编辑 Amazon Verified Permissions 身份来源 - Amazon Verified Permissions
Amazon Cognito 用户池身份来源OpenID Connect (OIDC) 身份来源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

编辑 Amazon Verified Permissions 身份来源

创建身份源后,您可以编辑身份源的某些参数。您无法更改身份源的类型,必须删除身份源并创建一个新的身份源才能从 Amazon Cognito 切换到 Amazon Cognito OIDC 或OIDC切换到 Amazon Cognito。如果您的策略存储架构与您的身份源属性相匹配,则请注意,您必须单独更新架构以反映您对身份源所做的更改。

Amazon Cognito 用户池身份来源

AWS Management Console
要更新 Amazon Cognito 用户群体身份来源,请按以下步骤操作:

  1. 打开已验证权限控制台。选择您的保单商店。

  2. 在左侧的导航窗格中,选择身份来源

  3. 选择要编辑的身份来源的 ID。

  4. 选择编辑

  5. Cognito 用户池详细信息中,选择 AWS 区域 并键入您的身份源的用户池 ID

  6. 委托人详细信息中,您可以更新身份源的委托人类型。连接的 Amazon Cognito 用户群体中的身份将映射到所选的主体类型。

  7. 如果要映射用户池cognito:groups声明,请在 “组配置” 中选择 “使用 Cognito 群组”。选择作为主体类型的父项的实体类型。

  8. 客户端应用程序验证中,选择是否验证客户端应用程序IDs。

    • 要验证客户端应用程序IDs,请选择 “仅接受具有匹配客户端应用程序的令牌” IDs。为每个要验证的客户端应用程序 ID 选择添加新客户端应用程序 ID。要删除已添加的客户端应用程序 ID,请选择该客户端应用程序 ID 旁边的删除

    • IDs如果您不想验证客户端应用程序,请选择不验证客户端应用程序IDs。

  9. 选择 Save changes(保存更改)

  10. 如果您更改了该身份来源的主体类型,则必须更新架构,以正确反映更新后的主体类型。

如要删除身份来源,您可以选择身份来源旁边的单选按钮,然后选择删除身份来源。在文本框中输入 delete,然后选择删除身份来源,确认删除该身份来源。

AWS CLI
要更新 Amazon Cognito 用户群体身份来源,请按以下步骤操作:

您可以使用UpdateIdentitySource操作更新身份源。以下示例更新了指定的身份来源,以使用不同的 Amazon Cognito 用户群体。

以下 config.txt 文件包含 Amazon Cognito 用户群体的详细信息,供 create-identity-source 命令中的 --configuration 参数使用。

{
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
        "groupConfiguration": {
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

命令:

$ aws verifiedpermissions update-identity-source \
    --update-configuration file://config.txt \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

如果要更改该身份来源的主体类型,必须更新架构,以正确反映更新后的主体类型。

OpenID Connect (OIDC) 身份来源

AWS Management Console
更新OIDC身份源

  1. 打开已验证权限控制台。选择您的保单商店。

  2. 在左侧的导航窗格中,选择身份来源

  3. 选择要编辑的身份来源的 ID。

  4. 选择编辑

  5. OIDC提供商详细信息中,根据需要更改发行人URL

  6. 在将令牌声明映射到架构属性中,根据需要更改用户和组声明与策略存储实体类型之间的关联。更改实体类型后,必须更新策略和架构属性以应用于新的实体类型。

  7. 受众验证中,添加或删除要强制执行的受众群体值。

  8. 选择 Save changes(保存更改)

如要删除身份来源,您可以选择身份来源旁边的单选按钮,然后选择删除身份来源。在文本框中输入 delete,然后选择删除身份来源,确认删除该身份来源。

AWS CLI
更新OIDC身份源

您可以使用UpdateIdentitySource操作更新身份源。以下示例将指定的身份源更新为使用其他提供OIDC商。

以下 config.txt 文件包含 Amazon Cognito 用户群体的详细信息,供 create-identity-source 命令中的 --configuration 参数使用。

{
    "openIdConnectConfiguration": {
        "issuer": "https://auth2.example.com",
        "tokenSelection": {
                "identityTokenOnly": {
                        "clientIds":["2example10111213"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

命令:

$ aws verifiedpermissions update-identity-source \
    --update-configuration file://config.txt \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

如果要更改该身份来源的主体类型,必须更新架构,以正确反映更新后的主体类型。