OIDC 자격 증명 소스 작업

규정 준수 OpenID Connect(OIDC) IdP를 정책 스토어의 자격 증명 소스로 구성할 수도 있습니다. OIDC 공급자는 Amazon Cognito 사용자 풀과 유사합니다. 인증의 결과로 JWTs를 생성합니다. OIDC 공급자를 추가하려면 발급자 URL을 제공해야 합니다.

새 OIDC 자격 증명 소스에는 다음 정보가 필요합니다.

발급자 URL입니다. Verified Permissions는이 URL에서 .well-known/openid-configuration 엔드포인트를 검색할 수 있어야 합니다.
와일드카드가 포함되지 않은 CNAME 레코드입니다. 예를 들어는에 매핑할 a.example.com 수 없습니다*.example.net. 반대로는에 매핑할 *.example.com 수 없습니다a.example.net.
권한 부여 요청에 사용할 토큰 유형입니다. 이 경우 자격 증명 토큰을 선택합니다.
와 같이 자격 증명 소스와 연결할 사용자 엔터티 유형입니다MyCorp::User.
와 같이 자격 증명 소스와 연결할 그룹 엔터티 유형입니다MyCorp::UserGroup.
예제 ID 토큰 또는 ID 토큰의 클레임 정의입니다.
사용자 및 그룹 개체 IDs. CLI 및 API에서이 접두사를 선택할 수 있습니다. API Gateway 설정 및 자격 증명 공급자 또는 안내 설정 옵션으로 생성한 정책 스토어에서 Verified Permissions는 발급자 이름의 접두사에서를 뺀 접두사를 할당합니다. 예를 들면 https://입니다MyCorp::User::"auth.example.com|a1b2c3d4-5678-90ab-cdef-EXAMPLE11111".

API 작업을 사용하여 OIDC 소스의 요청을 승인하는 방법에 대한 자세한 내용은 섹션을 참조하세요권한 부여에 사용 가능한 API 작업.

다음 예제에서는 회계 부서의 직원에 대한 연말 보고서에 대한 액세스를 허용하고 기밀 분류가 있으며 위성 사무실에 있지 않은 정책을 생성하는 방법을 보여줍니다. Verified Permissions는 보안 주체의 ID 토큰에 있는 클레임에서 이러한 속성을 파생합니다.

보안 주체의 그룹을 참조할 때 정책을 올바르게 평가하려면 in 연산자를 사용해야 합니다.


permit(
     principal in MyCorp::UserGroup::"MyOIDCProvider|Accounting", 
     action, 
     resource in MyCorp::Folder::"YearEnd2024" 
) when { 
     principal.jobClassification == "Confidential" &&
     !(principal.location like "SatelliteOffice*")
};

주제

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

클라이언트 및 대상 검증

자격 증명 소스 생성