Creazione di autorizzazioni verificate da Amazon Cognito, sorgenti di identità Amazon Cognito - Autorizzazioni verificate da Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di autorizzazioni verificate da Amazon Cognito, sorgenti di identità Amazon Cognito

La procedura seguente aggiunge una fonte di identità a un archivio di policy esistente.

È inoltre possibile creare un'origine di identità quando si crea un nuovo archivio di politiche nella console Autorizzazioni verificate. In questo processo, puoi importare automaticamente le attestazioni contenute nei token di origine dell'identità negli attributi dell'entità. Scegli l'opzione Configurazione guidata o Configura con API Gateway e un provider di identità. Queste opzioni creano anche politiche iniziali.

Nota

Le fonti di identità non sono disponibili nel riquadro di navigazione a sinistra finché non è stato creato un archivio delle politiche. Le fonti di identità create sono associate al policy store corrente.

Puoi omettere il tipo di entità principale quando crei una fonte di identità con AWS CLI o create-identity-sourceCreateIdentitySourcenell'API Verified Permissions. Tuttavia, un tipo di entità vuoto crea una fonte di identità con un tipo di entità diAWS::Cognito. Questo nome di entità non è compatibile con lo schema dell'archivio delle politiche. Per integrare le identità di Amazon Cognito con lo schema del tuo Policy Store, devi impostare il tipo di entità principale su un'entità Policy Store supportata.

AWS Management Console
Per creare una fonte di identità per pool di utenti Amazon Cognito

  1. Apri la console delle autorizzazioni verificate. Scegli il tuo negozio di polizze.

  2. Nel riquadro di navigazione a sinistra, scegli Identity sources.

  3. Scegli Crea fonte di identità.

  4. Nei dettagli del pool di utenti di Cognito, seleziona Regione AWS e inserisci l'ID del pool di utenti per la tua origine di identità.

  5. Nella configurazione principale, per Tipo principale, scegli il tipo di entità per i principali da questa fonte. Le identità dei pool di utenti Amazon Cognito connessi verranno mappate sul tipo principale selezionato.

  6. Nella configurazione del gruppo, seleziona Usa il gruppo Cognito se desideri mappare il claim del pool cognito:groups di utenti. Scegli un tipo di entità che sia padre del tipo principale.

  7. In Convalida dell'applicazione client, scegli se convalidare l'applicazione client. IDs

    • Per convalidare l'applicazione client IDs, scegli Accetta solo token con l'applicazione client corrispondente. IDs Scegli Aggiungi nuovo ID dell'applicazione client per ogni ID dell'applicazione client da convalidare. Per rimuovere un ID dell'applicazione client che è stato aggiunto, scegli Rimuovi accanto all'ID dell'applicazione client.

    • Scegliete Non convalidare l'applicazione client IDs se non desiderate convalidare l'applicazione client. IDs

  8. Scegli Crea origine di identità.

  9. (Facoltativo) Se il vostro policy store dispone di uno schema, prima di poter fare riferimento agli attributi estratti dall'identità o dai token di accesso nelle policy Cedar, dovete aggiornare lo schema per rendere Cedar consapevole del tipo di principale creato dalla vostra fonte di identità. Tale aggiunta allo schema deve includere gli attributi a cui desiderate fare riferimento nelle vostre politiche Cedar. Per ulteriori informazioni sulla mappatura degli attributi del token Amazon Cognito agli attributi principali di Cedar, consulta. Mappatura dei token Amazon Cognito allo schema

    Nota

    Quando crei un policy store collegato all'API o utilizzi Configura con API Gateway e un provider di identità durante la creazione di archivi di policy, Verified Permissions interroga il tuo pool di utenti per gli attributi utente e crea uno schema in cui il tipo principale è popolato con gli attributi del pool di utenti.

  10. Crea politiche che utilizzano le informazioni dei token per prendere decisioni di autorizzazione. Per ulteriori informazioni, consulta Creazione di politiche statiche di Amazon Verified Permissions.

Ora che hai creato una fonte di identità, aggiornato lo schema e creato le politiche, consenti IsAuthorizedWithToken alle Autorizzazioni Verificate di prendere decisioni di autorizzazione. Per ulteriori informazioni, consulta IsAuthorizedWithTokenla guida di riferimento dell'API Amazon Verified Permissions.

AWS CLI
Per creare una fonte di identità per pool di utenti Amazon Cognito

Puoi creare una fonte di identità utilizzando l'CreateIdentitySourceoperazione. L'esempio seguente crea un'origine di identità in grado di accedere alle identità autenticate da un pool di utenti di Amazon Cognito.

  1. Crea un config.txt file che contenga i seguenti dettagli del pool di utenti di Amazon Cognito da utilizzare con il --configuration parametro nel comando. create-identity-source

    {
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
        "groupConfiguration": {
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

  2. Esegui il comando seguente per creare un'origine di identità Amazon Cognito.

    $ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

  3. (Facoltativo) Se il tuo policy store dispone di uno schema, prima di poter fare riferimento agli attributi che estrai dall'identità o ai token di accesso nelle tue policy Cedar, devi aggiornare lo schema per rendere Cedar consapevole del tipo di principale creato dalla tua fonte di identità. Tale aggiunta allo schema deve includere gli attributi a cui desiderate fare riferimento nelle vostre politiche Cedar. Per ulteriori informazioni sulla mappatura degli attributi del token Amazon Cognito agli attributi principali di Cedar, consulta. Mappatura dei token Amazon Cognito allo schema

    Nota

    Quando crei un policy store collegato all'API o utilizzi Configura con API Gateway e un provider di identità durante la creazione di archivi di policy, Verified Permissions interroga il tuo pool di utenti per gli attributi utente e crea uno schema in cui il tipo principale è popolato con gli attributi del pool di utenti.

  4. Crea politiche che utilizzano le informazioni dei token per prendere decisioni di autorizzazione. Per ulteriori informazioni, consulta Creazione di politiche statiche di Amazon Verified Permissions.

Ora che hai creato una fonte di identità, aggiornato lo schema e creato le politiche, consenti IsAuthorizedWithToken alle Autorizzazioni Verificate di prendere decisioni di autorizzazione. Per ulteriori informazioni, consulta IsAuthorizedWithTokenla guida di riferimento dell'API Amazon Verified Permissions.

Per ulteriori informazioni sull'utilizzo dei token di accesso e identità di Amazon Cognito per gli utenti autenticati in Autorizzazioni verificate, consulta Authorization with Amazon Verified Permissions nella Amazon Cognito Developer Guide.