使用 OIDC 身分來源 - Amazon Verified Permissions

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 OIDC 身分來源

您也可以將任何合規的 OpenID Connect (OIDC) IdP 設定為政策存放區的身分來源。OIDC 提供者類似於 Amazon Cognito 使用者集區:它們會產生 JWTs作為身分驗證產品。若要新增 OIDC 供應商,您必須提供發行者 URL

新的 OIDC 身分來源需要下列資訊:

  • 發行者 URL。驗證的許可必須能夠在此 URL 探索.well-known/openid-configuration端點。

  • 不包含萬用字元的 CNAME 記錄。例如, a.example.com無法映射至 *.example.net。反之, *.example.com 無法映射至 a.example.net

  • 您想要在授權請求中使用的字符類型。在此情況下,您會選擇身分字符

  • 您要與身分來源建立關聯的使用者實體類型,例如 MyCorp::User

  • 您要與身分來源建立關聯的群組實體類型,例如 MyCorp::UserGroup

  • ID 字符範例,或 ID 字符中宣告的定義。

  • 您要套用至使用者和群組實體 IDs字首。在 CLI 和 API 中,您可以選擇此字首。在您使用 API Gateway 和身分提供者設定引導設定選項建立的政策存放區中,Verified Permissions 會指派發行者名稱減去 的字首https://,例如 MyCorp::User::"auth.example.com|a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

如需使用 API 操作來授權來自 OIDC 來源請求的詳細資訊,請參閱 授權可用的 API 操作

以下範例示範如何建立政策,允許會計部門員工存取年底報告、進行機密分類,並且不在衛星辦公室。Verified Permissions 會從委託人的 ID 權杖中的宣告衍生這些屬性。

請注意,在委託人中參考群組時,您必須使用 in運算子才能正確評估政策。

permit( principal in MyCorp::UserGroup::"MyOIDCProvider|Accounting", action, resource in MyCorp::Folder::"YearEnd2024" ) when { principal.jobClassification == "Confidential" && !(principal.location like "SatelliteOffice*") };