Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Allgemeine Begriffe und Konzepte von Amazon Cognito
Amazon Cognito stellt Anmeldeinformationen für Web- und mobile Apps bereit. Es stützt sich auf Begriffe, die im Identitäts- und Zugriffsmanagement üblich sind, und baut auf ihnen auf. Viele Leitfäden zu universellen Identitäts- und Zugangsbedingungen sind verfügbar. Einige Beispiele sind:
-
Terminologie
im IDPro Wissensbestand -
Glossar
von NIST CSRC
In den folgenden Listen werden Begriffe beschrieben, die nur für Amazon Cognito gelten oder einen bestimmten Kontext in Amazon Cognito haben.
Allgemeines
Die Begriffe in dieser Liste beziehen sich nicht auf Amazon Cognito und sind unter Fachleuten für Identitäts- und Zugriffsmanagement weithin anerkannt. Die folgende Liste ist keine vollständige Liste von Begriffen, sondern eine Anleitung zu ihrem spezifischen Amazon Cognito Cognito-Kontext in diesem Handbuch.
- Zugriffstoken
-
Ein JSON-Web-Token (JWT), das Informationen über die Autorisierung einer Entität für den Zugriff auf Informationssysteme enthält.
- App, Anwendung
-
In der Regel eine mobile Anwendung. In diesem Handbuch ist App oft eine Abkürzung für eine Webanwendung oder mobile App, die eine Verbindung zu Amazon Cognito herstellt.
- Attributbasierte Zugriffskontrolle (ABAC)
-
Ein Modell, bei dem eine App den Zugriff auf Ressourcen anhand der Eigenschaften eines Benutzers bestimmt, z. B. seiner Berufsbezeichnung oder Abteilung. Zu den Amazon Cognito Cognito-Tools zur Durchsetzung von ABAC gehören ID-Token in Benutzerpools und Prinzipal-Tags in Identitätspools.
- Authentifizierung
-
Der Prozess der Etablierung einer authentischen Identität für den Zugriff auf ein Informationssystem. Amazon Cognito akzeptiert Authentifizierungsnachweise von externen Identitätsanbietern und dient auch als Authentifizierungsanbieter für Softwareanwendungen.
-
Der Prozess der Erteilung von Berechtigungen für eine Ressource. Zugriffstoken für Benutzerpools enthalten Informationen, anhand derer Anwendungen Benutzern und Systemen den Zugriff auf Ressourcen ermöglichen können.
-
Ein OAuth oder OpenID Connect (OIDC) -System, das JSON-Webtoken generiert. Der von Amazon Cognito User Pools verwaltete Autorisierungsserver ist die Autorisierungsserver-Komponente der beiden Authentifizierungs- und Autorisierungsmethoden in Benutzerpools. Benutzerpools unterstützen auch API-Challenge-Response-Flows bei der SDK-Authentifizierung.
- Vertrauliche App, serverseitige App
-
Eine Anwendung, mit der sich Benutzer remote verbinden, mit Code auf einem Anwendungsserver und Zugriff auf geheime Daten. Dies ist in der Regel eine Webanwendung.
- Identity provider (IdP) (Identitätsanbieter (IdP))
-
Ein Dienst, der Benutzeridentitäten speichert und verifiziert. Amazon Cognito kann die Authentifizierung von externen Anbietern anfordern und als IdP für Apps fungieren.
- JSON-Webtoken (JWT)
-
Ein Dokument im JSON-Format, das Behauptungen über einen authentifizierten Benutzer enthält. ID-Token authentifizieren Benutzer, Zugriffstoken autorisieren Benutzer und Aktualisierungstoken aktualisieren Anmeldeinformationen. Amazon Cognito empfängt Token von externen Anbietern und gibt Token an Apps aus oder AWS STS.
- Machine-to-machine (M2M) -Autorisierung
-
Der Prozess der Autorisierung von Anfragen an API-Endpunkte für non-user-interactive Maschinenentitäten, z. B. eine Webserver-Anwendungsebene. Benutzerpools dienen der M2M-Autorisierung bei der Gewährung von Kundenanmeldedaten mit OAuth einem Gültigkeitsbereich von 2.0 in Form von Zugriffstoken.
- Multi-Faktor-Authentifizierung (MFA)
-
Die Anforderung, dass Benutzer nach Eingabe ihres Benutzernamens und Kennworts eine zusätzliche Authentifizierung vornehmen müssen. Amazon Cognito Cognito-Benutzerpools verfügen über MFA-Funktionen für lokale Benutzer.
- OAuth 2.0 (sozialer) Anbieter
-
Ein IdP für einen Benutzerpool oder Identitätspool, der JWT-Zugriffs - und Aktualisierungstoken bereitstellt. Amazon Cognito Cognito-Benutzerpools automatisieren Interaktionen mit sozialen Anbietern, nachdem sich Benutzer authentifiziert haben.
- OpenID Connect (OIDC) -Anbieter
-
Ein IdP für einen Benutzerpool oder Identitätspool, der die OAuthSpezifikation um die Bereitstellung von ID-Token erweitert. Amazon Cognito Cognito-Benutzerpools automatisieren Interaktionen mit OIDC-Anbietern, nachdem sich Benutzer authentifiziert haben.
- Hauptschlüssel, WebAuthn
-
Eine Form der Authentifizierung, bei der kryptografische Schlüssel oder Hauptschlüssel auf dem Gerät eines Benutzers als Authentifizierungsnachweis dienen. Benutzer verifizieren mit biometrischen oder PIN-Code-Mechanismen in einem Hardware- oder Software-Authentifikator, ob sie vorhanden sind. Passwörter sind vor Phishing geschützt und an bestimmte Webseiten/Apps gebunden, sodass sie ein sicheres, passwortloses Erlebnis bieten. Amazon Cognito Cognito-Benutzerpools unterstützen die Anmeldung mit Hauptschlüsseln.
- Passwortlos
-
Eine Form der Authentifizierung, bei der ein Benutzer kein Passwort eingeben muss. Zu den Methoden der kennwortlosen Anmeldung gehören Einmalpasswörter (OTPs), die an E-Mail-Adressen und Telefonnummern gesendet werden, sowie Hauptschlüssel. Amazon Cognito Cognito-Benutzerpools unterstützen die Anmeldung mit OTPs und Hauptschlüsseln.
- Öffentliche App
-
Eine eigenständige Anwendung auf einem Gerät mit lokal gespeichertem Code und ohne Zugriff auf Geheimnisse. Dies ist in der Regel eine mobile App.
- Ressourcenserver
-
Eine API mit Zugriffskontrolle. Amazon Cognito Cognito-Benutzerpools verwenden auch den Ressourcenserver, um die Komponente zu beschreiben, die die Konfiguration für die Interaktion mit einer API definiert.
- Rollenbasierte Zugriffskontrolle (RBAC)
-
Ein Modell, das Zugriff auf der Grundlage der Funktionsbezeichnung eines Benutzers gewährt. Amazon Cognito Cognito-Identitätspools implementieren RBAC mit Differenzierung zwischen IAM-Rollen.
- Dienstanbieter (SP), vertrauende Partei (RP)
-
Eine Anwendung, die sich auf einen IdP stützt, um zu bestätigen, dass Benutzer vertrauenswürdig sind. Amazon Cognito agiert extern als SP und IdPs gegenüber Apps als IdP. SPs
- SAML-Anbieter
-
Ein IdP für einen Benutzerpool oder Identitätspool, der digital signierte Assertion-Dokumente generiert, die Ihr Benutzer an Amazon Cognito weiterleitet.
- Universally Unique Identifier (UUID)
-
Ein 128-Bit-Etikett, das auf ein Objekt angewendet wird. Amazon Cognito UUIDs ist pro Benutzerpool oder Identitätspool einzigartig, entspricht jedoch keinem bestimmten UUID-Format.
- Benutzerverzeichnis
-
Eine Sammlung von Benutzern und ihren Attributen, die diese Informationen anderen Systemen zur Verfügung stellt. Amazon Cognito Cognito-Benutzerpools sind Benutzerverzeichnisse und auch Tools zur Konsolidierung von Benutzern aus externen Benutzerverzeichnissen.
Benutzerpools
Wenn Sie die Begriffe in der folgenden Liste in diesem Handbuch sehen, beziehen sie sich auf eine bestimmte Funktion oder Konfiguration von Benutzerpools.
- Adaptive Authentifizierung
-
Eine erweiterte Sicherheitsfunktion, die potenzielle böswillige Aktivitäten erkennt und Benutzerprofile zusätzlich schützt.
- Erweiterte Sicherheitsfunktionen
-
Eine optionale Komponente, die Tools für die Benutzersicherheit hinzufügt.
- App-Client
-
Eine Komponente, die die Einstellungen für einen Benutzerpool als IdP für eine App definiert.
- Rückruf-URL, Umleitungs-URI, Rückgabe-URL
-
Eine Einstellung in einem App-Client und ein Parameter in Anfragen an den Autorisierungsserver des Benutzerpools. Die Callback-URL ist das erste Ziel für authentifizierte Benutzer in Ihrer App.
- Wahlbasierte Authentifizierung
-
Eine Form der API-Authentifizierung mit Benutzerpools, in denen jedem Benutzer eine Reihe von Anmeldemöglichkeiten zur Verfügung stehen. Sie können zwischen Benutzername und Passwort mit oder ohne MFA, Anmeldung mit Passkey oder passwortloser Anmeldung mit Einmalpasswörtern per E-Mail oder SMS-Nachricht wählen. Ihre Anwendung kann den Auswahlprozess für Benutzer gestalten, indem sie eine Liste mit Authentifizierungsoptionen anfordert oder eine bevorzugte Option deklariert.
Vergleichen Sie mit der clientbasierten Authentifizierung.
- Client-basierte Authentifizierung
-
Eine Form der Authentifizierung mit den Benutzerpools, auf der die API und die Anwendungs-Backends basieren. AWS SDKs Bei der deklarativen Authentifizierung bestimmt Ihre Anwendung unabhängig den Anmeldetyp, den ein Benutzer ausführen soll, und fordert diesen Typ im Voraus an.
Vergleichen Sie mit der wahlbasierten Authentifizierung.
- Kompromittierte Anmeldeinformationen
-
Eine erweiterte Sicherheitsfunktion, die Benutzerkennwörter erkennt, die Angreifer möglicherweise kennen, und Benutzerprofile zusätzlich schützt.
- Bestätigung
-
Der Prozess, der feststellt, dass die Voraussetzungen erfüllt sind, damit sich ein neuer Benutzer anmelden kann. Die Bestätigung erfolgt in der Regel durch Bestätigung der E-Mail-Adresse oder Telefonnummer.
- Benutzerdefinierte Authentifizierung
-
Eine Erweiterung der Authentifizierungsprozesse mit Lambda-Triggern, die zusätzliche Benutzerherausforderungen und -antworten definieren.
- Geräteauthentifizierung
-
Ein Authentifizierungsprozess, der MFA durch eine Anmeldung ersetzt, die die ID eines vertrauenswürdigen Geräts verwendet.
- Domäne, Benutzerpool-Domäne
-
Eine Webdomäne, in der Ihre verwalteten Anmeldeseiten gehostet AWS werden. Sie können DNS in einer Domain einrichten, die Ihnen gehört, oder ein identifizierendes Subdomain-Präfix in einer Domain verwenden, die Ihnen AWS gehört.
- Grundlegendes Paket
-
Der Feature-Plan mit den neuesten Entwicklungen bei Benutzerpools. Der Essentials-Plan beinhaltet nicht die Sicherheitsfunktionen für automatisiertes Lernen im Plus-Plan.
- Externer Anbieter, Drittanbieter
-
Ein IdP, der eine Vertrauensbeziehung zu einem Benutzerpool unterhält. Benutzerpools dienen als Zwischeneinheit zwischen externen Anbietern und Ihrer Anwendung und verwalten Authentifizierungsprozesse mit SAML 2.0, OIDC und sozialen Anbietern. Benutzerpools konsolidieren die Authentifizierungsergebnisse externer Anbieter in einem einzigen IdP, sodass Ihre Anwendungen viele Benutzer mit einer einzigen OIDC-Rely-Party-Bibliothek verarbeiten können.
- Funktionsplan
-
Die Gruppe von Funktionen, die Sie für einen Benutzerpool auswählen können. Bei Funktionsplänen fallen in Ihrer AWS Rechnung unterschiedliche Kosten an. Für neue Benutzerpools wird standardmäßig der Essentials-Plan verwendet.
Aktuelle Pläne
- Verbundbenutzer, externer Benutzer
-
Ein Benutzer in einem Benutzerpool, der von einem externen Anbieter authentifiziert wurde.
- Gehostete Benutzeroberfläche (klassisch), gehostete UI-Seiten
-
Die frühe Version der Authentifizierungs-Front-End-, Relying Party- und Identity Provider-Dienste in Ihrer Benutzerpool-Domain. Die gehostete Benutzeroberfläche verfügt über grundlegende Funktionen und ein vereinfachtes Erscheinungsbild. Sie können das Branding der gehosteten Benutzeroberfläche anwenden, indem Sie eine Logo-Image-Datei und eine Datei mit einem vordefinierten Satz von CSS-Stilen hochladen. Vergleiche mit verwalteter Anmeldung.
- Lambda-Trigger
-
Eine Funktion AWS Lambda , bei der ein Benutzerpool automatisch an wichtigen Punkten von Benutzerauthentifizierungsprozessen aufgerufen werden kann. Sie können Lambda-Trigger verwenden, um Authentifizierungsergebnisse anzupassen.
- Lokaler Benutzer
-
Ein Benutzerprofil im Benutzerpool-Benutzerverzeichnis, das nicht durch Authentifizierung bei einem externen Anbieter erstellt wurde.
- Verlinkter Benutzer
-
Ein Benutzer von einem externen Anbieter, dessen Identität mit einem lokalen Benutzer zusammengeführt wird.
- Lite-Paket
-
Der Funktionsplan mit den Funktionen, die ursprünglich mit Benutzerpools eingeführt wurden. Der Lite-Plan beinhaltet weder die neuen Funktionen des Essentials-Plans noch die Sicherheitsfunktionen für automatisiertes Lernen im Plus-Plan.
-
Eine Komponente der verwalteten Anmeldung, die Dienste für die Interaktion mit IdPs und Apps in Ihrer Benutzerpool-Domain hostet. Die gehostete Benutzeroberfläche unterscheidet sich von der verwalteten Anmeldung durch die von ihr angebotenen benutzerinteraktiven Funktionen, verfügt jedoch über dieselben Funktionen für den Autorisierungsserver.
- Verwaltete Anmeldung, verwaltete Anmeldeseiten
-
Eine Reihe von Webseiten in Ihrer Benutzerpool-Domain, die Dienste für die Benutzerauthentifizierung hosten. Diese Dienste umfassen Funktionen für den Betrieb als IdP, als vertrauende Partei für Dritte IdPs und als Server einer benutzerinteraktiven Authentifizierungsschnittstelle. Wenn Sie eine Domain für Ihren Benutzerpool einrichten, stellt Amazon Cognito alle verwalteten Anmeldeseiten online.
Ihre Anwendung importiert OIDC-Bibliotheken, die die Browser der Benutzer aufrufen und sie für die Registrierung, Anmeldung, Passwortverwaltung und andere Authentifizierungsvorgänge zur verwalteten Anmelde-Benutzeroberfläche weiterleiten. Nach der Authentifizierung können die OIDC-Bibliotheken das Ergebnis der Authentifizierungsanfrage verarbeiten.
- Verwaltete Anmeldeauthentifizierung
-
Melden Sie sich mit den Diensten in Ihrer Benutzerpool-Domain an, indem Sie benutzerinteraktive Browserseiten oder HTTPS-API-Anfragen verwenden. Anwendungen verwalten die verwaltete Anmeldeauthentifizierung mit OpenID Connect (OIDC) -Bibliotheken. Dieser Prozess umfasst die Anmeldung bei externen Anbietern, die Anmeldung für lokale Benutzer mit interaktiven verwalteten Anmeldeseiten und die M2M-Autorisierung. Die Authentifizierung mit der klassischen gehosteten Benutzeroberfläche fällt ebenfalls unter diesen Begriff.
Vergleiche mit der AWS SDK-Authentifizierung.
- Plus-Plan
-
Der Funktionsplan mit den neuesten Entwicklungen und erweiterten Sicherheitsfunktionen in Benutzerpools.
- SDK-Authentifizierung, AWS SDK-Authentifizierung
-
Eine Reihe von API-Vorgängen für Authentifizierung und Autorisierung, die Sie Ihrem Anwendungs-Backend mit einem AWS SDK hinzufügen können. Dieses Authentifizierungsmodell erfordert Ihren eigenen, maßgeschneiderten Anmeldemechanismus. Die API kann lokale Benutzer und verknüpfte Benutzer anmelden.
Vergleiche mit verwalteter Anmeldeauthentifizierung.
- Schutz vor Bedrohungen
-
In Benutzerpools bezieht sich der Begriff Bedrohungsschutz auf Technologien, die darauf ausgelegt sind, Bedrohungen für Ihre Authentifizierungs- und Autorisierungsmechanismen zu minimieren. Adaptive Authentifizierung, Erkennung kompromittierter Anmeldeinformationen und Blocklisten für IP-Adressen gehören zur Kategorie Bedrohungsschutz.
- Anpassung von Tokens
-
Das Ergebnis eines Lambda-Triggers vor der Token-Generierung, der die ID oder das Zugriffstoken eines Benutzers zur Laufzeit ändert.
- Benutzerpool, Amazon Cognito Cognito-Identitätsanbieter
cognito-idp
, Amazon Cognito Cognito-Benutzerpools -
Eine AWS Ressource mit Authentifizierungs- und Autorisierungsdiensten für Anwendungen, die mit OIDC funktionieren. IdPs
- Verifizierung
-
Der Prozess der Bestätigung, dass ein Benutzer eine E-Mail-Adresse oder Telefonnummer besitzt. Ein Benutzerpool sendet einen Code an einen Benutzer, der eine neue E-Mail-Adresse oder Telefonnummer eingegeben hat. Wenn sie den Code an Amazon Cognito senden, verifizieren sie, dass sie Eigentümer des Nachrichtenziels sind und können zusätzliche Nachrichten aus dem Benutzerpool empfangen. Siehe auch Bestätigung.
- Benutzerprofil, Benutzerkonto
-
Ein Eintrag für einen Benutzer im Benutzerverzeichnis. Alle Benutzer, auch solche von Drittanbietern IdPs, haben ein Profil in ihrem Benutzerpool.
Identitäten-Pools
Wenn Sie die Begriffe in der folgenden Liste in diesem Handbuch sehen, beziehen sie sich auf eine bestimmte Funktion oder Konfiguration von Identitätspools.
- Attribute für Zugriffskontrolle
-
Eine Implementierung der attributbasierten Zugriffskontrolle in Identitätspools. Identitätspools wenden Benutzerattribute als Tags auf Benutzeranmeldedaten an.
- Grundlegende (klassische) Authentifizierung
-
Ein Authentifizierungsprozess, bei dem Sie die Anforderung von Benutzeranmeldeinformationen anpassen können.
- Entwicklerauthentifizierte Identitäten
-
Ein Authentifizierungsprozess, bei dem Benutzeranmeldedaten und Entwickleranmeldedaten für Identitätspools autorisiert werden.
- Anmeldeinformationen für Entwickler
-
Die IAM-API-Schlüssel eines Identitätspool-Administrators.
- Verbesserte Authentifizierung
-
Ein Authentifizierungsablauf, der eine IAM-Rolle auswählt und Prinzipal-Tags gemäß der Logik anwendet, die Sie in Ihrem Identitätspool definieren.
- Identität
-
Eine UUID, die einen App-Benutzer und seine Benutzeranmeldeinformationen mit seinem Profil in einem externen Benutzerverzeichnis verknüpft, das eine Vertrauensstellung mit einem Identitätspool unterhält.
- Identitätspool, Amazon Cognito Federated Identities, Amazon Cognito Identity,
cognito-identity
- Nicht authentifizierte -Identität
-
Ein Benutzer, der sich nicht mit einem Identitätspool-IdP angemeldet hat. Sie können Benutzern erlauben, begrenzte Benutzeranmeldedaten für eine einzelne IAM-Rolle zu generieren, bevor sie sich authentifizieren.
- Benutzeranmeldedaten
-
Temporäre AWS API-Schlüssel, die Benutzer nach der Identitätspool-Authentifizierung erhalten.