Uso de OpenID - Amazon Kendra

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de OpenID

Configuración de unAmazon Kendraíndice para utilizar un token OpenID para el control de acceso, necesita la URL JWKS (JSON Web Key Set) del proveedor OpenID. En la mayoría de los casos, la URL JWKS tiene el siguiente formato (si siguen la detección de OpenID)https://domain-name/.well_known/jwks.json.

En los ejemplos siguientes se muestra cómo utilizar un token OpenID para el control de acceso de los usuarios cuando se crea un índice.

Console
  1. ElegirCreate indexpara empezar a crear un nuevo índice.

  2. En la páginaEspecifique los detalles del índice, proporcione a su índice un nombre y una descripción.

  3. ParaIAMrol de, seleccione un rol o seleccioneCreate a new role (Crear un nuevo rol)y especifique un nombre de rol para crear un nuevo rol. El rol de IAM tendrá el prefijo «AmazonKendra-».

  4. Deje todos los demás campos con su valor predeterminado. Elija Next (Siguiente).

  5. En el navegadorConfigurar el control de acceso depágina, enConfiguración del control de acceso, eligepara utilizar tokens para el control de acceso.

  6. UnderConfiguración de tokens, seleccioneOpenIDcomo elTipo de token.

  7. Especificar unFirmar URL de clave de firma. La URL debe apuntar a un conjunto de claves web JSON.

  8. OpcionalUnderConfiguración avanzada:

    1. Especificar unUsername (Nombre de usuario):para usar en la comprobación de ACL.

    2. Especifique uno o másGroupspara usar en la comprobación de ACL.

    3. Especifique elEmisorque validará el emisor del token.

    4. Especifique elID de cliente. Debe especificar una expresión regular que coincida con la audiencia del JWT.

  9. En el navegadorDetalles del aprovisionamientopágina, elijaDeveloper edition.

  10. ElegirCrearpara crear tu índice.

  11. Espere a que se cree su índice.Amazon Kendraaprovisiona el hardware de su índice. Esta operación puede tardar algún tiempo.

CLI

Para crear un índice con elAWS CLIutilizando un archivo de entrada JSON, cree primero un archivo JSON con los parámetros deseados:

{ "Name": "user-context", "Edition": "ENTERPRISE_EDITION", "RoleArn": "arn:aws:iam::account-id:role:/my-role", "UserTokenConfigurations": [ { "JwtTokenTypeConfiguration": { "KeyLocation": "URL", "Issuer": "optional: specify the issuer url", "ClaimRegex": "optional: regex to validate claims in the token", "UserNameAttributeField": "optional: user", "GroupAttributeField": "optional: group", "URL": "https://example.com/.well-known/jwks.json" } } ], "UserContextPolicy": "USER_TOKEN" }

Puede invalidar los nombres predeterminados de los campos de grupo y de usuario. El valor predeterminado deUserNameAttributeFieldes «usuario». El valor predeterminado deGroupAttributeFieldes «grupos».

A continuación, llamecreate-indexutilizando el archivo de entrada. Por ejemplo, si el nombre del archivo JSON escreate-index-openid.json, puede utilizar las siguientes:

aws kendra create-index --cli-input-json file://create-index-openid.json
Python
response = kendra.create_index( Name='user-context', Edition='ENTERPRISE_EDITION', RoleArn='arn:aws:iam::account-id:role:/my-role', UserTokenConfigurations=[ { "JwtTokenTypeConfiguration": { "KeyLocation": "URL", "Issuer": "optional: specify the issuer url", "ClaimRegex": "optional: regex to validate claims in the token", "UserNameAttributeField": "optional: user", "GroupAttributeField": "optional: group", "URL": "https://example.com/.well-known/jwks.json" } } ], UserContextPolicy='USER_TOKEN' )