翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ID ソースとトークンを使用してアプリケーションを保護する
<a name="identity-sources"></a>

Amazon Verified Permissions で外部 ID プロバイダー (IdP) を表す ID *ソース*を作成して、アプリケーションをすばやく保護します。ID ソースは、ポリシーストアと信頼関係がある IdP で認証されたユーザーからの情報を提供します。アプリケーションが ID ソースからのトークンを使用して認可リクエストを行うと、ポリシーストアはユーザープロパティとアクセス許可から認可を決定できます。Amazon Cognito ユーザープールまたはカスタム OpenID Connect (OIDC) IdP を ID ソースとして追加できます。

Verified Permissions で [OpenID Connect (OIDC)](https://openid.net/specs/openid-connect-core-1_0.html) ID プロバイダー (IdPs) を使用できます。アプリケーションは、OIDC 準拠の ID プロバイダーによって生成された JSON ウェブトークン (JWTs) を使用して認可リクエストを生成できます。トークンのユーザー ID はプリンシパル ID にマッピングされます。ID トークンを使用すると、Verified Permissions は属性クレームをプリンシパル属性にマッピングします。アクセストークンでは、これらのクレームは[コンテキスト](context.md)にマッピングされます。どちらのトークンタイプでも、 のようなクレーム`groups`をプリンシパルグループにマッピングし、ロールベースのアクセスコントロール (RBAC) を評価するポリシーを構築できます。

**注記**  
Verified Permissions は、IdP トークンからの情報に基づいて認可の決定を行いますが、IdP と直接やり取りすることはありません。

 Amazon Cognito ユーザープールまたは OIDC ID プロバイダーを使用して Amazon API Gateway REST APIs の認可ロジックを構築するstep-by-stepのチュートリアルについては、 *AWS セキュリティブログ*の[API Gateway APIs」または「独自の ID プロバイダー Amazon Cognito を持ち込む](https://aws.amazon.com/blogs/security/authorize-api-gateway-apis-using-amazon-verified-permissions-and-amazon-cognito/)」を参照してください。

**Topics**
+ [適切な ID プロバイダーの選択](#choosing-identity-source)
+ [Amazon Cognito ID ソースの使用](identity-sources-cognito.md)
+ [OIDC ID ソースの使用](identity-sources-oidc.md)

## 適切な ID プロバイダーの選択
<a name="choosing-identity-source"></a>

Verified Permissions はさまざまな IdPs で動作しますが、アプリケーションで使用する IdP を決定するときは、次の点を考慮してください。

次の Amazon Cognito 場合に を使用します。  
+ 既存の ID インフラストラクチャなしで新しいアプリケーションを構築している
+ セキュリティ機能が組み込まれた AWSマネージドユーザープールが必要
+ ソーシャル ID プロバイダーの統合が必要です
+ トークン管理を簡素化したい

OIDC プロバイダーは、次の場合に使用します。  
+ 既存の ID インフラストラクチャ (Auth0、Okta、Azure AD) がある
+ 一元化されたユーザー管理を維持する必要があります
+ 特定の IdPs のコンプライアンス要件がある