As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Criação de fontes de identidade OIDC do Amazon Verified Permissions O procedimento a seguir adiciona uma fonte de identidade a um repositório de políticas existente. Você também pode criar uma fonte de identidade ao [criar um novo repositório de políticas](policy-stores-create.md) no console de Permissões Verificadas. Nesse processo, você pode importar automaticamente as declarações em seus tokens de origem de identidade para os atributos da entidade. Escolha a opção **Configuração guiada** ou ** API Gateway Configurar com um provedor de identidade**. Essas opções também criam políticas iniciais. **nota** As **origens de identidade** só estarão disponíveis no painel de navegação à esquerda depois que você criar um armazenamento de políticas. As origens de identidade criadas por você são associadas ao armazenamento de políticas atual. Você pode omitir o tipo de entidade principal ao criar uma fonte de identidade [create-identity-source](https://docs.aws.amazon.com/cli/latest/reference/verifiedpermissions/create-identity-source.html)na API de permissões verificadas AWS CLI ou [CreateIdentitySource](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_CreateIdentitySource.html)na API de permissões verificadas. No entanto, um tipo de entidade em branco cria uma fonte de identidade com um tipo de entidade de`AWS::Cognito`. Esse nome de entidade não é compatível com o esquema do repositório de políticas. Para integrar Amazon Cognito identidades com seu esquema de armazenamento de políticas, você deve definir o tipo de entidade principal como uma entidade de armazenamento de políticas compatível. ------ #### [ Console de gerenciamento da AWS ] **Para criar uma fonte de identidade do OpenID Connect (OIDC)** 1. Abra o [console de Permissões verificadas](https://console.aws.amazon.com/verifiedpermissions/). Escolha seu repositório de políticas. 1. No painel de navegação à esquerda, escolha **Origens de identidade**. 1. Escolha **Criar origem de identidade**. 1. Escolha provedor **OIDC externo**. 1. Em **URL do emissor**, insira a URL do emissor do OIDC. Esse é o endpoint do serviço que fornece o servidor de autorização, as chaves de assinatura e outras informações sobre seu provedor, por exemplo`https://auth.example.com`. Seu URL de emissor deve hospedar um documento de descoberta do OIDC em. `/.well-known/openid-configuration` 1. Em **Tipo de token**, escolha o tipo de OIDC JWT que você deseja que seu aplicativo envie para autorização. Para obter mais informações, consulte [Mapeando tokens OIDC para o esquema](oidc-map-token-to-schema.md). 1. Em **Mapear reivindicações de token para entidades do esquema**, escolha uma **entidade de usuário** e uma **declaração de usuário** para a fonte de identidade. A **entidade Usuário** é uma entidade em seu repositório de políticas que você deseja indicar aos usuários do seu provedor OIDC. A **reivindicação do usuário** é uma reivindicação`sub`, normalmente, de seu ID ou token de acesso que contém o identificador exclusivo da entidade a ser avaliada. As identidades do IdP OIDC conectado serão mapeadas para o tipo principal selecionado. 1. (Opcional) Em **Mapear declarações de token para entidades do esquema**, escolha uma **entidade de grupo** e uma **declaração de grupo** para a fonte de identidade. A **entidade do Grupo** é [mãe](https://docs.cedarpolicy.com/overview/terminology.html#term-group) da **entidade Usuário**. As reivindicações de grupo são mapeadas para essa entidade. A **declaração de grupo** é uma afirmação, normalmente`groups`, de seu ID ou token de acesso que contém uma string, JSON ou string delimitada por espaço de nomes de grupos de usuários para a entidade a ser avaliada. As identidades do IdP OIDC conectado serão mapeadas para o tipo principal selecionado. 1. Em **validação - opcional**, insira o cliente IDs ou público URLs que você deseja que seu repositório de políticas aceite nas solicitações de autorização, se houver. 1. Escolha **Criar origem de identidade**. 1. (Opcional) Se seu repositório de políticas tiver um esquema, antes de fazer referência aos atributos que você extrai dos tokens de identidade ou acesso em suas políticas do Cedar, você deverá atualizar seu esquema para que o Cedar conheça o tipo de principal que sua fonte de identidade cria. Essa adição ao esquema deve incluir os atributos que você deseja referenciar nas políticas do Cedar. Para obter mais informações sobre o mapeamento dos atributos do token OIDC para os atributos principais do Cedar, consulte. [Mapeando tokens OIDC para o esquema](oidc-map-token-to-schema.md) 1. Crie políticas que usem informações dos tokens para tomar decisões de autorização. Para obter mais informações, consulte [Criação de políticas estáticas do Amazon Verified Permissions](policies-create.md). Agora que você criou uma fonte de identidade, atualizou o esquema e criou políticas, use `IsAuthorizedWithToken` para que as Permissões Verificadas tomem decisões de autorização. Para obter mais informações, consulte [IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)o *guia de referência da Amazon Verified Permissions API*. ------ #### [ AWS CLI ] **Para criar uma fonte de identidade OIDC** Você pode criar uma fonte de identidade usando a [CreateIdentitySource](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_CreateIdentitySource.html)operação. O exemplo a seguir cria uma fonte de identidade que pode acessar identidades autenticadas de um provedor de identidade OIDC (IdP). 1. Crie um `config.txt` arquivo que contenha os seguintes detalhes de um IdP do OIDC para uso pelo `--configuration` parâmetro do comando. `create-identity-source` ``` { "openIdConnectConfiguration": { "issuer": "https://auth.example.com", "tokenSelection": { "identityTokenOnly": { "clientIds":["1example23456789"], "principalIdClaim": "sub" }, }, "entityIdPrefix": "MyOIDCProvider", "groupConfiguration": { "groupClaim": "groups", "groupEntityType": "MyCorp::UserGroup" } } } ``` 1. Execute o comando a seguir para criar uma fonte de identidade OIDC. ``` $ aws verifiedpermissions create-identity-source \ --configuration file://config.txt \ --principal-entity-type "User" \ --policy-store-id 123456789012 { "createdDate": "2023-05-19T20:30:28.214829+00:00", "identitySourceId": "ISEXAMPLEabcdefg111111", "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00", "policyStoreId": "PSEXAMPLEabcdefg111111" } ``` 1. (Opcional) Se seu repositório de políticas tiver um esquema, antes de fazer referência aos atributos que você extrai dos tokens de identidade ou acesso em suas políticas do Cedar, você deverá atualizar seu esquema para que o Cedar conheça o tipo de principal que sua fonte de identidade cria. Essa adição ao esquema deve incluir os atributos que você deseja referenciar nas políticas do Cedar. Para obter mais informações sobre o mapeamento dos atributos do token OIDC para os atributos principais do Cedar, consulte. [Mapeando tokens OIDC para o esquema](oidc-map-token-to-schema.md) 1. Crie políticas que usem informações dos tokens para tomar decisões de autorização. Para obter mais informações, consulte [Criação de políticas estáticas do Amazon Verified Permissions](policies-create.md). Agora que você criou uma fonte de identidade, atualizou o esquema e criou políticas, use `IsAuthorizedWithToken` para que as Permissões Verificadas tomem decisões de autorização. Para obter mais informações, consulte [IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)o *guia de referência da Amazon Verified Permissions API*. ------