Identitätsquellen für Amazon Verified Permissions erstellen - Amazon Verified Permissions
Amazon Cognito Cognito-IdentitätsquelleOIDC-Identitätsquelle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identitätsquellen für Amazon Verified Permissions erstellen

Mit dem folgenden Verfahren wird einem vorhandenen Richtlinienspeicher eine Identitätsquelle hinzugefügt. Nachdem Sie Ihre Identitätsquelle hinzugefügt haben, müssen Sie Ihrem Schema Attribute hinzufügen.

Sie können auch eine Identitätsquelle erstellen, wenn Sie in der Konsole „Verifizierte Berechtigungen“ einen neuen Richtlinienspeicher erstellen. In diesem Prozess können Sie die Ansprüche in Ihren Identitätsquellen-Token automatisch in Entitätsattribute importieren. Wählen Sie die Option Geführte Einrichtung oder Einrichtung mit API Gateway und einem Identitätsanbieter. Mit diesen Optionen werden auch erste Richtlinien erstellt.

Anmerkung

Identitätsquellen sind im Navigationsbereich auf der linken Seite erst verfügbar, wenn Sie einen Richtlinienspeicher erstellt haben. Identitätsquellen, die Sie erstellen, sind dem aktuellen Richtlinienspeicher zugeordnet.

Sie können den Hauptentitätstyp weglassen, wenn Sie eine Identitätsquelle mit create-identity-source in AWS CLI oder CreateIdentity Source in der Verified Permissions API erstellen. Ein leerer Entitätstyp erstellt jedoch eine Identitätsquelle mit dem Entitätstyp. AWS::Cognito Dieser Entitätsname ist nicht mit dem Richtlinienspeicherschema kompatibel. Um Amazon Cognito Cognito-Identitäten in Ihr Policy Store-Schema zu integrieren, müssen Sie den Prinzipal-Entitätstyp auf eine unterstützte Policy Store-Entität festlegen.

Amazon Cognito Cognito-Identitätsquelle

AWS Management Console
So erstellen Sie eine Identitätsquelle für Amazon Cognito Cognito-Benutzerpools

  1. Öffnen Sie die Konsole Verified Permissions unter https://console.aws.amazon.com/verifiedpermissions/. Wählen Sie Ihren Richtlinienspeicher aus.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Identitätsquellen aus.

  3. Wählen Sie Identitätsquelle erstellen aus.

  4. Wählen Sie in den Cognito-Benutzerpooldetails die Benutzerpool-ID für Ihre Identitätsquelle aus AWS-Region und geben Sie sie ein.

  5. Wählen Sie in der Prinzipalkonfiguration einen Prinzipaltyp für die Identitätsquelle aus. Identitäten aus den verbundenen Amazon Cognito Cognito-Benutzerpools werden dem ausgewählten Prinzipaltyp zugeordnet.

  6. Wählen Sie in der Gruppenkonfiguration die Option Cognito-Gruppe verwenden aus, wenn Sie den cognito:groups Benutzerpoolanspruch zuordnen möchten. Wählen Sie einen Entitätstyp, der dem Prinzipaltyp übergeordnet ist.

  7. Wählen Sie unter Validierung von Client-Anwendungen aus, ob Client-Anwendungs-IDs validiert werden sollen.

    • Um die IDs der Client-Anwendungen zu überprüfen, wählen Sie Nur Token akzeptieren, deren Client-Anwendungs-IDs übereinstimmen. Wählen Sie für jede zu validierende Client-Anwendungs-ID neue Client-Anwendungs-ID hinzufügen aus. Um eine hinzugefügte Client-Anwendungs-ID zu entfernen, klicken Sie neben der Client-Anwendungs-ID auf Entfernen.

    • Wählen Sie Client-Anwendungs-IDs nicht validieren, wenn Sie die Client-Anwendungs-IDs nicht validieren möchten.

  8. Wählen Sie Identitätsquelle erstellen aus.

  9. Bevor Sie in Ihren Cedar-Richtlinien auf Attribute verweisen können, die Sie aus Identitäts- oder Zugriffstoken extrahieren, müssen Sie Ihr Schema aktualisieren, damit Cedar weiß, welche Art von Prinzipal Ihre Identitätsquelle erstellt. Diese Ergänzung zum Schema muss die Attribute enthalten, auf die Sie in Ihren Cedar-Richtlinien verweisen möchten. Weitere Informationen zur Zuordnung von Amazon Cognito-Tokenattributen zu Cedar-Hauptattributen finden Sie unterArbeiten mit Identitätsquellen in Schemas und Richtlinien.

    Wenn Sie einen API-verknüpften Richtlinienspeicher erstellen, fragt Verified Permissions Ihren Benutzerpool nach Benutzerattributen ab und erstellt ein Schema, in dem Ihr Prinzipaltyp mit Benutzerpool-Attributen aufgefüllt wird.

AWS CLI
So erstellen Sie eine Identitätsquelle für Amazon Cognito Cognito-Benutzerpools

Sie können eine Identitätsquelle erstellen, indem Sie den Vorgang CreateIdentitySource verwenden. Im folgenden Beispiel wird eine Identitätsquelle erstellt, die auf authentifizierte Identitäten aus einem Amazon Cognito Cognito-Benutzerpool zugreifen kann.

Die folgende config.txt Datei enthält die Details des Amazon Cognito Cognito-Benutzerpools, der vom Parameter --configuration im create-identity-source Befehl verwendet werden kann.

{
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
        "groupConfiguration": {
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

Befehl:

$ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

Bevor Sie in Ihren Cedar-Richtlinien auf Attribute verweisen können, die Sie aus Identitäts- oder Zugriffstoken extrahieren, müssen Sie Ihr Schema aktualisieren, damit Cedar weiß, welche Art von Prinzipal Ihre Identitätsquelle erstellt. Diese Ergänzung zum Schema muss die Attribute enthalten, auf die Sie in Ihren Cedar-Richtlinien verweisen möchten. Weitere Informationen zur Zuordnung von Amazon Cognito-Tokenattributen zu Cedar-Hauptattributen finden Sie unterArbeiten mit Identitätsquellen in Schemas und Richtlinien.

Wenn Sie einen API-verknüpften Richtlinienspeicher erstellen, fragt Verified Permissions Ihren Benutzerpool nach Benutzerattributen ab und erstellt ein Schema, in dem Ihr Prinzipaltyp mit Benutzerpool-Attributen aufgefüllt wird.

Weitere Informationen zur Verwendung von Zugriffs- und Identitätstoken von Amazon Cognito für authentifizierte Benutzer in Verified Permissions finden Sie unter Authorization with Amazon Verified Permissions im Amazon Cognito Developer Guide.

OIDC-Identitätsquelle

AWS Management Console
So erstellen Sie eine OpenID Connect (OIDC) -Identitätsquelle

  1. Öffnen Sie die Konsole „Verified Permissions“ unter https://console.aws.amazon.com/verifiedpermissions/. Wählen Sie Ihren Richtlinienspeicher aus.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Identitätsquellen aus.

  3. Wählen Sie Identitätsquelle erstellen aus.

  4. Wählen Sie Externer OIDC-Anbieter.

  5. Geben Sie unter Aussteller-URL die URL Ihres OIDC-Ausstellers ein. Dies ist der Dienstendpunkt, der beispielsweise den Autorisierungsserver, Signaturschlüssel und andere Informationen über Ihren Anbieter bereitstellt. https://auth.example.com Ihre Aussteller-URL muss ein OIDC-Discovery-Dokument unter hosten. /.well-known/openid-configuration

  6. Wählen Sie unter Tokentyp den Typ des OIDC JWT aus, den Ihre Anwendung zur Autorisierung einreichen soll. Weitere Informationen finden Sie unter Arbeiten mit Identitätsquellen in Schemas und Richtlinien.

  7. Wählen Sie unter Benutzer- und Gruppenansprüche eine Benutzerentität und einen Benutzeranspruch für die Identitätsquelle aus. Die Benutzerentität ist eine Entität in Ihrem Richtlinienspeicher, auf die Sie Benutzer Ihres OIDC-Anbieters verweisen möchten. Bei dem Benutzeranspruch handelt es sich in der Regel sub um einen Anspruch aus Ihrer ID oder Ihrem Zugriffstoken, das die eindeutige Kennung für die zu bewertende Entität enthält. Identitäten des verbundenen OIDC-IdP werden dem ausgewählten Prinzipaltyp zugeordnet.

  8. Wählen Sie unter Benutzer- und Gruppenansprüche eine Gruppenentität und einen Gruppenanspruch für die Identitätsquelle aus. Die Gruppenentität ist der Benutzerentität übergeordnet. Gruppenansprüche werden dieser Entität zugeordnet. Bei dem Gruppenanspruch handelt es sich in der Regel groups um einen Anspruch aus Ihrer ID oder Ihrem Zugriffstoken, der eine Zeichenfolge, JSON oder eine durch Leerzeichen getrennte Zeichenfolge mit Benutzergruppennamen für die auszuwertende Entität enthält. Identitäten des verbundenen OIDC-IdP werden dem ausgewählten Prinzipaltyp zugeordnet.

  9. Geben Sie unter Zielgruppenvalidierung die Client-IDs oder Zielgruppen-URLs ein, die Ihr Richtlinienspeicher gegebenenfalls in Autorisierungsanfragen akzeptieren soll.

  10. Wählen Sie „Identitätsquelle erstellen“.

  11. Aktualisieren Sie Ihr Schema, damit Cedar weiß, welchen Prinzipaltyp Ihre Identitätsquelle erstellt. Dieser Zusatz zum Schema muss die Attribute enthalten, auf die Sie in Ihren Cedar-Richtlinien verweisen möchten. Weitere Informationen zur Zuordnung von Amazon Cognito-Tokenattributen zu Cedar-Hauptattributen finden Sie unterArbeiten mit Identitätsquellen in Schemas und Richtlinien.

    Wenn Sie einen API-verknüpften Richtlinienspeicher erstellen, fragt Verified Permissions Ihren Benutzerpool nach Benutzerattributen ab und erstellt ein Schema, in dem Ihr Prinzipaltyp mit Benutzerpool-Attributen aufgefüllt wird.

AWS CLI
Um eine OIDC-Identitätsquelle zu erstellen

Sie können eine Identitätsquelle mithilfe der Operation CreateIdentitySource erstellen. Im folgenden Beispiel wird eine Identitätsquelle erstellt, die auf authentifizierte Identitäten aus einem Amazon Cognito Cognito-Benutzerpool zugreifen kann.

Die folgende config.txt Datei enthält die Details eines OIDC-IdP zur Verwendung durch den --configuration Parameter des Befehls. create-identity-source In diesem Beispiel wird eine OIDC-Identitätsquelle für ID-Token erstellt.

{
    "openIdConnectConfiguration": {
        "issuer": "https://auth.example.com",
        "tokenSelection": {
                "identityTokenOnly": {
                        "clientIds":["1example23456789"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

Die folgende config.txt Datei enthält die Details eines OIDC-IdP zur Verwendung durch den --configuration Parameter des Befehls. create-identity-source In diesem Beispiel wird eine OIDC-Identitätsquelle für Zugriffstoken erstellt.

{
    "openIdConnectConfiguration": {
        "issuer": "https://auth.example.com",
        "tokenSelection": {
                "accessTokenOnly": {
                        "audiences":["https://auth.example.com"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

Befehl:

$ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

Bevor Sie in Ihren Cedar-Richtlinien auf Attribute verweisen können, die Sie aus Identitäts- oder Zugriffstoken extrahieren, müssen Sie Ihr Schema aktualisieren, damit Cedar den Prinzipaltyp kennt, den Ihre Identitätsquelle erstellt. Diese Ergänzung zum Schema muss die Attribute enthalten, auf die Sie in Ihren Cedar-Richtlinien verweisen möchten. Weitere Informationen zur Zuordnung von Amazon Cognito-Tokenattributen zu Cedar-Hauptattributen finden Sie unterArbeiten mit Identitätsquellen in Schemas und Richtlinien.

Wenn Sie einen API-verknüpften Richtlinienspeicher erstellen, fragt Verified Permissions Ihren Benutzerpool nach Benutzerattributen ab und erstellt ein Schema, in dem Ihr Prinzipaltyp mit Benutzerpool-Attributen aufgefüllt wird.