Konfigurace federace identity pracovní zátěže v produktu Amazon Cognito

1. Vytvoření poskytovatele identit OIDC (IdP) s Cognito podle pokynů v dokumentaci Amazonu:

   • Krok 1. Vytvořit fond uživatelů
   • Krok 2. Přidat klienta aplikace a nastavit hostované uživatelské rozhraní

   Další informace naleznete v tématu Začínáme s produktem Amazon Cognito.

2. Vytvořte skupinu a uživatele v prostředí IdP pomocí konzoly AWS . Případně můžete použít rozhraní CLI AWS :

   CLIENT_ID=YourClientId
   ISSUER_URL=https://cognito-idp.YourRegion.amazonaws.com/YourPoolId
   POOL_ID=YourPoolId
   USERNAME=YourUsername
   PASSWORD=YourPassword
   GROUPNAME=YourGroupName
   
   aws cognito-idp admin-create-user --user-pool-id $POOL_ID --username $USERNAME --temporary-password Temp-Pass1
   aws cognito-idp admin-set-user-password --user-pool-id $POOL_ID --username $USERNAME --password $PASSWORD --permanent
   aws cognito-idp create-group --group-name $GROUPNAME --user-pool-id $POOL_ID
   aws cognito-idp admin-add-user-to-group --user-pool-id $POOL_ID --username $USERNAME --group-name $GROUPNAME
   

3. V konzole AWS klepněte na volbu Zobrazit hostované uživatelské rozhraní a přihlaste se do uživatelského rozhraní IDP v prohlížeči, abyste se ujistili, že je vyřešena jakákoli nová výzva k zadání hesla.

4. Získejte IdToken s rozhraním CLI AWS :

   aws cognito-idp admin-initiate-auth --auth-flow ADMIN_USER_PASSWORD_AUTH --client-id $CLIENT_ID --auth-parameters USERNAME=$USERNAME,PASSWORD=$PASSWORD --user-pool-id $POOL_ID
   

   Další informace o toku ověření produktu Amazon Cognito User Pools najdete v tématu AdminInitiateAuth.

Konfigurovat Google Cloud pro Amazon Cognito

Když vytvoříte poskytovatele v produktu Google Cloud, použijte tato nastavení:

• Nastavte Issuer (URL) na https://cognito-idp.YourRegion.amazonaws.com/YourPoolId.
• Nastavte volbu Povolená Audience na ID klienta.
• Pod položkou Mapování atributunamapujte google.subject na assertion.sub.

Vytvořte připojení Google BigQuery s federací identity pracovní zátěže Amazon Cognito.

1. Vyberte metodu ověření WebSphere Identity Federation with access token .

2. Pro pole Příjemce služby tokenu zabezpečení použijte tento formát:

   //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
   

3. Do pole E-mail servisního účtuzadejte e-mailovou adresu účtu služby Google , který má být ztělesněn. Další informace najdete v tématu Vytvoření účtu služby pro externí pracovní zátěž.

4. (Volitelné) Zadejte hodnotu pro Doba životnosti tokenu servisního účtu v sekundách. Výchozí doba životnosti přístupového tokenu servisního účtu je jedna hodina. Další informace viz Pověření založená na adrese URL.

5. Nastavte volbu Formát tokenu na hodnotu Text .

6. Nastavte volbu Typ tokenu na hodnotu ID token .

Konfigurovat federaci identity pracovní zátěže v Azure

1. Vytvořte aplikaci Azure AD a činitele služby.

2. Nastavte Identifikátor URI ID aplikace pro aplikaci. Můžete použít výchozí identifikátor URI ID aplikace (api://APPID) nebo zadat vlastní identifikátor URI.
   
   Můžete přeskočit pokyny pro vytvoření spravované identity.

3. Postupujte podle pokynů pro vytvoření nového tajného klíče aplikace , abyste získali přístupový token s rozhraním API REST.

   Další informace viz Konfigurace federace identity pracovní zátěže s Azure.

Nakonfigurujte Google Cloud pro Azure

1. Postupujte podle pokynů: Konfigurace federace identity pracovní zátěže.
2. Postupujte podle pokynů: Vytvořit fond identit pracovní zátěže a poskytovatele. Když nakonfigurujete poskytovatele, použijte tato nastavení:
   • Nastavte Issuer (URL) na https://sts.windows.net/TENANTID/, kde TENANTID je ID nájemce, které jste obdrželi, když jste nastavili Azure Active Directory.
   • Nastavte volbu Povolená cílová skupina na ID klienta, které jste obdrželi při nastavení registrace aplikace. Nebo uveďte jiný Identifikátor URI ID aplikace , který jste použili při nastavení identity aplikace v Azure.
   • Pod položkou Mapování atributunamapujte google.subject na assertion.sub.

Vytvořte připojení Google BigQuery s federací identity pracovní zátěže Azure

1. Vyberte jednu z těchto metod ověření:

   • Federace identit pracovní zátěže s přístupem k tokenu
   • Federování identit pracovní zátěže s adresou URL tokenu

2. Do pole Příjemce služby tokenu zabezpečení použijte formát popsaný v tématu Ověření pracovní zátěže, která používá rozhraní REST API. Například:

   //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
   

3. Do pole E-mail servisního účtuzadejte e-mailovou adresu účtu služby Google , který má být ztělesněn. Další informace najdete v tématu Vytvoření účtu služby pro externí pracovní zátěž.

4. (Volitelné) Zadejte hodnotu pro Doba životnosti tokenu servisního účtu v sekundách. Výchozí doba životnosti přístupového tokenu servisního účtu je jedna hodina. Další informace viz Pověření založená na adrese URL.

5. Pokud jste zadali Federování identity pracovní zátěže s adresou URL tokenu, použijte tyto hodnoty:

   • Adresa URL tokenu: https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token. Tato adresa URL načte token z Azure.
   • Metoda HTTP: POST
   • Záhlaví HTTP: "Content-Type"="application/x-www-form-urlencoded;charset=UTF-8","Accept"="application/json"
   • Tělo požadavku: grant_type=client_credentials&client_id=CLIENT_ID&client_secret=CLIENT_SECRET&scope=APPLICATION_ID_URI/.default

6. Pro Typ tokenuvyberte ID tokenu pro poskytovatele identity, který vyhovuje specifikaci OpenID Connect (OIDC). Další informace naleznete v tématu Typy tokenů.

7. Volba Formát tokenu závisí na daném výběru ověření:

   • Federace identit pracovní zátěže s přístupem k tokenu: Vyberte volbu Text , pokud jste v poli Přístupový token zadali hodnotu tokenu s přímým přístupem.
   • Federování identit pracovní zátěže s adresou URL tokenu: Pro odezvu z adresy URL tokenu ve formátu JSON s přístupoceným tokenem, který je vrácen v poli s názvem access_token, použijte tato nastavení:
     • Formát tokenu: JSON
     • Název pole tokenu: access_token