Amazon Verified Permissions OIDC ID ソースの作成

次の手順では、ID ソースを既存のポリシーストアに追加します。

Verified Permissions コンソールで新しいポリシーストアを作成するときに ID ソースを作成することもできます。このプロセスでは、ID ソーストークンのクレームをエンティティ属性に自動的にインポートできます。ガイド付きセットアップを選択するか、API Gateway と ID プロバイダーオプションを使用してセットアップします。これらのオプションでは、初期ポリシーも作成されます。

注記

ID ソース は、ポリシーストアを作成するまでは左側のナビゲーションペインには表示されません。作成する ID ソースは、現在のポリシーストアに関連付けられます。

Verified Permissions API の create-identity-source AWS CLI または CreateIdentitySource を使用して ID ソースを作成するときに、プリンシパルエンティティタイプを除外できます。ただし、空のエンティティタイプは、エンティティタイプがの ID ソースを作成しますAWS::Cognito。このエンティティ名は、ポリシーストアスキーマと互換性がありません。Amazon Cognito ID をポリシーストアスキーマと統合するには、プリンシパルエンティティタイプをサポートされているポリシーストアエンティティに設定する必要があります。

AWS Management Console

OpenID Connect (OIDC) ID ソースを作成するには

Verified Permissions コンソールを開きます。ポリシーストアを選択します。
左側にあるナビゲーションペインで、[ID ソース] を選択します。
[ID ソースを作成]を選択します。
外部 OIDC プロバイダーを選択します。
発行者 URL に、OIDC 発行者の URL を入力します。これは、認可サーバー、署名キー、およびなどのプロバイダーに関するその他の情報を提供するサービスエンドポイントですhttps://auth.example.com。発行者 URL は、で OIDC 検出ドキュメントをホストする必要があります/.well-known/openid-configuration。
トークンタイプで、アプリケーションが承認のために送信する OIDC JWT のタイプを選択します。詳細については、「スキーマへの OIDC トークンのマッピング」を参照してください。
スキーマエンティティへのトークンクレームをマップで、ID ソースのユーザーエンティティとユーザークレームを選択します。ユーザーエンティティは、OIDC プロバイダーのユーザーを参照するポリシーストア内のエンティティです。ユーザークレームは、通常sub、評価対象のエンティティの一意の識別子を保持する ID またはアクセストークンからのクレームです。接続された OIDC IdP の ID は、選択したプリンシパルタイプにマッピングされます。
（オプション) スキーマエンティティへのトークンクレームのマップで、アイデンティティソースのグループエンティティとグループクレームを選択します。グループエンティティはユーザーエンティティの親です。グループクレームはこのエンティティにマッピングされます。グループクレームは、評価対象のエンティティのユーザーグループ名の文字列、JSON、またはスペース区切りの文字列を含む ID またはアクセストークンgroupsからのクレームです。通常はです。接続された OIDC IdP の ID は、選択したプリンシパルタイプにマッピングされます。
検証 - オプションで、ポリシーストアが認可リクエストで受け入れるクライアント IDs またはオーディエンス URLs があれば入力します。
[ID ソースを作成]を選択します。
（オプション) ポリシーストアにスキーマがある場合、Cedar ポリシーの ID トークンまたはアクセストークンから抽出した属性を参照する前に、スキーマを更新して、ID ソースが作成するプリンシパルのタイプを Cedar に認識させる必要があります。スキーマへの追加には、Cedar ポリシーで参照したい属性を含める必要があります。OIDC トークン属性を Cedar プリンシパル属性にマッピングする方法の詳細については、「」を参照してくださいスキーマへの OIDC トークンのマッピング。
トークンからの情報を使用して認可を決定するポリシーを作成します。詳細については、「Amazon Verified Permissions 静的ポリシーの作成」を参照してください。

ID ソースの作成、スキーマの更新、ポリシーの作成が完了したら、を使用して Verified Permissions IsAuthorizedWithTokenに認可の決定をさせます。詳細については、Amazon Verified Permissions API リファレンスガイドのIsAuthorizedWithToken」を参照してください。

AWS CLI

OIDC ID ソースを作成するには

CreateIdentitySource オペレーションを使用して ID ソースを作成できます。次の例では、OIDC ID プロバイダー (IdP) から認証された ID にアクセスできる ID ソースを作成します。

create-identity-source コマンドの --configurationパラメータで使用する OIDC IdP の以下の詳細を含むconfig.txtファイルを作成します。


{
    "openIdConnectConfiguration": {
        "issuer": "https://auth.example.com",
        "tokenSelection": {
                "identityTokenOnly": {
                        "clientIds":["1example23456789"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

次のコマンドを実行して、OIDC ID ソースを作成します。


$ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

（オプション) ポリシーストアにスキーマがある場合、Cedar ポリシーの ID トークンまたはアクセストークンから抽出した属性を参照する前に、スキーマを更新して、ID ソースが作成するプリンシパルのタイプを Cedar に認識させる必要があります。スキーマへの追加には、Cedar ポリシーで参照したい属性を含める必要があります。OIDC トークン属性を Cedar プリンシパル属性にマッピングする方法の詳細については、「」を参照してくださいスキーマへの OIDC トークンのマッピング。
トークンからの情報を使用して認可を決定するポリシーを作成します。詳細については、「Amazon Verified Permissions 静的ポリシーの作成」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

OIDC ID ソースの使用

ID ソースの編集