Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Creación de fuentes de identidad OIDC de permisos verificados de Amazon El siguiente procedimiento agrega una fuente de identidad a un almacén de políticas existente. También puede crear una fuente de identidad al [crear un nuevo almacén de políticas](policy-stores-create.md) en la consola de permisos verificados. En este proceso, puede importar automáticamente las notificaciones de los tokens de su fuente de identidad a los atributos de la entidad. Elige la opción **Configuración guiada o Configuración** **con API Gateway un proveedor de identidad**. Estas opciones también crean políticas iniciales. **nota** **Las fuentes de identidad** no están disponibles en el panel de navegación de la izquierda hasta que haya creado un almacén de políticas. Las fuentes de identidad que cree están asociadas al almacén de políticas actual. Puede omitir el tipo de entidad principal al crear una fuente de identidad [create-identity-source](https://docs.aws.amazon.com/cli/latest/reference/verifiedpermissions/create-identity-source.html)en la API de permisos verificados AWS CLI o [CreateIdentitySource](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_CreateIdentitySource.html)en ella. Sin embargo, un tipo de entidad en blanco crea una fuente de identidad con un tipo de entidad de`AWS::Cognito`. El nombre de esta entidad no es compatible con el esquema del almacén de políticas. Para integrar Amazon Cognito las identidades en el esquema del almacén de políticas, debe establecer el tipo de entidad principal en una entidad de almacén de políticas compatible. ------ #### [ Consola de administración de AWS ] **Para crear una fuente de identidad de OpenID Connect (OIDC)** 1. Abra la consola de permisos [verificados](https://console.aws.amazon.com/verifiedpermissions/). Elige tu almacén de políticas. 1. En el panel de navegación de la izquierda, elija **Fuentes de identidad**. 1. Seleccione **Crear fuente de identidad**. 1. Elija un **proveedor de OIDC externo**. 1. En **URL del emisor, introduzca la URL** de su emisor de OIDC. Este es el punto final del servicio que proporciona, por ejemplo, el servidor de autorización, las claves de firma y otra información sobre su proveedor. `https://auth.example.com` La URL del emisor debe alojar un documento de detección del OIDC en. `/.well-known/openid-configuration` 1. En **Tipo de token**, elija el tipo de OIDC JWT que desea que envíe su solicitud de autorización. Para obtener más información, consulte [Asignación de tokens OIDC al esquema](oidc-map-token-to-schema.md). 1. En **Map, las reclamaciones de token para esquematizar entidades**, elija una **entidad de usuario** y una **afirmación de usuario** como fuente de identidad. La **entidad de usuario** es una entidad de su almacén de políticas a la que quiere hacer referencia a los usuarios de su proveedor de OIDC. La **afirmación de usuario** proviene, por lo general`sub`, de su ID o token de acceso que contiene el identificador único de la entidad que se va a evaluar. Las identidades del IdP OIDC conectado se asignarán al tipo principal seleccionado. 1. (Opcional) En **las notificaciones de token de mapa para esquematizar entidades**, elija una **entidad de grupo** y una **afirmación de grupo como fuente** de identidad. La **entidad del grupo** es la [matriz](https://docs.cedarpolicy.com/overview/terminology.html#term-group) de la **entidad del usuario**. Las reclamaciones grupales se asignan a esta entidad. La **afirmación de grupo** proviene, normalmente`groups`, de su ID o token de acceso y contiene una cadena, un JSON o una cadena delimitada por espacios de nombres de grupos de usuarios para la entidad que se va a evaluar. Las identidades del IdP OIDC conectado se asignarán al tipo principal seleccionado. 1. En la **validación (opcional)**, introduzca el cliente IDs o público URLs que desee que su almacén de políticas acepte en las solicitudes de autorización, si las hubiera. 1. Seleccione **Crear fuente de identidad**. 1. (Opcional) Si su almacén de políticas tiene un esquema, antes de poder hacer referencia a los atributos que extrae de los tokens de identidad o acceso en sus políticas de Cedar, debe actualizar el esquema para que Cedar conozca el tipo de principal que crea su fuente de identidad. Esta incorporación al esquema debe incluir los atributos a los que desee hacer referencia en sus políticas de Cedar. Para obtener más información sobre cómo asignar los atributos del token OIDC a los atributos principales de Cedar, consulte. [Asignación de tokens OIDC al esquema](oidc-map-token-to-schema.md) 1. Cree políticas que utilicen la información de los tokens para tomar decisiones de autorización. Para obtener más información, consulte [Creación de políticas estáticas de Amazon Verified Permissions](policies-create.md). Ahora que ha creado una fuente de identidad, actualizado el esquema y creado políticas, utilice Verified Permissions `IsAuthorizedWithToken` para tomar decisiones de autorización. Para obtener más información, consulta la *guía [IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)de referencia de la API de permisos verificados de Amazon*. ------ #### [ AWS CLI ] **Para crear una fuente de identidad OIDC** Puede crear una fuente de identidad mediante la [CreateIdentitySource](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_CreateIdentitySource.html)operación. El siguiente ejemplo crea una fuente de identidad que puede acceder a las identidades autenticadas desde un proveedor de identidades (IdP) del OIDC. 1. Cree un `config.txt` archivo que contenga los siguientes detalles de un IdP OIDC para que lo utilice el `--configuration` parámetro del comando. `create-identity-source` ``` { "openIdConnectConfiguration": { "issuer": "https://auth.example.com", "tokenSelection": { "identityTokenOnly": { "clientIds":["1example23456789"], "principalIdClaim": "sub" }, }, "entityIdPrefix": "MyOIDCProvider", "groupConfiguration": { "groupClaim": "groups", "groupEntityType": "MyCorp::UserGroup" } } } ``` 1. Ejecute el siguiente comando para crear una fuente de identidad OIDC. ``` $ aws verifiedpermissions create-identity-source \ --configuration file://config.txt \ --principal-entity-type "User" \ --policy-store-id 123456789012 { "createdDate": "2023-05-19T20:30:28.214829+00:00", "identitySourceId": "ISEXAMPLEabcdefg111111", "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00", "policyStoreId": "PSEXAMPLEabcdefg111111" } ``` 1. (Opcional) Si su almacén de políticas tiene un esquema, antes de poder hacer referencia a los atributos que extrae de los tokens de identidad o acceso en sus políticas de Cedar, debe actualizar su esquema para que Cedar sepa el tipo de principal que crea su fuente de identidad. Esta incorporación al esquema debe incluir los atributos a los que desee hacer referencia en sus políticas de Cedar. Para obtener más información sobre cómo asignar los atributos del token OIDC a los atributos principales de Cedar, consulte. [Asignación de tokens OIDC al esquema](oidc-map-token-to-schema.md) 1. Cree políticas que utilicen la información de los tokens para tomar decisiones de autorización. Para obtener más información, consulte [Creación de políticas estáticas de Amazon Verified Permissions](policies-create.md). Ahora que ha creado una fuente de identidad, actualizado el esquema y creado políticas, utilice Verified Permissions `IsAuthorizedWithToken` para tomar decisiones de autorización. Para obtener más información, consulta la *guía [IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)de referencia de la API de permisos verificados de Amazon*. ------