本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用身分來源和字符保護您的應用程式
<a name="identity-sources"></a>

建立*身分來源*以在 Amazon Verified Permissions 中代表外部身分提供者 (IdP)，以快速保護您的應用程式。身分來源提供來自使用與您的政策存放區具有信任關係的 IdP 驗證的使用者的資訊。當您的應用程式使用來自身分來源的字符提出授權請求時，您的政策存放區可以從使用者屬性和存取許可做出授權決策。您可以新增 Amazon Cognito 使用者集區或自訂 OpenID Connect (OIDC) IdP 做為您的身分來源。

您可以搭配 Verified Permissions 使用 [OpenID Connect (OIDC)](https://openid.net/specs/openid-connect-core-1_0.html) 身分提供者 (IdPs)。您的應用程式可以使用 OIDC 相容身分提供者產生的 JSON Web 權杖 (JWTs) 產生授權請求。字符中的使用者身分會映射至委託人 ID。使用 ID 字符時，Verified Permissions 會將屬性宣告映射至主體屬性。使用存取字符，這些宣告會映射到[內容](context.md)。使用這兩種字符類型，您可以將類似 的宣告映射`groups`至委託人群組，並建置評估角色型存取控制 (RBAC) 的政策。

**注意**  
Verified Permissions 會根據來自 IdP 權杖的資訊做出授權決策，但不會以任何方式直接與 IdP 互動。

如需使用 Amazon Cognito 使用者集區或 OIDC 身分提供者為 Amazon API Gateway REST APIs 建置授權邏輯step-by-step演練，請參閱*AWS 安全部落格*上的[使用 Amazon Verified Permissions 搭配 Amazon Cognito 或自攜身分提供者的授權 API 閘道 APIs](https://aws.amazon.com/blogs/security/authorize-api-gateway-apis-using-amazon-verified-permissions-and-amazon-cognito/)。

**Topics**
+ [選擇正確的身分提供者](#choosing-identity-source)
+ [使用 Amazon Cognito 身分來源](identity-sources-cognito.md)
+ [使用 OIDC 身分來源](identity-sources-oidc.md)

## 選擇正確的身分提供者
<a name="choosing-identity-source"></a>

雖然 Verified Permissions 適用於各種 IdPs，但在決定要在應用程式中使用哪個 IdP 時，請考慮下列事項：

使用 Amazon Cognito 時機：  
+ 您正在建置沒有現有身分基礎設施的新應用程式
+ 您想要具有內建安全功能的 AWS受管使用者集區
+ 您需要整合社交身分提供者
+ 您想要簡化權杖管理

在下列情況下使用 OIDC 供應商：  
+ 您有現有的身分基礎設施 (Auth0、Okta、Azure AD)
+ 您需要維護集中式使用者管理
+ 您有特定 IdPs 的合規要求