Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Création de sources d' Amazon Cognito identité Amazon Verified Permissions Création de sources d'identité La procédure suivante ajoute une source d'identité à un magasin de politiques existant. Vous pouvez également créer une source d'identité lorsque vous [créez un nouveau magasin de politiques](policy-stores-create.md) dans la console Verified Permissions. Au cours de ce processus, vous pouvez importer automatiquement les revendications contenues dans vos jetons de source d'identité dans les attributs des entités. Choisissez l'option **Configuration guidée ou Configuration** **avec API Gateway un fournisseur d'identité**. Ces options créent également des politiques initiales. **Note** **Les sources d'identité** ne sont pas disponibles dans le volet de navigation de gauche tant que vous n'avez pas créé un magasin de politiques. Les sources d'identité que vous créez sont associées au magasin de politiques actuel. Vous pouvez omettre le type d'entité principal lorsque vous créez une source d'identité [create-identity-source](https://docs.aws.amazon.com/cli/latest/reference/verifiedpermissions/create-identity-source.html)dans AWS CLI ou [CreateIdentitySource](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_CreateIdentitySource.html)dans l'API Verified Permissions. Toutefois, un type d'entité vide crée une source d'identité avec un type d'entité de`AWS::Cognito`. Ce nom d'entité n'est pas compatible avec le schéma Policy Store. Pour intégrer les Amazon Cognito identités à votre schéma de magasin de politiques, vous devez définir le type d'entité principal sur une entité de magasin de politiques prise en charge. ------ #### [ AWS Management Console ] **Pour créer une source d'identité pour un pool d'utilisateurs Amazon Cognito** 1. Ouvrez la [console des autorisations vérifiées](https://console.aws.amazon.com/verifiedpermissions/). Choisissez votre magasin de polices. 1. Dans le volet de navigation de gauche, choisissez **Identity sources**. 1. Choisissez **Créer une source d'identité**. 1. Dans **Détails du groupe d'utilisateurs Cognito**, sélectionnez Région AWS et entrez l'**ID du groupe d'utilisateurs** pour votre source d'identité. 1. Dans **Configuration principale**, pour **Type principal**, choisissez le type d'entité pour les principaux à partir de cette source. Les identités issues des groupes d'utilisateurs Amazon Cognito connectés seront mappées au type principal sélectionné. 1. Dans **Configuration du groupe**, sélectionnez **Utiliser le groupe Cognito** si vous souhaitez mapper la réclamation du groupe d'utilisateurs. `cognito:groups` Choisissez un type d'entité parent du type principal. 1. Dans **Validation de l'application client**, choisissez si vous souhaitez valider l'application client IDs. + Pour valider l'application client IDs, sélectionnez **Accepter uniquement les jetons avec l'application client correspondante IDs**. Choisissez **Ajouter un nouvel ID d'application client** pour chaque ID d'application client à valider. Pour supprimer un ID d'application client qui a été ajouté, choisissez **Supprimer** à côté de l'ID d'application client. + Choisissez **Ne pas valider l'application cliente IDs** si vous ne souhaitez pas valider l'application cliente IDs. 1. Choisissez **Créer une source d'identité**. 1. (Facultatif) Si votre magasin de politiques possède un schéma, avant de pouvoir référencer les attributs que vous extrayez des jetons d'identité ou d'accès dans vos politiques Cedar, vous devez mettre à jour votre schéma pour informer Cedar du type de principal créé par votre source d'identité. Cet ajout au schéma doit inclure les attributs auxquels vous souhaitez faire référence dans vos politiques Cedar. Pour plus d'informations sur le mappage des attributs des Amazon Cognito jetons aux attributs principaux de Cedar, consultez[Mappage Amazon Cognito des jetons au schéma](cognito-map-token-to-schema.md). **Note** Lorsque vous créez un [magasin de politiques lié à une API](policy-stores-api-userpool.md) ou que vous utilisez **Configurer avec API Gateway un fournisseur d'identité** pour créer des magasins de politiques, Verified Permissions interroge votre groupe d'utilisateurs pour les attributs utilisateur et crée un schéma dans lequel votre type principal est renseigné avec les attributs du groupe d'utilisateurs. 1. Créez des politiques qui utilisent les informations des jetons pour prendre des décisions d'autorisation. Pour de plus amples informations, veuillez consulter [Création de politiques statiques relatives aux autorisations vérifiées par Amazon](policies-create.md). Maintenant que vous avez créé une source d'identité, mis à jour le schéma et créé des politiques, les décisions `IsAuthorizedWithToken` d'autorisation sont prises par Verified Permissions. Pour plus d'informations, consultez le *guide [IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)de référence de l'API Amazon Verified Permissions*. ------ #### [ AWS CLI ] **Pour créer une source d'identité pour un pool d'utilisateurs Amazon Cognito** Vous pouvez créer une source d'identité à l'aide de cette [CreateIdentitySource](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_CreateIdentitySource.html)opération. L'exemple suivant crée une source d'identité qui peut accéder aux identités authentifiées à partir d'un groupe Amazon Cognito d'utilisateurs. 1. Créez un `config.txt` fichier contenant les informations suivantes sur le groupe Amazon Cognito d'utilisateurs à utiliser par le `--configuration` paramètre de la `create-identity-source` commande. ``` { "cognitoUserPoolConfiguration": { "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5", "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"], "groupConfiguration": { "groupEntityType": "MyCorp::UserGroup" } } } ``` 1. Exécutez la commande suivante pour créer une source Amazon Cognito d'identité. ``` $ aws verifiedpermissions create-identity-source \ --configuration file://config.txt \ --principal-entity-type "User" \ --policy-store-id 123456789012 { "createdDate": "2023-05-19T20:30:28.214829+00:00", "identitySourceId": "ISEXAMPLEabcdefg111111", "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00", "policyStoreId": "PSEXAMPLEabcdefg111111" } ``` 1. (Facultatif) Si votre magasin de politiques possède un schéma, avant de pouvoir référencer les attributs que vous extrayez des jetons d'identité ou d'accès dans vos politiques Cedar, vous devez mettre à jour votre schéma pour informer Cedar du type de principal créé par votre source d'identité. Cet ajout au schéma doit inclure les attributs auxquels vous souhaitez faire référence dans vos politiques Cedar. Pour plus d'informations sur le mappage des attributs des Amazon Cognito jetons aux attributs principaux de Cedar, consultez[Mappage Amazon Cognito des jetons au schéma](cognito-map-token-to-schema.md). **Note** Lorsque vous créez un [magasin de politiques lié à une API](policy-stores-api-userpool.md) ou que vous utilisez **Configurer avec API Gateway un fournisseur d'identité** pour créer des magasins de politiques, Verified Permissions interroge votre groupe d'utilisateurs pour les attributs utilisateur et crée un schéma dans lequel votre type principal est renseigné avec les attributs du groupe d'utilisateurs. 1. Créez des politiques qui utilisent les informations des jetons pour prendre des décisions d'autorisation. Pour de plus amples informations, veuillez consulter [Création de politiques statiques relatives aux autorisations vérifiées par Amazon](policies-create.md). Maintenant que vous avez créé une source d'identité, mis à jour le schéma et créé des politiques, les décisions `IsAuthorizedWithToken` d'autorisation sont prises par Verified Permissions. Pour plus d'informations, consultez le *guide [IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)de référence de l'API Amazon Verified Permissions*. ------ Pour plus d'informations sur l'utilisation des jetons d'accès et d'identité Amazon Cognito pour les utilisateurs authentifiés dans Verified Permissions, consultez la section Autorisation [avec Amazon Verified Permissions](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-authorization-with-avp.html) dans le guide du développeur *Amazon* Cognito.