Allgemeine Begriffe und Konzepte von Amazon Cognito

Ein JSON-Web-Token (JWT), das Informationen über die Autorisierung einer Entität für den Zugriff auf Informationssysteme enthält.

In der Regel eine mobile Anwendung. In diesem Handbuch ist App oft eine Abkürzung für eine Webanwendung oder mobile App, die eine Verbindung zu Amazon Cognito herstellt.

Ein Modell, bei dem eine App den Zugriff auf Ressourcen anhand der Eigenschaften eines Benutzers bestimmt, z. B. seiner Berufsbezeichnung oder Abteilung. Zu den Amazon Cognito Cognito-Tools zur Durchsetzung von ABAC gehören ID-Token in Benutzerpools und Prinzipal-Tags in Identitätspools.

Der Prozess der Etablierung einer authentischen Identität für den Zugriff auf ein Informationssystem. Amazon Cognito akzeptiert Authentifizierungsnachweise von externen Identitätsanbietern und dient auch als Authentifizierungsanbieter für Softwareanwendungen.

Der Prozess der Erteilung von Berechtigungen für eine Ressource. Zugriffstoken für Benutzerpools enthalten Informationen, anhand derer Anwendungen Benutzern und Systemen den Zugriff auf Ressourcen ermöglichen können.

Ein OAuth oder OpenID Connect (OIDC) -System, das JSON-Webtoken generiert. Der von Amazon Cognito User Pools verwaltete Autorisierungsserver ist die Autorisierungsserver-Komponente der beiden Authentifizierungs- und Autorisierungsmethoden in Benutzerpools. Benutzerpools unterstützen auch API-Challenge-Response-Flows bei der SDK-Authentifizierung.

Eine Anwendung, mit der sich Benutzer remote verbinden, mit Code auf einem Anwendungsserver und Zugriff auf geheime Daten. Dies ist in der Regel eine Webanwendung.

Ein Dienst, der Benutzeridentitäten speichert und verifiziert. Amazon Cognito kann die Authentifizierung von externen Anbietern anfordern und als IdP für Apps fungieren.

Ein Dokument im JSON-Format, das Behauptungen über einen authentifizierten Benutzer enthält. ID-Token authentifizieren Benutzer, Zugriffstoken autorisieren Benutzer und Aktualisierungstoken aktualisieren Anmeldeinformationen. Amazon Cognito empfängt Token von externen Anbietern und gibt Token an Apps aus oder AWS STS.

Der Prozess der Autorisierung von Anfragen an API-Endpunkte für non-user-interactive Maschinenentitäten, z. B. eine Webserver-Anwendungsebene. Benutzerpools dienen der M2M-Autorisierung bei der Gewährung von Kundenanmeldedaten mit OAuth einem Gültigkeitsbereich von 2.0 in Form von Zugriffstoken.

Die Anforderung, dass Benutzer nach Eingabe ihres Benutzernamens und Kennworts eine zusätzliche Authentifizierung vornehmen müssen. Amazon Cognito Cognito-Benutzerpools verfügen über MFA-Funktionen für lokale Benutzer.

Ein IdP für einen Benutzerpool oder Identitätspool, der JWT-Zugriffs - und Aktualisierungstoken bereitstellt. Amazon Cognito Cognito-Benutzerpools automatisieren Interaktionen mit sozialen Anbietern, nachdem sich Benutzer authentifiziert haben.

Ein IdP für einen Benutzerpool oder Identitätspool, der die OAuthSpezifikation um die Bereitstellung von ID-Token erweitert. Amazon Cognito Cognito-Benutzerpools automatisieren Interaktionen mit OIDC-Anbietern, nachdem sich Benutzer authentifiziert haben.

Eine Form der Authentifizierung, bei der kryptografische Schlüssel oder Hauptschlüssel auf dem Gerät eines Benutzers als Authentifizierungsnachweis dienen. Benutzer verifizieren mit biometrischen oder PIN-Code-Mechanismen in einem Hardware- oder Software-Authentifikator, ob sie vorhanden sind. Passwörter sind vor Phishing geschützt und an bestimmte Webseiten/Apps gebunden, sodass sie ein sicheres, passwortloses Erlebnis bieten. Amazon Cognito Cognito-Benutzerpools unterstützen die Anmeldung mit Hauptschlüsseln.

Eine Form der Authentifizierung, bei der ein Benutzer kein Passwort eingeben muss. Zu den Methoden der kennwortlosen Anmeldung gehören Einmalpasswörter (OTPs), die an E-Mail-Adressen und Telefonnummern gesendet werden, sowie Hauptschlüssel. Amazon Cognito Cognito-Benutzerpools unterstützen die Anmeldung mit OTPs und Hauptschlüsseln.

Eine eigenständige Anwendung auf einem Gerät mit lokal gespeichertem Code und ohne Zugriff auf Geheimnisse. Dies ist in der Regel eine mobile App.

Eine API mit Zugriffskontrolle. Amazon Cognito Cognito-Benutzerpools verwenden auch den Ressourcenserver, um die Komponente zu beschreiben, die die Konfiguration für die Interaktion mit einer API definiert.

Ein Modell, das Zugriff auf der Grundlage der Funktionsbezeichnung eines Benutzers gewährt. Amazon Cognito Cognito-Identitätspools implementieren RBAC mit Differenzierung zwischen IAM-Rollen.

Eine Anwendung, die sich auf einen IdP stützt, um zu bestätigen, dass Benutzer vertrauenswürdig sind. Amazon Cognito agiert extern als SP und IdPs gegenüber Apps als IdP. SPs

Ein IdP für einen Benutzerpool oder Identitätspool, der digital signierte Assertion-Dokumente generiert, die Ihr Benutzer an Amazon Cognito weiterleitet.

Ein 128-Bit-Etikett, das auf ein Objekt angewendet wird. Amazon Cognito UUIDs ist pro Benutzerpool oder Identitätspool einzigartig, entspricht jedoch keinem bestimmten UUID-Format.

Eine Sammlung von Benutzern und ihren Attributen, die diese Informationen anderen Systemen zur Verfügung stellt. Amazon Cognito Cognito-Benutzerpools sind Benutzerverzeichnisse und auch Tools zur Konsolidierung von Benutzern aus externen Benutzerverzeichnissen.

Eine erweiterte Sicherheitsfunktion, die potenzielle böswillige Aktivitäten erkennt und Benutzerprofile zusätzlich schützt.

Eine optionale Komponente, die Tools für die Benutzersicherheit hinzufügt.

Eine Komponente, die die Einstellungen für einen Benutzerpool als IdP für eine App definiert.

Eine Einstellung in einem App-Client und ein Parameter in Anfragen an den Autorisierungsserver des Benutzerpools. Die Callback-URL ist das erste Ziel für authentifizierte Benutzer in Ihrer App.

Eine Form der API-Authentifizierung mit Benutzerpools, in denen jedem Benutzer eine Reihe von Anmeldemöglichkeiten zur Verfügung stehen. Sie können zwischen Benutzername und Passwort mit oder ohne MFA, Anmeldung mit Passkey oder passwortloser Anmeldung mit Einmalpasswörtern per E-Mail oder SMS-Nachricht wählen. Ihre Anwendung kann den Auswahlprozess für Benutzer gestalten, indem sie eine Liste mit Authentifizierungsoptionen anfordert oder eine bevorzugte Option deklariert.

Vergleichen Sie mit der clientbasierten Authentifizierung.

Eine Form der Authentifizierung mit den Benutzerpools, auf der die API und die Anwendungs-Backends basieren. AWS SDKs Bei der deklarativen Authentifizierung bestimmt Ihre Anwendung unabhängig den Anmeldetyp, den ein Benutzer ausführen soll, und fordert diesen Typ im Voraus an.

Vergleichen Sie mit der wahlbasierten Authentifizierung.

Eine erweiterte Sicherheitsfunktion, die Benutzerkennwörter erkennt, die Angreifer möglicherweise kennen, und Benutzerprofile zusätzlich schützt.

Der Prozess, der feststellt, dass die Voraussetzungen erfüllt sind, damit sich ein neuer Benutzer anmelden kann. Die Bestätigung erfolgt in der Regel durch Bestätigung der E-Mail-Adresse oder Telefonnummer.

Eine Erweiterung der Authentifizierungsprozesse mit Lambda-Triggern, die zusätzliche Benutzerherausforderungen und -antworten definieren.

Ein Authentifizierungsprozess, der MFA durch eine Anmeldung ersetzt, die die ID eines vertrauenswürdigen Geräts verwendet.

Eine Webdomäne, in der Ihre verwalteten Anmeldeseiten gehostet AWS werden. Sie können DNS in einer Domain einrichten, die Ihnen gehört, oder ein identifizierendes Subdomain-Präfix in einer Domain verwenden, die Ihnen AWS gehört.

Der Feature-Plan mit den neuesten Entwicklungen bei Benutzerpools. Der Essentials-Plan beinhaltet nicht die Sicherheitsfunktionen für automatisiertes Lernen im Plus-Plan.

Ein IdP, der eine Vertrauensbeziehung zu einem Benutzerpool unterhält. Benutzerpools dienen als Zwischeneinheit zwischen externen Anbietern und Ihrer Anwendung und verwalten Authentifizierungsprozesse mit SAML 2.0, OIDC und sozialen Anbietern. Benutzerpools konsolidieren die Authentifizierungsergebnisse externer Anbieter in einem einzigen IdP, sodass Ihre Anwendungen viele Benutzer mit einer einzigen OIDC-Rely-Party-Bibliothek verarbeiten können.

Die Gruppe von Funktionen, die Sie für einen Benutzerpool auswählen können. Bei Funktionsplänen fallen in Ihrer AWS Rechnung unterschiedliche Kosten an. Für neue Benutzerpools wird standardmäßig der Essentials-Plan verwendet.

Ein Benutzer in einem Benutzerpool, der von einem externen Anbieter authentifiziert wurde.

Die frühe Version der Authentifizierungs-Front-End-, Relying Party- und Identity Provider-Dienste in Ihrer Benutzerpool-Domain. Die gehostete Benutzeroberfläche verfügt über grundlegende Funktionen und ein vereinfachtes Erscheinungsbild. Sie können das Branding der gehosteten Benutzeroberfläche anwenden, indem Sie eine Logo-Image-Datei und eine Datei mit einem vordefinierten Satz von CSS-Stilen hochladen. Vergleiche mit verwalteter Anmeldung.

Eine Funktion AWS Lambda , bei der ein Benutzerpool automatisch an wichtigen Punkten von Benutzerauthentifizierungsprozessen aufgerufen werden kann. Sie können Lambda-Trigger verwenden, um Authentifizierungsergebnisse anzupassen.

Ein Benutzerprofil im Benutzerpool-Benutzerverzeichnis, das nicht durch Authentifizierung bei einem externen Anbieter erstellt wurde.

Ein Benutzer von einem externen Anbieter, dessen Identität mit einem lokalen Benutzer zusammengeführt wird.

Der Funktionsplan mit den Funktionen, die ursprünglich mit Benutzerpools eingeführt wurden. Der Lite-Plan beinhaltet weder die neuen Funktionen des Essentials-Plans noch die Sicherheitsfunktionen für automatisiertes Lernen im Plus-Plan.

Eine Komponente der verwalteten Anmeldung, die Dienste für die Interaktion mit IdPs und Apps in Ihrer Benutzerpool-Domain hostet. Die gehostete Benutzeroberfläche unterscheidet sich von der verwalteten Anmeldung durch die von ihr angebotenen benutzerinteraktiven Funktionen, verfügt jedoch über dieselben Funktionen für den Autorisierungsserver.

Eine Reihe von Webseiten in Ihrer Benutzerpool-Domain, die Dienste für die Benutzerauthentifizierung hosten. Diese Dienste umfassen Funktionen für den Betrieb als IdP, als vertrauende Partei für Dritte IdPs und als Server einer benutzerinteraktiven Authentifizierungsschnittstelle. Wenn Sie eine Domain für Ihren Benutzerpool einrichten, stellt Amazon Cognito alle verwalteten Anmeldeseiten online.

Ihre Anwendung importiert OIDC-Bibliotheken, die die Browser der Benutzer aufrufen und sie für die Registrierung, Anmeldung, Passwortverwaltung und andere Authentifizierungsvorgänge zur verwalteten Anmelde-Benutzeroberfläche weiterleiten. Nach der Authentifizierung können die OIDC-Bibliotheken das Ergebnis der Authentifizierungsanfrage verarbeiten.

Melden Sie sich mit den Diensten in Ihrer Benutzerpool-Domain an, indem Sie benutzerinteraktive Browserseiten oder HTTPS-API-Anfragen verwenden. Anwendungen verwalten die verwaltete Anmeldeauthentifizierung mit OpenID Connect (OIDC) -Bibliotheken. Dieser Prozess umfasst die Anmeldung bei externen Anbietern, die Anmeldung für lokale Benutzer mit interaktiven verwalteten Anmeldeseiten und die M2M-Autorisierung. Die Authentifizierung mit der klassischen gehosteten Benutzeroberfläche fällt ebenfalls unter diesen Begriff.

Vergleiche mit der AWS SDK-Authentifizierung.

Der Funktionsplan mit den neuesten Entwicklungen und erweiterten Sicherheitsfunktionen in Benutzerpools.

Eine Reihe von API-Vorgängen für Authentifizierung und Autorisierung, die Sie Ihrem Anwendungs-Backend mit einem AWS SDK hinzufügen können. Dieses Authentifizierungsmodell erfordert Ihren eigenen, maßgeschneiderten Anmeldemechanismus. Die API kann lokale Benutzer und verknüpfte Benutzer anmelden.

Vergleiche mit verwalteter Anmeldeauthentifizierung.

In Benutzerpools bezieht sich der Begriff Bedrohungsschutz auf Technologien, die darauf ausgelegt sind, Bedrohungen für Ihre Authentifizierungs- und Autorisierungsmechanismen zu minimieren. Adaptive Authentifizierung, Erkennung kompromittierter Anmeldeinformationen und Blocklisten für IP-Adressen gehören zur Kategorie Bedrohungsschutz.

Das Ergebnis eines Lambda-Triggers vor der Token-Generierung, der die ID oder das Zugriffstoken eines Benutzers zur Laufzeit ändert.

Eine AWS Ressource mit Authentifizierungs- und Autorisierungsdiensten für Anwendungen, die mit OIDC funktionieren. IdPs

Der Prozess der Bestätigung, dass ein Benutzer eine E-Mail-Adresse oder Telefonnummer besitzt. Ein Benutzerpool sendet einen Code an einen Benutzer, der eine neue E-Mail-Adresse oder Telefonnummer eingegeben hat. Wenn sie den Code an Amazon Cognito senden, verifizieren sie, dass sie Eigentümer des Nachrichtenziels sind und können zusätzliche Nachrichten aus dem Benutzerpool empfangen. Siehe auch Bestätigung.

Ein Eintrag für einen Benutzer im Benutzerverzeichnis. Alle Benutzer, auch solche von Drittanbietern IdPs, haben ein Profil in ihrem Benutzerpool.

Eine Implementierung der attributbasierten Zugriffskontrolle in Identitätspools. Identitätspools wenden Benutzerattribute als Tags auf Benutzeranmeldedaten an.

Ein Authentifizierungsprozess, bei dem Sie die Anforderung von Benutzeranmeldeinformationen anpassen können.

Ein Authentifizierungsprozess, bei dem Benutzeranmeldedaten und Entwickleranmeldedaten für Identitätspools autorisiert werden.

Die IAM-API-Schlüssel eines Identitätspool-Administrators.

Ein Authentifizierungsablauf, der eine IAM-Rolle auswählt und Prinzipal-Tags gemäß der Logik anwendet, die Sie in Ihrem Identitätspool definieren.

Eine UUID, die einen App-Benutzer und seine Benutzeranmeldeinformationen mit seinem Profil in einem externen Benutzerverzeichnis verknüpft, das eine Vertrauensstellung mit einem Identitätspool unterhält.

Eine AWS Ressource mit Authentifizierungs- und Autorisierungsdiensten für Anwendungen, die temporäre Anmeldeinformationen verwenden. AWS

Ein Benutzer, der sich nicht mit einem Identitätspool-IdP angemeldet hat. Sie können Benutzern erlauben, begrenzte Benutzeranmeldedaten für eine einzelne IAM-Rolle zu generieren, bevor sie sich authentifizieren.

Temporäre AWS API-Schlüssel, die Benutzer nach der Identitätspool-Authentifizierung erhalten.