本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 OIDC 身分來源 您也可以將任何合規的 OpenID Connect (OIDC) IdP 設定為政策存放區的身分來源。OIDC 提供者類似於 Amazon Cognito 使用者集區:它們會產生 JWTs作為身分驗證產品。若要新增 OIDC 供應商,您必須提供發行者 URL 新的 OIDC 身分來源需要下列資訊: + 發行者 URL。驗證的許可必須能夠在此 URL 探索`.well-known/openid-configuration`端點。 + 不包含萬用字元的 CNAME 記錄。例如, `a.example.com`無法映射至 `*.example.net`。反之, `*.example.com` 無法映射至 `a.example.net`。 + 您想要在授權請求中使用的字符類型。在此情況下,您會選擇**身分字符**。 + 您要與身分來源建立關聯的使用者實體類型,例如 `MyCorp::User`。 + 您要與身分來源建立關聯的群組實體類型,例如 `MyCorp::UserGroup`。 + ID 字符範例,或 ID 字符中宣告的定義。 + 您要套用至使用者和群組實體 IDs字首。在 CLI 和 API 中,您可以選擇此字首。在您使用 **API Gateway 和身分提供者設定**或**引導設定**選項建立的政策存放區中,Verified Permissions 會指派發行者名稱減去 的字首`https://`,例如 `MyCorp::User::"auth.example.com|a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"`。 如需使用 API 操作來授權來自 OIDC 來源請求的詳細資訊,請參閱 [授權可用的 API 操作](authorization.md#authorization-operations)。 以下範例示範如何建立政策,允許會計部門員工存取年底報告、進行機密分類,並且不在衛星辦公室。Verified Permissions 會從委託人的 ID 權杖中的宣告衍生這些屬性。 請注意,在委託人中參考群組時,您必須使用 `in`運算子才能正確評估政策。 ``` permit( principal in MyCorp::UserGroup::"MyOIDCProvider|Accounting", action, resource in MyCorp::Folder::"YearEnd2024" ) when { principal.jobClassification == "Confidential" && !(principal.location like "SatelliteOffice*") }; ``` **Topics** + [建立 Amazon Verified Permissions OIDC 身分來源](oidc-create.md) + [編輯 Amazon Verified Permissions OIDC 身分來源](oidc-edit.md) + [將 OIDC 權杖映射至結構描述](oidc-map-token-to-schema.md) + [OIDC 提供者的用戶端和對象驗證](oidc-validation.md)