Creazione di fonti di Amazon Cognito identità Amazon Verified Permissions - Autorizzazioni verificate da Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di fonti di Amazon Cognito identità Amazon Verified Permissions

La procedura seguente aggiunge un'origine di identità a un archivio di politiche esistente.

È inoltre possibile creare un'origine di identità quando si crea un nuovo archivio di politiche nella console Autorizzazioni verificate. In questo processo, puoi importare automaticamente le attestazioni contenute nei token di origine dell'identità negli attributi dell'entità. Scegli l'opzione Configurazione guidata o Configura con API Gateway e un provider di identità. Queste opzioni creano anche politiche iniziali.

Nota

Le fonti di identità non sono disponibili nel riquadro di navigazione a sinistra fino a quando non è stato creato un archivio delle politiche. Le fonti di identità create sono associate al policy store corrente.

Puoi omettere il tipo di entità principale quando crei una fonte di identità con AWS CLI o create-identity-sourceCreateIdentitySourcenell'API Verified Permissions. Tuttavia, un tipo di entità vuoto crea una fonte di identità con un tipo di entità diAWS::Cognito. Questo nome di entità non è compatibile con lo schema dell'archivio delle politiche. Per integrare Amazon Cognito le identità con lo schema dell'archivio delle politiche, è necessario impostare il tipo di entità principale su un'entità dell'archivio delle politiche supportata.

Console di gestione AWS
Per creare una fonte di identità per pool di utenti Amazon Cognito

  1. Apri la console delle autorizzazioni verificate. Scegli il tuo negozio di polizze.

  2. Nel riquadro di navigazione a sinistra, scegli Identity sources.

  3. Scegli Crea fonte di identità.

  4. Nei dettagli del pool di utenti di Cognito, seleziona Regione AWS e inserisci l'ID del pool di utenti per la tua origine di identità.

  5. Nella configurazione principale, per Tipo principale, scegli il tipo di entità per i principali da questa fonte. Le identità dei pool di utenti Amazon Cognito connessi verranno mappate sul tipo principale selezionato.

  6. Nella configurazione del gruppo, seleziona Usa il gruppo Cognito se desideri mappare il claim del pool cognito:groups di utenti. Scegli un tipo di entità che sia padre del tipo principale.

  7. In Convalida dell'applicazione client, scegli se convalidare l'applicazione client. IDs

    • Per convalidare l'applicazione client IDs, scegli Accetta solo token con l'applicazione client corrispondente. IDs Scegli Aggiungi nuovo ID dell'applicazione client per ogni ID dell'applicazione client da convalidare. Per rimuovere un ID dell'applicazione client che è stato aggiunto, scegli Rimuovi accanto all'ID dell'applicazione client.

    • Scegliete Non convalidare l'applicazione client IDs se non desiderate convalidare l'applicazione client. IDs

  8. Scegli Crea origine di identità.

  9. (Facoltativo) Se il vostro policy store dispone di uno schema, prima di poter fare riferimento agli attributi estratti dall'identità o dai token di accesso nelle policy Cedar, dovete aggiornare lo schema per rendere Cedar consapevole del tipo di principale creato dalla vostra fonte di identità. Tale aggiunta allo schema deve includere gli attributi a cui desiderate fare riferimento nelle vostre politiche Cedar. Per ulteriori informazioni sulla mappatura degli attributi dei Amazon Cognito token agli attributi principali di Cedar, vedere. Mappatura dei Amazon Cognito token sullo schema

    Nota

    Quando crei un policy store collegato all'API o utilizzi Set up with API Gateway e un provider di identità durante la creazione di policy store, Verified Permissions interroga il pool di utenti per gli attributi utente e crea uno schema in cui il tipo principale è popolato con gli attributi del pool di utenti.

  10. Crea politiche che utilizzano le informazioni dei token per prendere decisioni di autorizzazione. Per ulteriori informazioni, consulta Creazione di politiche statiche per Amazon Verified Permissions.

Ora che hai creato una fonte di identità, aggiornato lo schema e creato le politiche, consenti IsAuthorizedWithToken alle Autorizzazioni Verificate di prendere decisioni di autorizzazione. Per ulteriori informazioni, consulta IsAuthorizedWithTokenla guida di riferimento dell'API Amazon Verified Permissions.

AWS CLI
Per creare una fonte di identità per pool di utenti Amazon Cognito

Puoi creare una fonte di identità utilizzando l'CreateIdentitySourceoperazione. L'esempio seguente crea un'origine di identità in grado di accedere alle identità autenticate da un pool di Amazon Cognito utenti.

  1. Crea un config.txt file che contenga i seguenti dettagli del pool di Amazon Cognito utenti da utilizzare con il --configuration parametro del comando. create-identity-source

    {
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
        "groupConfiguration": {
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

  2. Esegui il comando seguente per creare una fonte di Amazon Cognito identità.

    $ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

  3. (Facoltativo) Se il vostro policy store dispone di uno schema, prima di poter fare riferimento agli attributi che estraete dall'identità o dai token di accesso nelle vostre policy Cedar, dovete aggiornare lo schema per rendere Cedar consapevole del tipo di principale creato dalla vostra fonte di identità. Tale aggiunta allo schema deve includere gli attributi a cui desiderate fare riferimento nelle vostre politiche Cedar. Per ulteriori informazioni sulla mappatura degli attributi dei Amazon Cognito token agli attributi principali di Cedar, vedere. Mappatura dei Amazon Cognito token sullo schema

    Nota

    Quando crei un policy store collegato all'API o utilizzi Set up with API Gateway e un provider di identità durante la creazione di policy store, Verified Permissions interroga il pool di utenti per gli attributi utente e crea uno schema in cui il tipo principale è popolato con gli attributi del pool di utenti.

  4. Crea politiche che utilizzano le informazioni dei token per prendere decisioni di autorizzazione. Per ulteriori informazioni, consulta Creazione di politiche statiche per Amazon Verified Permissions.

Ora che hai creato una fonte di identità, aggiornato lo schema e creato le politiche, consenti IsAuthorizedWithToken alle Autorizzazioni Verificate di prendere decisioni di autorizzazione. Per ulteriori informazioni, consulta IsAuthorizedWithTokenla guida di riferimento dell'API Amazon Verified Permissions.

Per ulteriori informazioni sull'utilizzo dei token di accesso e identità di Amazon Cognito per gli utenti autenticati in Autorizzazioni verificate, consulta Authorization with Amazon Verified Permissions nella Amazon Cognito Developer Guide.