Controlli del provider di identità per provider OIDC condivisi - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli del provider di identità per provider OIDC condivisi

Per i provider di identità OpenID Connect (OIDC) condivisi riconosciuti, IAM richiede una valutazione esplicita di affermazioni specifiche nelle policy di trust dei ruoli. IdPs Queste attestazioni obbligatorie, chiamate controlli del provider di identità, vengono valutate da IAM durante la creazione dei ruoli e gli aggiornamenti delle policy di fiducia. Se la policy di trust dei ruoli non valuta i controlli richiesti dall'IdP OIDC condiviso, la creazione o l'aggiornamento del ruolo non riusciranno. Ciò garantisce che solo le identità autorizzate dell'organizzazione prevista possano assumere ruoli e accedere alle risorse. AWS Questo controllo di sicurezza è fondamentale quando i provider OIDC sono condivisi tra più clienti. AWS

I controlli dei provider di identità non verranno valutati da IAM per le politiche di trust dei ruoli OIDC esistenti. Per qualsiasi modifica alla policy di trust dei ruoli per i ruoli OIDC esistenti, IAM richiederà che i controlli relativi ai provider di identità siano inclusi nella policy di trust dei ruoli.

Tipi di provider OIDC

IAM classifica i provider di identità OIDC in due tipi distinti: privati e condivisi. Un IdP OIDC privato può essere di proprietà e gestito da una singola organizzazione o può essere un tenant di un provider SaaS, con l'URL dell'emittente OIDC che funge da identificatore univoco specifico per tale organizzazione. Al contrario, un IdP OIDC condiviso viene utilizzato in più organizzazioni, dove l'URL dell'emittente OIDC potrebbe essere identico per tutte le organizzazioni che utilizzano quel provider di identità condiviso.

La tabella seguente illustra le principali differenze tra i provider OIDC privati e condivisi:

Caratteristica Provider OIDC privato Provider OIDC condiviso

Emittente

Unico per l'organizzazione

Condiviso tra più organizzazioni

Informazioni sulla locazione

Comunicato tramite un emittente unico

Comunicato tramite reclami in JWT

Requisiti della politica di fiducia

Non è richiesta una valutazione specifica del reclamo

È richiesta la valutazione di affermazioni specifiche

Provider di identità OIDC condivisi con controlli dei provider di identità

Quando crei o modifichi un provider OIDC in IAM, il sistema identifica e valuta automaticamente le attestazioni richieste per i provider OIDC condivisi riconosciuti. Se i controlli del provider di identità non sono configurati nella policy di fiducia dei ruoli, la creazione o l'aggiornamento del ruolo avrà esito negativo e verrà generato un errore. MalformedPolicyDocument

La tabella seguente elenca i provider OIDC condivisi che richiedono i controlli del provider di identità nelle politiche di attendibilità dei ruoli e informazioni aggiuntive per aiutarti a configurare i controlli del provider di identità.

IdP OIDC URL OIDC Richiesta di locazione Reclami richiesti
Amazon Cognito

cognito-identity.amazonaws.com

aud

cognito-identity.amazonaws.com:aud

Azure Sentinel https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d sts:RoleSessionName sts:RoleSessionName
Costruisci kitesurf https://agent.buildkite.com

sub

agent.buildkite.com:sub
SaaS Codefresh https://oidc.codefresh.io sub oidc.codefresh.io:sub
DVC Studio https://studio.datachain.ai/api sub studio.datachain.ai/api:sub
GitHub azioni https://token.actions.githubusercontent.com sub token.actions.githubusercontent.com:sub
GitHub streaming dei registri di controllo https://oidc-configuration.audit-log.githubusercontent.com sub oidc-configuration.audit-log.githubusercontent.com:sub
GitHub vstoken https://vstoken.actions.githubusercontent.com sub vstoken.actions.githubusercontent.com:sub
GitLab https://gitlab.com sub gitlab.com:sub
SaaS IBM Turbonomic*
  • https://rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg

  • https://rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26

  • https://oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb

  • https://oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu

sub
  • rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26:sub

  • oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb:sub

  • oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu:sub

Cloud Pulumi https://api.pulumi.com/oidc aud api.pulumi.com/oidc:aud
sandboxes.cloud https://sandboxes.cloud aud sandboxes.cloud:aud
Scalare https://scalr.io sub scalr.io:sub
Nuvola Shisho https://tokens.cloud.shisho.dev sub tokens.cloud.shisho.dev:sub
Nuvola Terraform https://app.terraform.io sub app.terraform.io:sub
Verso l'alto https://proidc.upbound.io sub proidc.upbound.io:sub
Endpoint globale Vercel https://oidc.vercel.com aud oidc.vercel.com:aud

* IBM Turbonomic aggiorna periodicamente l'URL dell'emittente OIDC con nuove versioni della piattaforma. Se necessario, aggiungeremo altri emittenti Turbonomic OIDC come fornitore condiviso.

Per ogni nuovo OIDC IdPs che IAM identifica come condiviso, i controlli richiesti dai provider di identità per le politiche di fiducia dei ruoli saranno documentati e applicati in modo analogo.

Risorse aggiuntive

Risorse aggiuntive: