翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # OIDC ID ソースの使用 準拠の OpenID Connect (OIDC) IdP をポリシーストアの ID ソースとして設定することもできます。OIDC プロバイダーは Amazon Cognito ユーザープールに似ています。認証の積として JWTs を生成します。OIDC プロバイダーを追加するには、発行者 URL を指定する必要があります 新しい OIDC ID ソースには、次の情報が必要です。 + 発行者 URL。Verified Permissions は、この URL で`.well-known/openid-configuration`エンドポイントを検出できる必要があります。 + ワイルドカードを含まない CNAME レコード。たとえば、 `a.example.com` を にマッピングすることはできません`*.example.net`。逆に、 `*.example.com` を にマッピングすることはできません`a.example.net`。 + 認可リクエストで使用するトークンタイプ。この場合、**ID トークン**を選択します。 + ID ソースに関連付けるユーザーエンティティタイプ。例: `MyCorp::User`。 + ID ソースに関連付けるグループエンティティタイプ。例: `MyCorp::UserGroup`。 + ID トークンの例、または ID トークン内のクレームの定義。 + ユーザーおよびグループエンティティ IDs に適用するプレフィックス。CLI と API では、このプレフィックスを選択できます。**API Gateway を使用してセットアップし、ID プロバイダー**または**ガイド付きセットアップ**オプションを使用して作成したポリシーストアでは、Verified Permissions は発行者名から を引いたプレフィックスを割り当てます。たとえば`https://`、 です`MyCorp::User::"auth.example.com|a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"`。 API オペレーションを使用して OIDC ソースからのリクエストを承認する方法の詳細については、「」を参照してください[認可に使用できる API オペレーション](authorization.md#authorization-operations)。 次の例は、経理部門の従業員の年末レポートへのアクセスを許可し、機密分類を持ち、衛星局にいないポリシーを作成する方法を示しています。Verified Permissions は、プリンシパルの ID トークンのクレームからこれらの属性を取得します。 プリンシパルでグループを参照するときは、ポリシーを正しく評価するために `in`演算子を使用する必要があります。 ``` permit( principal in MyCorp::UserGroup::"MyOIDCProvider|Accounting", action, resource in MyCorp::Folder::"YearEnd2024" ) when { principal.jobClassification == "Confidential" && !(principal.location like "SatelliteOffice*") }; ``` **Topics** + [Amazon Verified Permissions OIDC ID ソースの作成](oidc-create.md) + [Amazon Verified Permissions OIDC ID ソースの編集](oidc-edit.md) + [OIDC トークンをスキーマにマッピングする](oidc-map-token-to-schema.md) + [OIDC プロバイダーのクライアントとオーディエンスの検証](oidc-validation.md)