Criação de origens de identidade do Amazon Verified Permissions - Amazon Verified Permissions
Fonte de identidade do Amazon CognitoFonte de identidade OIDC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de origens de identidade do Amazon Verified Permissions

O procedimento a seguir adiciona uma fonte de identidade a um repositório de políticas existente. Depois de adicionar sua fonte de identidade, você deve adicionar atributos ao seu esquema.

Você também pode criar uma fonte de identidade ao criar um novo repositório de políticas no console de Permissões Verificadas. Nesse processo, você pode importar automaticamente as declarações em seus tokens de origem de identidade para os atributos da entidade. Escolha a configuração guiada ou a opção Configurar com o API Gateway e um provedor de identidade. Essas opções também criam políticas iniciais.

nota

As origens de identidade só estarão disponíveis no painel de navegação à esquerda depois que você criar um armazenamento de políticas. As origens de identidade criadas por você são associadas ao armazenamento de políticas atual.

Você pode omitir o tipo de entidade principal ao criar uma fonte de identidade com create-identity-source na AWS CLI ou Source na API de permissões CreateIdentityverificadas. No entanto, um tipo de entidade em branco cria uma fonte de identidade com um tipo de entidade deAWS::Cognito. Esse nome de entidade não é compatível com o esquema do repositório de políticas. Para integrar as identidades do Amazon Cognito com seu esquema de armazenamento de políticas, você deve definir o tipo de entidade principal como uma entidade de armazenamento de políticas compatível.

Fonte de identidade do Amazon Cognito

AWS Management Console
Para criar uma origem de identidade de grupos de usuários do Amazon Cognito

  1. Abra o console do Verified Permissions em https://console.aws.amazon.com/verifiedpermissions/. Escolha seu repositório de políticas.

  2. No painel de navegação à esquerda, escolha Origens de identidade.

  3. Escolha Criar origem de identidade.

  4. Em Detalhes do grupo de usuários do Cognito, selecione Região da AWS e insira o ID do grupo de usuários para sua fonte de identidade.

  5. Em Configuração principal, escolha um tipo principal para a fonte de identidade. As identidades dos grupos de usuários conectados do Amazon Cognito serão mapeadas para o tipo de entidade principal selecionado.

  6. Em Configuração de grupo, selecione Usar grupo Cognito se quiser mapear a declaração do grupo cognito:groups de usuários. Escolha um tipo de entidade que seja pai do tipo principal.

  7. Em Validação do aplicativo cliente, escolha se deseja validar as IDs do aplicativo cliente.

    • Para validar IDs de aplicação cliente, escolha Aceitar somente tokens com IDs de aplicação cliente correspondentes. Escolha Adicionar novo ID de aplicação cliente para cada ID de aplicação cliente a ser validado. Para remover um ID de aplicação cliente adicionado, escolha Remover ao lado do ID de aplicação cliente.

    • Escolha Não valide os IDs da aplicação cliente se você não quiser validar IDs de aplicação cliente.

  8. Escolha Criar origem de identidade.

  9. Antes de fazer referência aos atributos extraídos dos tokens de identidade ou acesso nas políticas do Cedar, você deve atualizar o esquema para informar o Cedar sobre o tipo de entidade principal criado por sua origem de identidade. Essa adição ao esquema deve incluir os atributos que você deseja referenciar nas políticas do Cedar. Para obter mais informações sobre o mapeamento dos atributos de token do Amazon Cognito para os atributos de entidade principal do Cedar, consulte Trabalhando com fontes de identidade em esquemas e políticas.

    Quando você cria um repositório de políticas vinculado à API, o Verified Permissions consulta seu grupo de usuários em busca de atributos de usuário e cria um esquema em que seu tipo principal é preenchido com atributos do grupo de usuários.

AWS CLI
Para criar uma origem de identidade de grupos de usuários do Amazon Cognito

Você pode criar uma fonte de identidade usando a operação CreateIdentityFonte. O exemplo a seguir cria uma origem de identidade que pode acessar identidades autenticadas de um grupo de usuários do Amazon Cognito.

O arquivo config.txt a seguir contém os detalhes do grupo de usuários do Amazon Cognito que será usado pelo parâmetro --configuration no comando create-identity-source.

{
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
        "groupConfiguration": {
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

Comando:

$ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

Antes de fazer referência aos atributos extraídos dos tokens de identidade ou acesso nas políticas do Cedar, você deve atualizar o esquema para informar o Cedar sobre o tipo de entidade principal criado por sua origem de identidade. Essa adição ao esquema deve incluir os atributos que você deseja referenciar nas políticas do Cedar. Para obter mais informações sobre o mapeamento dos atributos de token do Amazon Cognito para os atributos de entidade principal do Cedar, consulte Trabalhando com fontes de identidade em esquemas e políticas.

Quando você cria um repositório de políticas vinculado à API, o Verified Permissions consulta seu grupo de usuários em busca de atributos de usuário e cria um esquema em que seu tipo principal é preenchido com atributos do grupo de usuários.

Para obter mais informações sobre o uso de tokens de acesso e identidade do Amazon Cognito para usuários autenticados no Verified Permissions, consulte Autorização com o Amazon Verified Permissions no Guia do desenvolvedor do Amazon Cognito.

Fonte de identidade OIDC

AWS Management Console
Para criar uma fonte de identidade do OpenID Connect (OIDC)

  1. Abra o console do Verified Permissions em https://console.aws.amazon.com/verifiedpermissions/. Escolha seu repositório de políticas.

  2. No painel de navegação à esquerda, escolha Origens de identidade.

  3. Escolha Criar origem de identidade.

  4. Escolha o provedor externo do OIDC.

  5. Em URL do emissor, insira a URL do seu emissor do OIDC. Esse é o endpoint do serviço que fornece o servidor de autorização, as chaves de assinatura e outras informações sobre seu provedor, por exemplohttps://auth.example.com. Seu URL de emissor deve hospedar um documento de descoberta do OIDC em. /.well-known/openid-configuration

  6. Em Tipo de token, escolha o tipo de OIDC JWT que você deseja que seu aplicativo envie para autorização. Para ter mais informações, consulte Trabalhando com fontes de identidade em esquemas e políticas.

  7. Em Declarações de usuário e grupo, escolha uma entidade de usuário e uma reivindicação de usuário para a fonte de identidade. A entidade Usuário é uma entidade em seu repositório de políticas que você deseja indicar aos usuários do seu provedor OIDC. A reivindicação do usuário é uma reivindicaçãosub, normalmente, de seu ID ou token de acesso que contém o identificador exclusivo da entidade a ser avaliada. As identidades do IdP OIDC conectado serão mapeadas para o tipo principal selecionado.

  8. Em Declarações de usuário e grupo, escolha uma entidade de grupo e uma afirmação de grupo para a fonte de identidade. A entidade do Grupo é controladora da entidade Usuário. As reivindicações de grupo são mapeadas para essa entidade. A declaração de grupo é uma afirmação, normalmentegroups, de seu ID ou token de acesso que contém uma string, JSON ou string delimitada por espaço de nomes de grupos de usuários para a entidade a ser avaliada. As identidades do IdP OIDC conectado serão mapeadas para o tipo principal selecionado.

  9. Em Validação de público, insira os IDs do cliente ou os URLs do público que você deseja que seu repositório de políticas aceite nas solicitações de autorização, se houver.

  10. Escolha Criar origem de identidade.

  11. Atualize seu esquema para que o Cedar conheça o tipo de principal que sua fonte de identidade cria. Essa adição ao esquema deve incluir os atributos que você deseja referenciar nas políticas do Cedar. Para obter mais informações sobre o mapeamento dos atributos de token do Amazon Cognito para os atributos de entidade principal do Cedar, consulte Trabalhando com fontes de identidade em esquemas e políticas.

    Quando você cria um repositório de políticas vinculado à API, o Verified Permissions consulta seu grupo de usuários em busca de atributos de usuário e cria um esquema em que seu tipo principal é preenchido com atributos do grupo de usuários.

AWS CLI
Para criar uma fonte de identidade OIDC

Você pode criar uma fonte de identidade usando a operação CreateIdentityFonte. O exemplo a seguir cria uma origem de identidade que pode acessar identidades autenticadas de um grupo de usuários do Amazon Cognito.

O config.txt arquivo a seguir contém os detalhes de um IdP do OIDC para uso pelo --configuration parâmetro do comando. create-identity-source Este exemplo cria uma fonte de identidade OIDC para tokens de ID.

{
    "openIdConnectConfiguration": {
        "issuer": "https://auth.example.com",
        "tokenSelection": {
                "identityTokenOnly": {
                        "clientIds":["1example23456789"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

O config.txt arquivo a seguir contém os detalhes de um IdP do OIDC para uso pelo --configuration parâmetro do comando. create-identity-source Este exemplo cria uma fonte de identidade OIDC para tokens de acesso.

{
    "openIdConnectConfiguration": {
        "issuer": "https://auth.example.com",
        "tokenSelection": {
                "accessTokenOnly": {
                        "audiences":["https://auth.example.com"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

Comando:

$ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

Antes de fazer referência aos atributos extraídos dos tokens de identidade ou acesso nas políticas do Cedar, você deve atualizar o esquema para informar o Cedar sobre o tipo de entidade principal criado por sua origem de identidade. Essa adição ao esquema deve incluir os atributos que você deseja referenciar nas políticas do Cedar. Para obter mais informações sobre o mapeamento dos atributos de token do Amazon Cognito para os atributos de entidade principal do Cedar, consulte Trabalhando com fontes de identidade em esquemas e políticas.

Quando você cria um repositório de políticas vinculado à API, o Verified Permissions consulta seu grupo de usuários em busca de atributos de usuário e cria um esquema em que seu tipo principal é preenchido com atributos do grupo de usuários.