OIDC ID ソースの使用 - Amazon Verified Permissions

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

OIDC ID ソースの使用

準拠の OpenID Connect (OIDC) IdP をポリシーストアの ID ソースとして設定することもできます。OIDC プロバイダーは Amazon Cognito ユーザープールに似ています。認証の積として JWTs を生成します。OIDC プロバイダーを追加するには、発行者 URL を指定する必要があります

新しい OIDC ID ソースには、次の情報が必要です。

  • 発行者 URL。Verified Permissions は、この URL で.well-known/openid-configurationエンドポイントを検出できる必要があります。

  • ワイルドカードを含まない CNAME レコード。たとえば、 a.example.com を にマッピングすることはできません*.example.net。逆に、 *.example.com を にマッピングすることはできませんa.example.net

  • 認可リクエストで使用するトークンタイプ。この場合、ID トークンを選択します。

  • ID ソースに関連付けるユーザーエンティティタイプ。例: MyCorp::User

  • ID ソースに関連付けるグループエンティティタイプ。例: MyCorp::UserGroup

  • ID トークンの例、または ID トークン内のクレームの定義。

  • ユーザーおよびグループエンティティ IDs に適用するプレフィックス。CLI と API では、このプレフィックスを選択できます。API Gateway を使用してセットアップし、ID プロバイダーまたはガイド付きセットアップオプションを使用して作成したポリシーストアでは、Verified Permissions は発行者名から を引いたプレフィックスを割り当てます。たとえばhttps://、 ですMyCorp::User::"auth.example.com|a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

API オペレーションを使用して OIDC ソースからのリクエストを承認する方法の詳細については、「」を参照してください認可に使用できる API オペレーション

次の例は、経理部門の従業員の年末レポートへのアクセスを許可し、機密分類を持ち、衛星局にいないポリシーを作成する方法を示しています。Verified Permissions は、プリンシパルの ID トークンのクレームからこれらの属性を取得します。

プリンシパルでグループを参照するときは、ポリシーを正しく評価するために in演算子を使用する必要があります。

permit(
     principal in MyCorp::UserGroup::"MyOIDCProvider|Accounting", 
     action, 
     resource in MyCorp::Folder::"YearEnd2024" 
) when { 
     principal.jobClassification == "Confidential" &&
     !(principal.location like "SatelliteOffice*")
};
トピック