Trabalhando com fontes de identidade do OIDC - Amazon Verified Permissions

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Trabalhando com fontes de identidade do OIDC

Você também pode configurar qualquer IdP compatível do OpenID Connect (OIDC) como fonte de identidade de um repositório de políticas. Os provedores do OIDC são semelhantes aos grupos de usuários do Amazon Cognito: eles JWTs produzem como produto da autenticação. Para adicionar um provedor OIDC, você deve fornecer uma URL do emissor

Uma nova fonte de identidade do OIDC requer as seguintes informações:

  • O URL do emissor. As permissões verificadas devem ser capazes de descobrir um .well-known/openid-configuration endpoint nesse URL.

  • Registros CNAME que não incluem curingas. Por exemplo, não a.example.com pode ser mapeado para*.example.net. Por outro lado, não *.example.com pode ser mapeado para. a.example.net

  • O tipo de token que você deseja usar nas solicitações de autorização. Nesse caso, você escolheu o token de identidade.

  • O tipo de entidade do usuário que você deseja associar à sua fonte de identidade, por exemploMyCorp::User.

  • O tipo de entidade do grupo que você deseja associar à sua fonte de identidade, por exemploMyCorp::UserGroup.

  • Um exemplo de token de ID ou uma definição das declarações no token de ID.

  • O prefixo que você deseja aplicar à entidade IDs de usuário e grupo. Na CLI e na API, você pode escolher esse prefixo. Nos repositórios de políticas que você cria com a opção Configurar com o API Gateway e um provedor de identidade ou Configuração guiada, as Permissões Verificadas atribuem um prefixo do nome do emissor menoshttps://, por exemplo. MyCorp::User::"auth.example.com|a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Para obter mais informações sobre o uso de operações de API para autorizar solicitações de fontes do OIDC, consulte. Operações de API disponíveis para autorização

O exemplo a seguir mostra como você pode criar uma política que permita o acesso aos relatórios de fim de ano para funcionários do departamento de contabilidade, que tenham uma classificação confidencial e não estejam em um escritório satélite. As permissões verificadas derivam esses atributos das declarações no token de ID do principal.

Observe que, ao fazer referência a um grupo no principal, você deve usar o in operador para que a política seja avaliada corretamente.

permit(
     principal in MyCorp::UserGroup::"MyOIDCProvider|Accounting", 
     action, 
     resource in MyCorp::Folder::"YearEnd2024" 
) when { 
     principal.jobClassification == "Confidential" &&
     !(principal.location like "SatelliteOffice*")
};
Tópicos