Creación de fuentes de identidad OIDC de permisos verificados de Amazon - Amazon Verified Permissions

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de fuentes de identidad OIDC de permisos verificados de Amazon

El siguiente procedimiento agrega una fuente de identidad a un almacén de políticas existente.

También puede crear una fuente de identidad al crear un nuevo almacén de políticas en la consola de permisos verificados. En este proceso, puede importar automáticamente las notificaciones de los tokens de su fuente de identidad a los atributos de la entidad. Elija la opción Configuración guiada o Configuración con API Gateway y un proveedor de identidad. Estas opciones también crean políticas iniciales.

nota

Las fuentes de identidad no están disponibles en el panel de navegación de la izquierda hasta que haya creado un almacén de políticas. Las fuentes de identidad que cree están asociadas al almacén de políticas actual.

Puede omitir el tipo de entidad principal al crear una fuente de identidad create-identity-sourceen la API de permisos verificados AWS CLI o CreateIdentitySourceen ella. Sin embargo, un tipo de entidad en blanco crea una fuente de identidad con un tipo de entidad deAWS::Cognito. El nombre de esta entidad no es compatible con el esquema del almacén de políticas. Para integrar las identidades de Amazon Cognito en su esquema de almacén de políticas, debe establecer el tipo de entidad principal en una entidad de almacén de políticas compatible.

AWS Management Console
Para crear una fuente de identidad de OpenID Connect (OIDC)

  1. Abra la consola de permisos verificados. Elige tu almacén de políticas.

  2. En el panel de navegación de la izquierda, elija Fuentes de identidad.

  3. Seleccione Crear fuente de identidad.

  4. Elija un proveedor de OIDC externo.

  5. En URL del emisor, introduzca la URL de su emisor de OIDC. Este es el punto final del servicio que proporciona, por ejemplo, el servidor de autorización, las claves de firma y otra información sobre su proveedor. https://auth.example.com La URL del emisor debe alojar un documento de detección del OIDC en. /.well-known/openid-configuration

  6. En Tipo de token, elija el tipo de OIDC JWT que desea que envíe su solicitud de autorización. Para obtener más información, consulte Asignación de tokens OIDC al esquema.

  7. En Map, las reclamaciones de token para esquematizar entidades, elija una entidad de usuario y una afirmación de usuario como fuente de identidad. La entidad de usuario es una entidad de su almacén de políticas a la que quiere hacer referencia a los usuarios de su proveedor de OIDC. La afirmación de usuario proviene, por lo generalsub, de su ID o token de acceso que contiene el identificador único de la entidad que se va a evaluar. Las identidades del IdP OIDC conectado se asignarán al tipo principal seleccionado.

  8. (Opcional) En las notificaciones de token de mapa para esquematizar entidades, elija una entidad de grupo y una afirmación de grupo como fuente de identidad. La entidad del grupo es la matriz de la entidad del usuario. Las reclamaciones grupales se asignan a esta entidad. La afirmación de grupo proviene, normalmentegroups, de su ID o token de acceso y contiene una cadena, un JSON o una cadena delimitada por espacios de nombres de grupos de usuarios para la entidad que se va a evaluar. Las identidades del IdP OIDC conectado se asignarán al tipo principal seleccionado.

  9. En la validación (opcional), introduzca el cliente IDs o público URLs que desee que su almacén de políticas acepte en las solicitudes de autorización, si las hubiera.

  10. Seleccione Crear fuente de identidad.

  11. (Opcional) Si su almacén de políticas tiene un esquema, antes de poder hacer referencia a los atributos que extrae de los tokens de identidad o acceso en sus políticas de Cedar, debe actualizar el esquema para que Cedar conozca el tipo de principal que crea su fuente de identidad. Esta incorporación al esquema debe incluir los atributos a los que desee hacer referencia en sus políticas de Cedar. Para obtener más información sobre cómo asignar los atributos del token OIDC a los atributos principales de Cedar, consulte. Asignación de tokens OIDC al esquema

  12. Cree políticas que utilicen la información de los tokens para tomar decisiones de autorización. Para obtener más información, consulte Creación de políticas estáticas de Amazon Verified Permissions.

Ahora que ha creado una fuente de identidad, actualizado el esquema y creado políticas, utilice Verified Permissions IsAuthorizedWithToken para tomar decisiones de autorización. Para obtener más información, consulta la guía IsAuthorizedWithTokende referencia de la API de permisos verificados de Amazon.

AWS CLI
Para crear una fuente de identidad OIDC

Puede crear una fuente de identidad mediante la CreateIdentitySourceoperación. El siguiente ejemplo crea una fuente de identidad que puede acceder a las identidades autenticadas desde un proveedor de identidades (IdP) del OIDC.

  1. Cree un config.txt archivo que contenga los siguientes detalles de un IdP OIDC para que lo utilice el --configuration parámetro del comando. create-identity-source

    {
    "openIdConnectConfiguration": {
        "issuer": "https://auth.example.com",
        "tokenSelection": {
                "identityTokenOnly": {
                        "clientIds":["1example23456789"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

  2. Ejecute el siguiente comando para crear una fuente de identidad OIDC.

    $ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

  3. (Opcional) Si su almacén de políticas tiene un esquema, antes de poder hacer referencia a los atributos que extrae de los tokens de identidad o acceso en sus políticas de Cedar, debe actualizar su esquema para que Cedar sepa el tipo de principal que crea su fuente de identidad. Esta incorporación al esquema debe incluir los atributos a los que desee hacer referencia en sus políticas de Cedar. Para obtener más información sobre cómo asignar los atributos del token OIDC a los atributos principales de Cedar, consulte. Asignación de tokens OIDC al esquema

  4. Cree políticas que utilicen la información de los tokens para tomar decisiones de autorización. Para obtener más información, consulte Creación de políticas estáticas de Amazon Verified Permissions.

Ahora que ha creado una fuente de identidad, actualizado el esquema y creado políticas, utilice Verified Permissions IsAuthorizedWithToken para tomar decisiones de autorización. Para obtener más información, consulta la guía IsAuthorizedWithTokende referencia de la API de permisos verificados de Amazon.