  10. Pilih Buat sumber identitas.

  11. (Opsional) Jika toko kebijakan Anda memiliki skema, sebelum Anda dapat mereferensikan atribut yang Anda ekstrak dari identitas atau token akses dalam kebijakan Cedar Anda, Anda harus memperbarui skema Anda untuk membuat Cedar mengetahui jenis prinsipal yang dibuat oleh sumber identitas Anda. Penambahan skema itu harus menyertakan atribut yang ingin Anda referensikan dalam kebijakan Cedar Anda. Untuk informasi selengkapnya tentang pemetaan atribut token OIDC ke atribut utama Cedar, lihat. Memetakan token OIDC ke skema

  12. Buat kebijakan yang menggunakan informasi dari token untuk membuat keputusan otorisasi. Untuk informasi selengkapnya, lihat Membuat kebijakan statis Izin Terverifikasi Amazon.

Setelah Anda membuat sumber identitas, memperbarui skema, dan membuat kebijakan, gunakan IsAuthorizedWithToken agar Izin Terverifikasi membuat keputusan otorisasi. Untuk informasi selengkapnya, lihat IsAuthorizedWithTokendi panduan referensi API Izin Terverifikasi Amazon.

AWS CLI
Untuk membuat sumber identitas OIDC

Anda dapat membuat sumber identitas dengan menggunakan CreateIdentitySourceoperasi. Contoh berikut membuat sumber identitas yang dapat mengakses identitas yang diautentikasi dari penyedia identitas OIDC (iDP).

  1. Buat config.txt file yang berisi rincian berikut dari IDP OIDC untuk digunakan oleh --configuration parameter perintah. create-identity-source

    {
    "openIdConnectConfiguration": {
        "issuer": "https://auth.example.com",
        "tokenSelection": {
                "identityTokenOnly": {
                        "clientIds":["1example23456789"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

  2. Jalankan perintah berikut untuk membuat sumber identitas OIDC.

    $ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

  3. (Opsional) Jika toko kebijakan Anda memiliki skema, sebelum Anda dapat mereferensikan atribut yang Anda ekstrak dari identitas atau token akses dalam kebijakan Cedar Anda, Anda harus memperbarui skema Anda untuk membuat Cedar mengetahui jenis prinsipal yang dibuat oleh sumber identitas Anda. Penambahan skema itu harus menyertakan atribut yang ingin Anda referensikan dalam kebijakan Cedar Anda. Untuk informasi selengkapnya tentang pemetaan atribut token OIDC ke atribut utama Cedar, lihat. Memetakan token OIDC ke skema

  4. Buat kebijakan yang menggunakan informasi dari token untuk membuat keputusan otorisasi. Untuk informasi selengkapnya, lihat Membuat kebijakan statis Izin Terverifikasi Amazon.

Setelah Anda membuat sumber identitas, memperbarui skema, dan membuat kebijakan, gunakan IsAuthorizedWithToken agar Izin Terverifikasi membuat keputusan otorisasi. Untuk informasi selengkapnya, lihat IsAuthorizedWithTokendi panduan referensi API Izin Terverifikasi Amazon.