本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建 Amazon 已验证权限 OIDC 身份源 以下过程将身份源添加到现有策略存储中。 在已验证权限控制台中[创建新的策略存储](policy-stores-create.md)时,您也可以创建身份源。在此过程中,您可以自动将身份源令牌中的声明导入实体属性中。选择 “引**导式设置”** 或 “**设置方式” API Gateway 和 “身份提供商**” 选项。这些选项还会创建初始策略。 **注意** 在您创建策略存储之前,左侧的导航窗格中不会显示**身份来源**。您创建的身份来源与当前的策略存储相关联。 使用 Amazon CLI 或[CreateIdentitySource](https://docs.amazonaws.cn/verifiedpermissions/latest/apireference/API_CreateIdentitySource.html)在已验证权限 API [create-identity-source](https://docs.amazonaws.cn/cli/latest/reference/verifiedpermissions/create-identity-source.html)中创建身份源时,可以省略委托人实体类型。但是,空白实体类型会创建实体类型为的身份源`Amazon::Cognito`。此实体名称与策略存储架构不兼容。要将 Amazon Cognito 身份与策略存储架构集成,必须将委托人实体类型设置为支持的策略存储实体。 ------ #### [ Amazon Web Services 管理控制台 ] **创建 OpenID Connect (OIDC) 身份源** 1. 打开已[验证权限控制台](https://console.amazonaws.cn/verifiedpermissions/)。选择您的保单商店。 1. 在左侧的导航窗格中,选择**身份来源**。 1. 选择**创建身份来源**。 1. 选择**外部 OIDC** 提供商。 1. 在**发卡机构 URL 中,输入您的 OIDC 发行**人的 URL。例如,这是提供授权服务器、签名密钥以及有关您的提供商的其他信息的服务端点`https://auth.example.com`。您的发卡机构 URL 必须托管 OIDC 发现文档,网址为。`/.well-known/openid-configuration` 1. 在**令牌类型**中,选择您希望您的应用程序提交以进行授权的 OIDC JWT 类型。有关更多信息,请参阅 [将 OIDC 令牌映射到架构](oidc-map-token-to-schema.md)。 1. 在将**令牌声明映射到架构实体**中,为身份源选择**用户实体****和用户声明**。**用户实体**是您的策略存储中的一个实体,您想要引用来自 OIDC 提供商的用户。**用户声明**通常`sub`是来自您的身份证或访问令牌的索赔,该令牌包含待评估实体的唯一标识符。来自连接的 OIDC IdP 的身份将映射到选定的主体类型。 1. (可选)在 “将**令牌声明映射到架构实**体” 中,为身份源选择**群**组实体**和群组声明**。**组实体**是**用户实体的[父](https://docs.cedarpolicy.com/overview/terminology.html#term-group)实体**。团体索赔将映射到该实体。**群组声明**通常是来自您的 ID 或访问令牌的声明`groups`,其中包含要评估的实体的字符串、JSON 或以空格分隔的用户组名称字符串。来自连接的 OIDC IdP 的身份将映射到选定的主体类型。 1. 在 “**验证-可选**” 中,输入您 URLs 希望您的策略商店在授权请求中接受的客户 IDs 或受众(如果有)。 1. 选择**创建身份来源**。 1. (可选)如果您的策略存储具有架构,则必须先更新架构,让 Cedar 知道您的身份源创建的主体类型,然后才能引用从 Cedar 策略中的身份或访问令牌中提取的属性。架构中的新增内容必须包含您要在 Cedar 策略中引用的属性。有关将 OIDC 代币属性映射到 Cedar 主体属性的更多信息,请参阅。[将 OIDC 令牌映射到架构](oidc-map-token-to-schema.md) 1. 创建使用令牌中的信息做出授权决策的策略。有关更多信息,请参阅 [创建 Amazon Verified Permissions 静态策略](policies-create.md)。 现在,您已经创建了身份源、更新了架构并创建了策略,请使用已验证的权限`IsAuthorizedWithToken`来做出授权决定。有关更多信息,请参阅 [IsAuthorizedWithToken](https://docs.amazonaws.cn/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)*Amazon 已验证权限 API 参考指南*。 ------ #### [ Amazon CLI ] **创建 OIDC 身份源** 您可以使用[CreateIdentitySource](https://docs.amazonaws.cn/verifiedpermissions/latest/apireference/API_CreateIdentitySource.html)操作创建身份源。以下示例创建了可以从 OIDC 身份提供商 (IdP) 访问经过身份验证的身份的身份源。 1. 创建一个包含 OIDC IdP 以下详细信息的`config.txt`文件,供命令的`--configuration`参数使用。`create-identity-source` ``` { "openIdConnectConfiguration": { "issuer": "https://auth.example.com", "tokenSelection": { "identityTokenOnly": { "clientIds":["1example23456789"], "principalIdClaim": "sub" }, }, "entityIdPrefix": "MyOIDCProvider", "groupConfiguration": { "groupClaim": "groups", "groupEntityType": "MyCorp::UserGroup" } } } ``` 1. 运行以下命令创建 OIDC 身份源。 ``` $ aws verifiedpermissions create-identity-source \ --configuration file://config.txt \ --principal-entity-type "User" \ --policy-store-id 123456789012 { "createdDate": "2023-05-19T20:30:28.214829+00:00", "identitySourceId": "ISEXAMPLEabcdefg111111", "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00", "policyStoreId": "PSEXAMPLEabcdefg111111" } ``` 1. (可选)如果您的策略存储具有架构,则必须先更新架构,让 Cedar 知道您的身份源创建的主体类型,然后才能引用从 Cedar 策略中的身份或访问令牌中提取的属性。架构中的新增内容必须包含您要在 Cedar 策略中引用的属性。有关将 OIDC 代币属性映射到 Cedar 主体属性的更多信息,请参阅。[将 OIDC 令牌映射到架构](oidc-map-token-to-schema.md) 1. 创建使用令牌中的信息做出授权决策的策略。有关更多信息,请参阅 [创建 Amazon Verified Permissions 静态策略](policies-create.md)。 现在,您已经创建了身份源、更新了架构并创建了策略,请使用已验证的权限`IsAuthorizedWithToken`来做出授权决定。有关更多信息,请参阅 [IsAuthorizedWithToken](https://docs.amazonaws.cn/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)*Amazon 已验证权限 API 参考指南*。 ------