Controles de provedor de identidade para provedores OIDC compartilhados - AWS Identity and Access Management
Tipos de provedores OIDCProvedores de identidade OIDC compartilhados com controles de provedores de identidadeRecursos adicionais

Controles de provedor de identidade para provedores OIDC compartilhados

Para provedores de identidade (IdPs) OpenID Connect (OIDC) compartilhados reconhecidos, o IAM exige uma avaliação explícita de declarações específicas nas políticas de confiança de perfis. Essas declarações obrigatórias, chamadas de controles de provedor de identidade, são avaliadas pelo IAM durante a criação do perfil e as atualizações da política de confiança. Se a política de confiança do perfil não avaliar os controles exigidos pelo IdP OIDC compartilhado, a criação ou atualização do perfil falhará. Isso garante que somente identidades autorizadas da organização pretendida possam assumir perfis e acessar recursos da AWS. Esse controle de segurança é crucial quando os provedores OIDC são compartilhados entre vários clientes da AWS.

Os controles do provedor de identidade não serão avaliados pelo IAM para as políticas de confiança de perfis OIDC existentes. Para quaisquer modificações na política de confiança do perfil para perfis OIDC existentes, o IAM exigirá que os controles do provedor de identidade sejam incluídos na política de confiança do perfil.

Tipos de provedores OIDC

O IAM categoriza os provedores de identidade OIDC em dois tipos distintos: privados e compartilhados. Um IdP OIDC privado pode pertencer e ser gerenciado por uma única organização ou pode ser um locatário de um provedor de SaaS, com seu URL do emissor OIDC servindo como um identificador exclusivo específico para essa organização. Por outro lado, um IdP OIDC compartilhado é utilizado por várias organizações, onde o URL do emissor OIDC pode ser idêntico para todas as organizações que usam esse provedor de identidade compartilhado.

A tabela abaixo descreve as principais diferenças entre provedores OIDC privados e compartilhados:

Característica Provedor OIDC privado Provedor OIDC compartilhado

Emissor

Exclusivo para a organização

Compartilhado entre várias organizações

Informações de locação

Comunicado por meio de emissor exclusivo

Comunicado por meio de declarações no JWT

Requisitos da política de confiança

Não há necessidade de avaliação da declaração específica

A avaliação de declarações específicas é necessária

Provedores de identidade OIDC compartilhados com controles de provedores de identidade

Quando você cria ou modifica um provedor OIDC no IAM, o sistema identifica e avalia automaticamente as declarações necessárias para provedores OIDC compartilhados reconhecidos. Se os controles do provedor de identidade não estiverem configurados na política de confiança do perfil, a criação ou atualização do perfil falhará com um erro MalformedPolicyDocument.

A tabela a seguir lista os provedores OIDC compartilhados que exigem controles de provedor de identidade nas políticas de confiança de perfis:

IdP OIDC URL OIDC Declaração de locação Declarações necessárias
Buildkite https://agent.buildkite.com

sub

 agent.buildkite.com:sub
Codefresh SaaS https://oidc.codefresh.io sub oidc.codefresh.io:sub
DVC Studio https://studio.datachain.ai/api sub studio.datachain.ai/api:sub
Ações do GitHub https://token.actions.githubusercontent.com sub token.actions.githubusercontent.com:sub
Streaming do log de auditoria do GitHub https://oidc-configuration.audit-log.githubusercontent.com sub oidc-configuration.audit-log.githubusercontent.com:sub
vstoken GitHub https://vstoken.actions.githubusercontent.com sub vstoken.actions.githubusercontent.com:sub
GitLab https://gitlab.com sub gitlab.com:sub
IBM Turbonomic SaaS*

  • https://rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg

  • https://rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26

  • https://oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb

  • https://oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu

 sub

  • rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26:sub

  • oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb:sub

  • oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu:sub
sandboxes.cloud https://sandboxes.cloud aud sandboxes.cloud:aud
Scalr https://scalr.io sub scalr.io:sub
Shisho Cloud https://tokens.cloud.shisho.dev sub tokens.cloud.shisho.dev:sub
Terraform Cloud https://app.terraform.io sub app.terraform.io:sub
Upbound https://proidc.upbound.io sub proidc.upbound.io:sub

* O IBM Turbonomic atualiza periodicamente seu URL de emissor do OIDC com novas versões da plataforma. Adicionaremos outros emissores OIDC do Turbonomic no escopo como um provedor compartilhado conforme necessário.

Para quaisquer novos IdPs OIDC que o IAM identifique como compartilhados, os controles de provedor de identidade necessários para as políticas de confiança de perfis serão documentados e aplicados de maneira semelhante.

Recursos adicionais

Recursos adicionais: