翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ID ソースとトークンを使用してアプリケーションを保護する
Amazon Verified Permissions で外部 ID プロバイダー (IdP) を表す ID ソースを作成して、アプリケーションをすばやく保護します。ID ソースは、ポリシーストアと信頼関係を持つ IdP で認証されたユーザーからの情報を提供します。アプリケーションが ID ソースからのトークンを使用して認可リクエストを行うと、ポリシーストアはユーザープロパティとアクセス許可から認可を決定できます。Amazon Cognito ユーザープールまたはカスタム OpenID Connect (OIDC) IdP を ID ソースとして追加できます。
Verified Permissions で OpenID Connect (OIDC)groupsをプリンシパルグループにマッピングし、ロールベースのアクセスコントロール (RBAC) を評価するポリシーを構築できます。
注記
Verified Permissions は、IdP トークンからの情報に基づいて認可の決定を行いますが、IdP と直接やり取りすることはありません。
Amazon Cognito ユーザープールまたは OIDC ID プロバイダーを使用して Amazon API Gateway REST APIs の認可ロジックを構築するstep-by-stepのチュートリアルについては、APIs を承認する」または「 セキュリティブログ」の「独自の ID プロバイダーを持ち込む Amazon Cognito
適切な ID プロバイダーの選択
Verified Permissions はさまざまな IdPs で動作しますが、アプリケーションで使用する IdP を決定するときは、次の点を考慮してください。
- 次の場合、Amazon Cognito を使用します。
-
既存の ID インフラストラクチャなしで新しいアプリケーションを構築している
セキュリティ機能が組み込まれた AWSマネージドユーザープールが必要
ソーシャル ID プロバイダーの統合が必要です
トークン管理を簡素化したい
- OIDC プロバイダーは、次の場合に使用します。
-
既存の ID インフラストラクチャ (Auth0、Okta、Azure AD) がある
一元化されたユーザー管理を維持する必要があります
特定の IdPs のコンプライアンス要件がある
