Identitätsanbieter-Kontrollen für gemeinsame OIDC-Anbieter - AWS Identity and Access Management
OIDC-AnbietertypenGemeinsam genutzte OIDC-Identitätsanbieter mit Identitätsanbieter-KontrollenWeitere Ressourcen

Identitätsanbieter-Kontrollen für gemeinsame OIDC-Anbieter

Für anerkannte gemeinsame OpenID Connect (OIDC)-Identitätsanbieter (IDPs) erfordert IAM eine explizite Bewertung spezifischer Ansprüche in Rollenvertrauensrichtlinien. Diese erforderlichen Ansprüche, die als Identitätsanbieter-Kontrollen bezeichnet werden, werden von IAM während der Rollenerstellung und der Aktualisierung von Vertrauensrichtlinien bewertet. Wenn die Rollenvertrauensrichtlinie die vom gemeinsam genutzten OIDC-IDP geforderten Kontrollen nicht bewertet, schlägt die Erstellung oder Aktualisierung der Rolle fehl. Dadurch wird sichergestellt, dass nur autorisierte Identitäten aus der vorgesehenen Organisation Rollen übernehmen und auf AWS-Ressourcen zugreifen können. Diese Sicherheitskontrolle ist entscheidend, wenn OIDC-Anbieter von mehreren AWS-Kunden gemeinsam genutzt werden.

Identitätsanbieter-Kontrollen werden von IAM nicht für bestehende OIDC-Rollenvertrauensrichtlinien bewertet. Bei Änderungen an der Rollenvertrauensrichtlinie für bestehende OIDC-Rollen verlangt IAM, dass Identitätsanbieter-Kontrollen in die Rollenvertrauensrichtlinie aufgenommen werden.

OIDC-Anbietertypen

IAM unterteilt OIDC-Identitätsanbieter in zwei verschiedene Typen: private und gemeinsam genutzte. Ein privater OIDC-IDP kann sich im Besitz einer einzelnen Organisation befinden und von dieser verwaltet werden oder ein Mandant eines SaaS-Anbieters sein, wobei seine OIDC-Aussteller-URL als eindeutiger Bezeichner für diese Organisation dient. Im Gegensatz dazu wird ein gemeinsam genutzter OIDC-IDP von mehreren Organisationen genutzt, wobei die OIDC-Aussteller-URL für alle Organisationen, die diesen Identitätsanbieter nutzen, identisch sein kann.

Die folgende Tabelle zeigt die wichtigsten Unterschiede zwischen privaten und gemeinsam genutzten OIDC-Anbietern auf:

Merkmal Privater OIDC-Anbieter Gemeinsam genutzter OIDC-Anbieter

Aussteller

Einzigartig für die Organisation

Von mehreren Organisationen gemeinsam genutzt

Tenancy-Informationen

Übermittelt durch einen einzigartigen Aussteller

Übermittelt durch Ansprüche in JWT

Vertrauensrichtlinienanforderungen

Keine spezifische Anspruchsbewertung erforderlich

Bewertung spezifischer Ansprüche erforderlich

Gemeinsam genutzte OIDC-Identitätsanbieter mit Identitätsanbieter-Kontrollen

Wenn Sie einen OIDC-Anbieter in IAM erstellen oder ändern, identifiziert und bewertet das System automatisch die erforderlichen Ansprüche für anerkannte gemeinsame OIDC-Anbieter. Wenn Identitätsanbieter-Kontrollen nicht in der Rollenvertrauensrichtlinie konfiguriert sind, schlägt die Erstellung oder Aktualisierung der Rolle mit einem MalformedPolicyDocument-Fehler fehl.

Die folgende Tabelle enthält eine Liste der gemeinsam genutzten OIDC-Anbieter, die Identitätsanbieter-Kontrollen in Rollenzuständigkeitsrichtlinien erfordern, sowie zusätzliche Informationen, die Ihnen bei der Konfiguration von Identitätsanbieter-Kontrollen helfen.

OIDC-IdP OIDC-URL Tenancy-Anspruch Erforderliche Ansprüche
Amazon Cognito

cognito-identity.amazonaws.com

 aud

cognito-identity.amazonaws.com:aud
Azure Sentinel https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d sts:RoleSessionName sts:RoleSessionName
Buildkite https://agent.buildkite.com

sub

 agent.buildkite.com:sub
Codefresh SaaS https://oidc.codefresh.io sub oidc.codefresh.io:sub
DVC Studio https://studio.datachain.ai/api sub studio.datachain.ai/api:sub
GitHub-Aktionen https://token.actions.githubusercontent.com sub token.actions.githubusercontent.com:sub
GitHub-Audit-Protokollstreaming https://oidc-configuration.audit-log.githubusercontent.com sub oidc-configuration.audit-log.githubusercontent.com:sub
GitHub-vstoken https://vstoken.actions.githubusercontent.com sub vstoken.actions.githubusercontent.com:sub
GitLab https://gitlab.com sub gitlab.com:sub
IBM Turbonomic SaaS*

  • https://rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg

  • https://rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26

  • https://oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb

  • https://oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu

 sub

  • rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26:sub

  • oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb:sub

  • oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu:sub
Pulumi Cloud https://api.pulumi.com/oidc aud api.pulumi.com/oidc:aud
sandboxes.cloud https://sandboxes.cloud aud sandboxes.cloud:aud
Scalr https://scalr.io sub scalr.io:sub
Shisho Cloud https://tokens.cloud.shisho.dev sub tokens.cloud.shisho.dev:sub
Terraform Cloud https://app.terraform.io sub app.terraform.io:sub
Upbound https://proidc.upbound.io sub proidc.upbound.io:sub
Globaler Vercel-Endpunkt https://oidc.vercel.com aud oidc.vercel.com:aud

* IBM Turbonomic aktualisiert regelmäßig seine OIDC-Aussteller-URL mit neuen Versionen der Plattform. Wir werden bei Bedarf weitere Turbonomic-OIDC-Aussteller als gemeinsame Anbieter hinzufügen.

Für alle neuen OIDC-IDPs, die von IAM als gemeinsam genutzt identifiziert werden, werden die erforderlichen Identitätsanbieter-Kontrollen für Rollenvertrauensrichtlinien auf ähnliche Weise dokumentiert und durchgesetzt.

Weitere Ressourcen

Weitere Ressourcen: