本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 OIDC 身分來源
您也可以將任何合規的 OpenID Connect (OIDC) IdP 設定為政策存放區的身分來源。OIDC 提供者類似於 Amazon Cognito 使用者集區:它們會產生 JWTs作為身分驗證產品。若要新增 OIDC 供應商,您必須提供發行者 URL
新的 OIDC 身分來源需要下列資訊:
-
發行者 URL。驗證的許可必須能夠在此 URL 探索
.well-known/openid-configuration
端點。 -
不包含萬用字元的 CNAME 記錄。例如,
a.example.com
無法映射至*.example.net
。反之,*.example.com
無法映射至a.example.net
。 -
您想要在授權請求中使用的字符類型。在此情況下,您會選擇身分字符。
-
您要與身分來源建立關聯的使用者實體類型,例如
MyCorp::User
。 -
您要與身分來源建立關聯的群組實體類型,例如
MyCorp::UserGroup
。 -
ID 字符範例,或 ID 字符中宣告的定義。
-
您要套用至使用者和群組實體 IDs字首。在 CLI 和 API 中,您可以選擇此字首。在您使用 API Gateway 和身分提供者設定或引導設定選項建立的政策存放區中,Verified Permissions 會指派發行者名稱減去 的字首
https://
,例如MyCorp::User::"auth.example.com|a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
。
如需使用 API 操作來授權來自 OIDC 來源請求的詳細資訊,請參閱 授權可用的 API 操作。
以下範例示範如何建立政策,允許會計部門員工存取年底報告、進行機密分類,並且不在衛星辦公室。Verified Permissions 會從委託人的 ID 權杖中的宣告衍生這些屬性。
請注意,在委託人中參考群組時,您必須使用 in
運算子才能正確評估政策。
permit( principal in MyCorp::UserGroup::"MyOIDCProvider|Accounting", action, resource in MyCorp::Folder::"YearEnd2024" ) when { principal.jobClassification == "Confidential" && !(principal.location like "SatelliteOffice*") };