기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 자격 증명 소스 및 토큰으로 애플리케이션 보호
<a name="identity-sources"></a>

Amazon Verified Permissions에서 외부 ID 제공업체(IdP)를 *나타내는 ID 소스를* 생성하여 애플리케이션을 빠르게 보호합니다. 자격 증명 소스는 정책 스토어와 신뢰 관계가 있는 IdP로 인증된 사용자의 정보를 제공합니다. 애플리케이션이 자격 증명 소스의 토큰으로 권한 부여를 요청할 때 정책 스토어는 사용자 속성 및 액세스 권한에서 권한 부여를 결정할 수 있습니다. Amazon Cognito 사용자 풀 또는 사용자 지정 OpenID Connect(OIDC) IdP를 ID 소스로 추가할 수 있습니다.

Verified Permissions와 함께 [OpenID Connect(OIDC)](https://openid.net/specs/openid-connect-core-1_0.html) ID 제공업체(IdPs)를 사용할 수 있습니다. 애플리케이션은 OIDC 준수 자격 증명 공급자가 생성한 JSON 웹 토큰(JWTs)을 사용하여 권한 부여 요청을 생성할 수 있습니다. 토큰의 사용자 자격 증명은 보안 주체 ID에 매핑됩니다. ID 토큰을 사용하면 Verified Permissions는 속성 클레임을 보안 주체 속성에 매핑합니다. 액세스 토큰을 사용하면 이러한 클레임이 [컨텍스트](context.md)에 매핑됩니다. 두 토큰 유형 모두와 같은 클레임을 보안 주체 그룹에 매핑하고 역할 기반 액세스 제어(RBAC)`groups`를 평가하는 정책을 구축할 수 있습니다.

**참고**  
Verified Permissions는 IdP 토큰의 정보를 기반으로 권한 부여를 결정하지만 어떤 식으로든 IdP와 직접 상호 작용하지 않습니다.

 Amazon Cognito 사용자 풀 또는 OIDC 자격 증명 공급자를 사용하여 Amazon API Gateway REST APIs에 대한 권한 부여 로직을 구축하는 step-by-step 연습은 *AWS 보안 블로그*의 [Authorize API Gateway APIs using Amazon Verified Permissions with Amazon Cognito or bring your own identity provider](https://aws.amazon.com/blogs/security/authorize-api-gateway-apis-using-amazon-verified-permissions-and-amazon-cognito/)를 참조하세요.

**Topics**
+ [올바른 자격 증명 공급자 선택](#choosing-identity-source)
+ [Amazon Cognito 자격 증명 소스 작업](identity-sources-cognito.md)
+ [OIDC 자격 증명 소스 작업](identity-sources-oidc.md)

## 올바른 자격 증명 공급자 선택
<a name="choosing-identity-source"></a>

Verified Permissions는 다양한 IdPs에서 작동하지만 애플리케이션에서 사용할 IdP를 결정할 때는 다음 사항을 고려하세요.

다음과 같은 Amazon Cognito 경우에 사용합니다.  
+ 기존 자격 증명 인프라 없이 새 애플리케이션을 구축하는 경우
+ 기본 보안 기능이 있는 원하는 AWS관리형 사용자 풀
+ 소셜 자격 증명 공급자 통합이 필요합니다.
+ 간소화된 토큰 관리를 원하는 경우

다음과 같은 경우 OIDC 공급자를 사용합니다.  
+ 기존 자격 증명 인프라(Auth0, Okta, Azure AD)가 있는 경우
+ 중앙 집중식 사용자 관리를 유지해야 함
+ 특정 IdPs