Fonte de identidade dos grupos de usuários do Amazon Cognito Fonte de identidade do OpenID Connect (OIDC)

Edição de origens de identidade do Amazon Verified Permissions

Você pode editar alguns parâmetros da sua fonte de identidade depois de criá-la. Se o esquema do repositório de políticas corresponder aos atributos da fonte de identidade, observe que você deve atualizar o esquema separadamente para refletir as alterações feitas na fonte de identidade.

Tópicos

Fonte de identidade dos grupos de usuários do Amazon Cognito
Fonte de identidade do OpenID Connect (OIDC)

Fonte de identidade dos grupos de usuários do Amazon Cognito

AWS Management Console

Para atualizar uma origem de identidade de grupos de usuários do Amazon Cognito

Abra o console de Permissões verificadas em https://console.aws.amazon.com/verifiedpermissions/. Escolha seu repositório de políticas.
No painel de navegação à esquerda, escolha Origens de identidade.
Escolha o ID da origem de identidade a ser editada.
Selecione a opção Editar.
Em Detalhes do grupo de usuários do Cognito, selecione Região da AWS e digite o ID do grupo de usuários para sua fonte de identidade.
Em Detalhes do principal, você pode atualizar o tipo de principal para a fonte de identidade. As identidades dos grupos de usuários conectados do Amazon Cognito serão mapeadas para o tipo de entidade principal selecionado.
Em Configuração de grupo, selecione Usar grupo Cognito se quiser mapear a declaração do grupo cognito:groups de usuários. Escolha um tipo de entidade que seja pai do tipo principal.
Em Validação do aplicativo cliente, escolha se deseja validar o aplicativo IDs cliente.
- Para validar o aplicativo clienteIDs, escolha Aceitar somente tokens com o aplicativo IDs cliente correspondente. Escolha Adicionar novo ID de aplicação cliente para cada ID de aplicação cliente a ser validado. Para remover um ID de aplicação cliente adicionado, escolha Remover ao lado do ID de aplicação cliente.
- Escolha Não validar o aplicativo cliente IDs se você não quiser validar o aplicativo cliente. IDs
Escolha Salvar alterações.
Se você alterou o tipo de entidade principal da origem de identidade, deverá atualizar seu esquema para refletir corretamente o tipo de entidade principal atualizado.

Você pode excluir uma origem de identidade escolhendo o botão de opção ao lado de uma origem de identidade e, em seguida, escolhendo Excluir origem de identidade. Digite delete na caixa de texto e escolha Excluir origem de identidade para confirmar a exclusão da origem de identidade.

AWS CLI

Para atualizar uma origem de identidade de grupos de usuários do Amazon Cognito

Você pode atualizar uma fonte de identidade usando a UpdateIdentitySourceoperação. O exemplo a seguir atualiza a origem de identidade especificada para usar um grupo de usuários diferente do Amazon Cognito.

O arquivo config.txt a seguir contém os detalhes do grupo de usuários do Amazon Cognito que será usado pelo parâmetro --configuration no comando create-identity-source.


{
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
        "groupConfiguration": {
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

Comando:


$ aws verifiedpermissions update-identity-source \
    --update-configuration file://config.txt \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

Se você alterar o tipo de entidade principal da origem de identidade, será necessário atualizar o esquema para refletir corretamente o tipo de entidade principal atualizado.

Fonte de identidade do OpenID Connect (OIDC)

AWS Management Console

Para atualizar uma fonte OIDC de identidade

Abra o console de Permissões verificadas em https://console.aws.amazon.com/verifiedpermissions/. Escolha seu repositório de políticas.
No painel de navegação à esquerda, escolha Origens de identidade.
Escolha o ID da origem de identidade a ser editada.
Selecione a opção Editar.
Nos detalhes do OIDC provedor, altere o emissor URL conforme necessário.
Em Mapear declarações de token para atributos de esquema, altere as associações entre declarações de usuário e grupo e os tipos de entidade de armazenamento de políticas, conforme necessário. Depois de alterar os tipos de entidade, você deve atualizar suas políticas e atributos do esquema para aplicar aos novos tipos de entidade.
Na validação de público, adicione ou remova valores de público que você deseja aplicar.
Escolha Salvar alterações.

AWS CLI

Para atualizar uma fonte OIDC de identidade

Você pode atualizar uma fonte de identidade usando a UpdateIdentitySourceoperação. O exemplo a seguir atualiza a fonte de identidade especificada para usar um OIDC provedor diferente.

O arquivo config.txt a seguir contém os detalhes do grupo de usuários do Amazon Cognito que será usado pelo parâmetro --configuration no comando create-identity-source.


{
    "openIdConnectConfiguration": {
        "issuer": "https://auth2.example.com",
        "tokenSelection": {
                "identityTokenOnly": {
                        "clientIds":["2example10111213"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

Comando:


$ aws verifiedpermissions update-identity-source \
    --update-configuration file://config.txt \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

Se você alterar o tipo de entidade principal da origem de identidade, será necessário atualizar o esquema para refletir corretamente o tipo de entidade principal atualizado.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criação de origens de identidade

Mapeamento de tokens para o esquema