Crear fuentes de identidad de Amazon Verified Permissions - Amazon Verified Permissions
Fuente de identidad de Amazon CognitoOIDCfuente de identidad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear fuentes de identidad de Amazon Verified Permissions

El siguiente procedimiento agrega una fuente de identidad a un almacén de políticas existente. Tras añadir la fuente de identidad, debe añadir los atributos al esquema.

También puede crear una fuente de identidad al crear un nuevo almacén de políticas en la consola de permisos verificados. En este proceso, puede importar automáticamente las notificaciones de los tokens de su fuente de identidad a los atributos de la entidad. Elige la opción Configuración guiada o Configuración con API Gateway y un proveedor de identidad. Estas opciones también crean políticas iniciales.

nota

Las fuentes de identidad no están disponibles en el panel de navegación de la izquierda hasta que haya creado un almacén de políticas. Las fuentes de identidad que cree están asociadas al almacén de políticas actual.

Puede omitir el tipo de entidad principal al crear una fuente de identidad con create-identity-sourcelos permisos CreateIdentitySourceverificados AWS CLI o entre ellosAPI. Sin embargo, un tipo de entidad en blanco crea una fuente de identidad con un tipo de entidad deAWS::Cognito. El nombre de esta entidad no es compatible con el esquema del almacén de políticas. Para integrar las identidades de Amazon Cognito en su esquema de almacén de políticas, debe establecer el tipo de entidad principal en una entidad de almacén de políticas compatible.

Fuente de identidad de Amazon Cognito

AWS Management Console
Para crear una fuente de identidad de un grupo de usuarios de Amazon Cognito

  1. Abra la consola de permisos verificados en https://console.aws.amazon.com/verifiedpermissions/. Elige tu almacén de pólizas.

  2. En el panel de navegación de la izquierda, elija Fuentes de identidad.

  3. Seleccione Crear fuente de identidad.

  4. En Detalles del grupo de usuarios de Cognito, seleccione Región de AWS e introduzca el ID del grupo de usuarios para su fuente de identidad.

  5. En Configuración principal, elija un tipo principal para la fuente de identidad. Las identidades de los grupos de usuarios de Amazon Cognito conectados se asignarán al tipo de entidad principal seleccionado.

  6. En Configuración de grupo, seleccione Usar el grupo de Cognito si quiere mapear la notificación del grupo cognito:groups de usuarios. Elija un tipo de entidad que sea principal del tipo principal.

  7. En Validación de la aplicación del cliente, elija si desea validar la aplicación del clienteIDs.

    • Para validar la aplicación clienteIDs, elija Aceptar solo los tokens con una aplicación cliente coincidente IDs. Elija Agregar nuevo ID de aplicación cliente para cada ID de aplicación cliente que desee validar. Para eliminar un ID de aplicación cliente que se haya agregado, elija Eliminar junto al ID de la aplicación cliente.

    • Seleccione No validar la aplicación cliente IDs si no desea validar la aplicación clienteIDs.

  8. Seleccione Crear fuente de identidad.

  9. Para poder hacer referencia a los atributos que extraiga de los tokens de acceso o de identidad en sus políticas de Cedar, debe actualizar su esquema para que Cedar sepa qué tipo de entidad principal crea su fuente de identidad. Esta incorporación al esquema debe incluir los atributos a los que desee hacer referencia en sus políticas de Cedar. Para obtener más información sobre cómo asignar los atributos del token de Amazon Cognito a los atributos de entidad principal de Cedar, consulte Asignación de tokens de proveedores de identidad al esquema.

    Al crear un almacén API de políticas vinculado, Verified Permissions consulta los atributos de usuario del grupo de usuarios y crea un esquema en el que el tipo principal se rellena con los atributos del grupo de usuarios.

AWS CLI
Para crear una fuente de identidad de un grupo de usuarios de Amazon Cognito

Puede crear una fuente de identidad mediante la CreateIdentitySourceoperación. El siguiente ejemplo crea una fuente de identidad que puede acceder a las identidades autenticadas de un grupo de usuarios de Amazon Cognito.

El siguiente archivo config.txt contiene los detalles del grupo de usuarios de Amazon Cognito para que los utilice el parámetro --configuration del comando create-identity-source.

{
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
        "groupConfiguration": {
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

Comando:

$ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

Para poder hacer referencia a los atributos que extraiga de los tokens de acceso o de identidad en sus políticas de Cedar, debe actualizar su esquema para que Cedar sepa qué tipo de entidad principal crea su fuente de identidad. Esta incorporación al esquema debe incluir los atributos a los que desee hacer referencia en sus políticas de Cedar. Para obtener más información sobre cómo asignar los atributos del token de Amazon Cognito a los atributos de entidad principal de Cedar, consulte Asignación de tokens de proveedores de identidad al esquema.

Al crear un almacén API de políticas vinculado, Verified Permissions consulta los atributos de usuario del grupo de usuarios y crea un esquema en el que el tipo principal se rellena con los atributos del grupo de usuarios.

Para obtener más información sobre el uso de los tokens de acceso e identidad de Amazon Cognito para los usuarios autenticados en Verified Permissions, consulte Autorización con Amazon Verified Permissions en la Guía para desarrolladores de Amazon Cognito.

OIDCfuente de identidad

AWS Management Console
Para crear una fuente de identidad de OpenID Connect (OIDC)

  1. Abra la consola de permisos verificados en https://console.aws.amazon.com/verifiedpermissions/. Elige tu almacén de pólizas.

  2. En el panel de navegación de la izquierda, elija Fuentes de identidad.

  3. Seleccione Crear fuente de identidad.

  4. Elige un OIDCproveedor externo.

  5. En Emisor URL, introduzca el URL de su OIDC emisor. Este es el punto final del servicio que proporciona el servidor de autorización, las claves de firma y otra información sobre su proveedor, por ejemplo. https://auth.example.com El emisor URL debe alojar un documento de OIDC descubrimiento en/.well-known/openid-configuration.

  6. En Tipo de token, elija el tipo OIDC JWT que desea que envíe su solicitud de autorización. Para obtener más información, consulte Asignación de tokens de proveedores de identidad al esquema.

  7. En Reclamaciones de usuario y grupo, elija una entidad de usuario y una reclamación de usuario como fuente de identidad. La entidad de usuario es una entidad de su almacén de políticas a la que quiere hacer referencia a los usuarios de su OIDC proveedor. La afirmación de usuario proviene, por lo generalsub, de tu ID o token de acceso que contiene el identificador único de la entidad que se va a evaluar. Las identidades del OIDC IdP conectado se asignarán al tipo principal seleccionado.

  8. En las notificaciones de usuario y grupo, elija una entidad de grupo y una reclamación de grupo como fuente de identidad. La entidad del grupo es la matriz de la entidad del usuario. Las reclamaciones grupales se asignan a esta entidad. La reclamación de grupo proviene, por lo generalgroups, de su ID o token de acceso que contiene una cadena o cadena delimitada por espacios de nombres de grupos de usuarios para la entidad que se va a evaluar. JSON Las identidades del OIDC IdP conectado se asignarán al tipo principal seleccionado.

  9. En la validación de audiencia, introduzca el cliente IDs o la audiencia URLs que desea que su almacén de políticas acepte en las solicitudes de autorización, si las hubiera.

  10. Seleccione Crear fuente de identidad.

  11. Actualice su esquema para que Cedar conozca el tipo de principal que crea su fuente de identidad. Esta incorporación al esquema debe incluir los atributos a los que desee hacer referencia en sus políticas de Cedar. Para obtener más información sobre cómo asignar los atributos del token de Amazon Cognito a los atributos de entidad principal de Cedar, consulte Asignación de tokens de proveedores de identidad al esquema.

    Al crear un almacén API de políticas vinculado, Verified Permissions consulta los atributos de usuario del grupo de usuarios y crea un esquema en el que el tipo principal se rellena con los atributos del grupo de usuarios.

AWS CLI
Para crear una fuente de OIDC identidad

Puede crear una fuente de identidad mediante la CreateIdentitySourceoperación. El siguiente ejemplo crea una fuente de identidad que puede acceder a las identidades autenticadas de un grupo de usuarios de Amazon Cognito.

El siguiente config.txt archivo contiene los detalles de un OIDC IdP para que los utilice el --configuration parámetro del create-identity-source comando. En este ejemplo, se crea una fuente de OIDC identidad para los tokens de identificación.

{
    "openIdConnectConfiguration": {
        "issuer": "https://auth.example.com",
        "tokenSelection": {
                "identityTokenOnly": {
                        "clientIds":["1example23456789"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

El siguiente config.txt archivo contiene los detalles de un OIDC IdP para que los utilice el --configuration parámetro del create-identity-source comando. En este ejemplo, se crea una fuente de OIDC identidad para los tokens de acceso.

{
    "openIdConnectConfiguration": {
        "issuer": "https://auth.example.com",
        "tokenSelection": {
                "accessTokenOnly": {
                        "audiences":["https://auth.example.com"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

Comando:

$ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

Para poder hacer referencia a los atributos que extraiga de los tokens de acceso o de identidad en sus políticas de Cedar, debe actualizar su esquema para que Cedar sepa qué tipo de entidad principal crea su fuente de identidad. Esta incorporación al esquema debe incluir los atributos a los que desee hacer referencia en sus políticas de Cedar. Para obtener más información sobre cómo asignar los atributos del token de Amazon Cognito a los atributos de entidad principal de Cedar, consulte Asignación de tokens de proveedores de identidad al esquema.

Al crear un almacén API de políticas vinculado, Verified Permissions consulta los atributos de usuario del grupo de usuarios y crea un esquema en el que el tipo principal se rellena con los atributos del grupo de usuarios.