Creazione di fonti di identità OIDC di Amazon Verified Permissions - Autorizzazioni verificate da Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di fonti di identità OIDC di Amazon Verified Permissions

La procedura seguente aggiunge un'origine di identità a un archivio di politiche esistente.

È inoltre possibile creare un'origine di identità quando si crea un nuovo archivio di politiche nella console Autorizzazioni verificate. In questo processo, puoi importare automaticamente le attestazioni contenute nei token di origine dell'identità negli attributi dell'entità. Scegli l'opzione Configurazione guidata o Configura con API Gateway e un provider di identità. Queste opzioni creano anche politiche iniziali.

Nota

Le fonti di identità non sono disponibili nel riquadro di navigazione a sinistra fino a quando non è stato creato un archivio delle politiche. Le fonti di identità create sono associate al policy store corrente.

Puoi omettere il tipo di entità principale quando crei una fonte di identità con AWS CLI o create-identity-sourceCreateIdentitySourcenell'API Verified Permissions. Tuttavia, un tipo di entità vuoto crea una fonte di identità con un tipo di entità diAWS::Cognito. Questo nome di entità non è compatibile con lo schema dell'archivio delle politiche. Per integrare le identità di Amazon Cognito con lo schema del tuo Policy Store, devi impostare il tipo di entità principale su un'entità Policy Store supportata.

AWS Management Console
Per creare una fonte di identità OpenID Connect (OIDC)

  1. Apri la console delle autorizzazioni verificate. Scegli il tuo negozio di polizze.

  2. Nel riquadro di navigazione a sinistra, scegli Identity sources.

  3. Scegli Crea fonte di identità.

  4. Scegli un provider OIDC esterno.

  5. In URL dell'emittente, inserisci l'URL dell'emittente OIDC. Questo è l'endpoint del servizio che fornisce, ad esempio, il server di autorizzazione, le chiavi di firma e altre informazioni sul provider. https://auth.example.com L'URL dell'emittente deve ospitare un documento di rilevamento OIDC presso. /.well-known/openid-configuration

  6. In Tipo di token, scegli il tipo di OIDC JWT che desideri che la tua applicazione invii per l'autorizzazione. Per ulteriori informazioni, consulta Mappatura dei token OIDC sullo schema.

  7. In Mappa le rivendicazioni dei token alle entità dello schema, scegli un'entità utente e un'attestazione utente per l'origine dell'identità. L'entità Utente è un'entità nel tuo archivio delle politiche a cui desideri fare riferimento agli utenti del tuo provider OIDC. L'attestazione Utente è un reclamo, in generesub, derivante dal tuo ID o token di accesso che contiene l'identificatore univoco dell'entità da valutare. Le identità dell'IdP OIDC connesso verranno mappate sul tipo principale selezionato.

  8. (Facoltativo) In Mappa le rivendicazioni dei token alle entità dello schema, scegli un'entità di gruppo e un'attestazione di gruppo come origine dell'identità. L'entità Gruppo è l'entità principale dell'entità Utente. Le rivendicazioni di gruppo vengono mappate su questa entità. L'attestazione di gruppo è in genere groups un'affermazione derivante dall'ID o dal token di accesso che contiene una stringa, JSON o una stringa di nomi di gruppi di utenti delimitata da spazi per l'entità da valutare. Le identità dell'IdP OIDC connesso verranno mappate sul tipo principale selezionato.

  9. In fase di convalida: facoltativo, inserisci il cliente IDs o il pubblico URLs che desideri che l'archivio delle politiche accetti nelle eventuali richieste di autorizzazione.

  10. Scegli Crea fonte di identità.

  11. (Facoltativo) Se il vostro policy store dispone di uno schema, prima di poter fare riferimento agli attributi che estraete dall'identità o dai token di accesso nelle vostre policy Cedar, dovete aggiornare lo schema per rendere Cedar consapevole del tipo di principale creato dalla vostra fonte di identità. Tale aggiunta allo schema deve includere gli attributi a cui desiderate fare riferimento nelle vostre politiche Cedar. Per ulteriori informazioni sulla mappatura degli attributi del token OIDC agli attributi principali di Cedar, vedere. Mappatura dei token OIDC sullo schema

  12. Crea politiche che utilizzano le informazioni dei token per prendere decisioni di autorizzazione. Per ulteriori informazioni, consulta Creazione di politiche statiche di Amazon Verified Permissions.

Ora che hai creato una fonte di identità, aggiornato lo schema e creato le politiche, consenti IsAuthorizedWithToken alle Autorizzazioni Verificate di prendere decisioni di autorizzazione. Per ulteriori informazioni, consulta IsAuthorizedWithTokenla guida di riferimento dell'API Amazon Verified Permissions.

AWS CLI
Per creare una fonte di identità OIDC

È possibile creare una fonte di identità utilizzando l'CreateIdentitySourceoperazione. L'esempio seguente crea un'origine di identità in grado di accedere alle identità autenticate da un provider di identità (IdP) OIDC.

  1. Crea un config.txt file che contenga i seguenti dettagli di un IdP OIDC da utilizzare con il --configuration parametro del comando. create-identity-source

    {
    "openIdConnectConfiguration": {
        "issuer": "https://auth.example.com",
        "tokenSelection": {
                "identityTokenOnly": {
                        "clientIds":["1example23456789"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

  2. Esegui il comando seguente per creare una fonte di identità OIDC.

    $ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

  3. (Facoltativo) Se il vostro policy store dispone di uno schema, prima di poter fare riferimento agli attributi che estraete dai token di identità o di accesso nelle vostre policy Cedar, dovete aggiornare lo schema per rendere Cedar consapevole del tipo di principale creato dalla vostra fonte di identità. Tale aggiunta allo schema deve includere gli attributi a cui desiderate fare riferimento nelle vostre politiche Cedar. Per ulteriori informazioni sulla mappatura degli attributi del token OIDC agli attributi principali di Cedar, vedere. Mappatura dei token OIDC sullo schema

  4. Crea politiche che utilizzano le informazioni dei token per prendere decisioni di autorizzazione. Per ulteriori informazioni, consulta Creazione di politiche statiche di Amazon Verified Permissions.

Ora che hai creato una fonte di identità, aggiornato lo schema e creato le politiche, consenti IsAuthorizedWithToken alle Autorizzazioni Verificate di prendere decisioni di autorizzazione. Per ulteriori informazioni, consulta IsAuthorizedWithTokenla guida di riferimento dell'API Amazon Verified Permissions.