使用身分來源和字符保護您的應用程式 - Amazon Verified Permissions
選擇正確的身分提供者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用身分來源和字符保護您的應用程式

建立身分來源以在 Amazon Verified Permissions 中代表外部身分提供者 (IdP),以快速保護您的應用程式。身分來源提供來自使用與您的政策存放區具有信任關係的 IdP 驗證的使用者的資訊。當您的應用程式使用來自身分來源的字符提出授權請求時,您的政策存放區可以從使用者屬性和存取許可做出授權決策。您可以新增 Amazon Cognito 使用者集區或自訂 OpenID Connect (OIDC) IdP 做為您的身分來源。

您可以搭配 Verified Permissions 使用 OpenID Connect (OIDC) 身分提供者 (IdPs)。您的應用程式可以使用 OIDC 相容身分提供者產生的 JSON Web 字符 (JWTs) 產生授權請求。字符中的使用者身分會映射至委託人 ID。使用 ID 字符時,Verified Permissions 會將屬性宣告映射至主體屬性。使用存取字符,這些宣告會映射到內容。使用這兩種字符類型,您可以將類似 的宣告映射groups至委託人群組,並建置評估角色型存取控制 (RBAC) 的政策。

注意

Verified Permissions 根據來自 IdP 字符的資訊做出授權決策,但不會以任何方式直接與 IdP 互動。

如需使用 Amazon Cognito 使用者集區或 OIDC 身分提供者為 Amazon API Gateway REST APIs 建置授權邏輯step-by-step演練,請參閱使用 Amazon Verified Permissions 搭配 Amazon Cognito 授權 API Gateway APIs 或在安全部落格上自攜身分提供者。 Amazon Cognito AWS

主題

選擇正確的身分提供者

雖然 Verified Permissions 適用於各種 IdPs,但在決定要在應用程式中使用哪個 IdP 時,請考慮下列事項:

在下列情況下使用 Amazon Cognito:

  • 您正在建置沒有現有身分基礎設施的新應用程式

  • 您想要具有內建安全功能的 AWS受管使用者集區

  • 您需要整合社交身分提供者

  • 您想要簡化權杖管理

在下列情況下使用 OIDC 供應商:

  • 您有現有的身分基礎設施 (Auth0、Okta、Azure AD)

  • 您需要維護集中式使用者管理

  • 您有特定 IdPs 的合規要求