本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 编辑 Amazon 已验证权限 OIDC 身份源 创建身份源后,您可以编辑身份源的某些参数。您无法更改身份源的类型,必须删除身份源并创建一个新的身份源以从 OIDC 或 OIDC 切换 Amazon Cognito 到。 Amazon Cognito如果您的策略存储架构与您的身份源属性相匹配,则请注意,您必须单独更新架构以反映您对身份源所做的更改。 ------ #### [ AWS 管理控制台 ] **更新 OIDC 身份源** 1. 打开已[验证权限控制台](https://console.aws.amazon.com/verifiedpermissions/)。选择您的保单商店。 1. 在左侧的导航窗格中,选择**身份来源**。 1. 选择要编辑的身份来源的 ID。 1. 选择**编辑**。 1. 在 **OIDC 提供商详细信息**中,根据需要更改**发行者 URL**。 1. 在将**令牌声明映射到架构属性**中,根据需要更改用户和组声明与策略存储实体类型之间的关联。更改实体类型后,必须更新策略和架构属性以应用于新的实体类型。 1. 在**受众验证**中,添加或删除要强制执行的受众群体值。 1. 选择**保存更改**。 如要删除身份来源,您可以选择身份来源旁边的单选按钮,然后选择**删除身份来源**。在文本框中输入 `delete`,然后选择**删除身份来源**,确认删除该身份来源。 ------ #### [ AWS CLI ] **更新 OIDC 身份源** 您可以使用[UpdateIdentitySource](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_UpdateIdentitySource.html)操作更新身份源。以下示例将指定的身份源更新为使用其他 OIDC 提供商。 1. 创建一个包含 OIDC IdP 以下详细信息的`config.txt`文件,供命令的`--configuration`参数使用。`update-identity-source` ``` { "openIdConnectConfiguration": { "issuer": "https://auth2.example.com", "tokenSelection": { "identityTokenOnly": { "clientIds":["2example10111213"], "principalIdClaim": "sub" }, }, "entityIdPrefix": "MyOIDCProvider", "groupConfiguration": { "groupClaim": "groups", "groupEntityType": "MyCorp::UserGroup" } } } ``` 1. 运行以下命令更新 OIDC 身份源。 ``` $ aws verifiedpermissions update-identity-source \ --update-configuration file://config.txt \ --policy-store-id 123456789012 { "createdDate": "2023-05-19T20:30:28.214829+00:00", "identitySourceId": "ISEXAMPLEabcdefg111111", "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00", "policyStoreId": "PSEXAMPLEabcdefg111111" } ``` **注意** 如果要更改该身份来源的主体类型,必须更新架构,以正确反映更新后的主体类型。 ------