Modification des sources d'identité Amazon Verified Permissions - Amazon Verified Permissions
Source d'identité des groupes d'utilisateurs Amazon CognitoSource d'identité OpenID Connect (OIDC)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modification des sources d'identité Amazon Verified Permissions

Vous pouvez modifier certains paramètres de votre source d'identité après l'avoir créée. Si le schéma de votre magasin de politiques correspond aux attributs de votre source d'identité, notez que vous devez mettre à jour votre schéma séparément pour refléter les modifications que vous apportez à votre source d'identité.

Source d'identité des groupes d'utilisateurs Amazon Cognito

AWS Management Console
Pour mettre à jour la source d'identité d'un groupe d'utilisateurs Amazon Cognito

  1. Ouvrez la console des autorisations vérifiées à l'adresse https://console.aws.amazon.com/verifiedpermissions/. Choisissez votre magasin de polices.

  2. Dans le volet de navigation de gauche, choisissez Identity sources.

  3. Choisissez l'ID de la source d'identité à modifier.

  4. Choisissez Modifier.

  5. Dans Détails du groupe d'utilisateurs Cognito, sélectionnez Région AWS et saisissez l'ID du groupe d'utilisateurs pour votre source d'identité.

  6. Dans Détails du principal, vous pouvez mettre à jour le type principal pour la source d'identité. Les identités issues des groupes d'utilisateurs Amazon Cognito connectés seront mappées au type principal sélectionné.

  7. Dans Configuration du groupe, sélectionnez Utiliser le groupe Cognito si vous souhaitez mapper la réclamation du groupe d'utilisateurs. cognito:groups Choisissez un type d'entité parent du type principal.

  8. Dans Validation de l'application client, choisissez si vous souhaitez valider l'application clientIDs.

    • Pour valider l'application clientIDs, sélectionnez Accepter uniquement les jetons avec l'application client correspondante IDs. Choisissez Ajouter un nouvel ID d'application client pour chaque ID d'application client à valider. Pour supprimer un ID d'application client qui a été ajouté, choisissez Supprimer à côté de l'ID d'application client.

    • Choisissez Ne pas valider l'application cliente IDs si vous ne souhaitez pas valider l'application clienteIDs.

  9. Sélectionnez Enregistrer les modifications.

  10. Si vous avez modifié le type principal de la source d'identité, vous devez mettre à jour votre schéma pour qu'il reflète correctement le type principal mis à jour.

Vous pouvez supprimer une source d'identité en cliquant sur le bouton radio à côté d'une source d'identité, puis en choisissant Supprimer la source d'identité. Tapez delete dans la zone de texte, puis choisissez Supprimer la source d'identité pour confirmer la suppression de la source d'identité.

AWS CLI
Pour mettre à jour la source d'identité d'un groupe d'utilisateurs Amazon Cognito

Vous pouvez mettre à jour une source d'identité à l'aide de UpdateIdentitySourcecette opération. L'exemple suivant met à jour la source d'identité spécifiée pour utiliser un autre groupe d'utilisateurs Amazon Cognito.

Le config.txt fichier suivant contient les détails du groupe d'utilisateurs Amazon Cognito à utiliser par le paramètre --configuration dans la commande. create-identity-source

{
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
        "groupConfiguration": {
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

Commande :

$ aws verifiedpermissions update-identity-source \
    --update-configuration file://config.txt \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

Si vous modifiez le type principal de la source d'identité, vous devez mettre à jour votre schéma pour qu'il reflète correctement le type principal mis à jour.

Source d'identité OpenID Connect (OIDC)

AWS Management Console
Pour mettre à jour une source OIDC d'identité

  1. Ouvrez la console des autorisations vérifiées à l'adresse https://console.aws.amazon.com/verifiedpermissions/. Choisissez votre magasin de polices.

  2. Dans le volet de navigation de gauche, choisissez Identity sources.

  3. Choisissez l'ID de la source d'identité à modifier.

  4. Choisissez Modifier.

  5. Dans les informations sur le OIDC fournisseur, modifiez l'émetteur URL selon vos besoins.

  6. Dans Map token claims to schema attributes, modifiez les associations entre les revendications d'utilisateur et de groupe et les types d'entités du policy store, selon les besoins. Après avoir modifié les types d'entités, vous devez mettre à jour vos politiques et les attributs de schéma pour les appliquer aux nouveaux types d'entités.

  7. Dans Validation de l'audience, ajoutez ou supprimez les valeurs d'audience que vous souhaitez appliquer.

  8. Sélectionnez Enregistrer les modifications.

Vous pouvez supprimer une source d'identité en cliquant sur le bouton radio à côté d'une source d'identité, puis en choisissant Supprimer la source d'identité. Tapez delete dans la zone de texte, puis choisissez Supprimer la source d'identité pour confirmer la suppression de la source d'identité.

AWS CLI
Pour mettre à jour une source OIDC d'identité

Vous pouvez mettre à jour une source d'identité à l'aide de UpdateIdentitySourcecette opération. L'exemple suivant met à jour la source d'identité spécifiée pour utiliser un autre OIDC fournisseur.

Le config.txt fichier suivant contient les détails du groupe d'utilisateurs Amazon Cognito à utiliser par le paramètre --configuration dans la commande. create-identity-source

{
    "openIdConnectConfiguration": {
        "issuer": "https://auth2.example.com",
        "tokenSelection": {
                "identityTokenOnly": {
                        "clientIds":["2example10111213"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

Commande :

$ aws verifiedpermissions update-identity-source \
    --update-configuration file://config.txt \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

Si vous modifiez le type principal de la source d'identité, vous devez mettre à jour votre schéma pour qu'il reflète correctement le type principal mis à jour.