Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Nachdem Sie einen App-Client eingerichtet haben, können Sie Ihren Benutzerpool mit einer benutzerdefinierten Domäne für die Domänendienste von Managed Login konfigurieren. Mit einer benutzerdefinierten Domain können sich Benutzer mit Ihrer eigenen Webadresse statt mit der amazoncognito.com Standardpräfixdomäne bei Ihrer Anwendung anmelden. Benutzerdefinierte Domänen verbessern das Vertrauen der Benutzer in Ihre Anwendung mit einem vertrauten Domainnamen, insbesondere wenn die Stammdomäne mit der Domain übereinstimmt, die Ihre Anwendung hostet. Benutzerdefinierte Domänen können die Einhaltung organisatorischer Sicherheitsanforderungen verbessern.
Für eine benutzerdefinierte Domain sind einige Voraussetzungen erforderlich, darunter ein Benutzerpool, ein App-Client und eine Webdomäne, die Sie besitzen. Für benutzerdefinierte Domains ist außerdem ein SSL-Zertifikat für die benutzerdefinierte Domain erforderlich, die mit AWS Certificate Manager (ACM) in USA Ost (Nord-Virginia) verwaltet wird. Amazon Cognito erstellt eine CloudFront Amazon-Distribution, die während des Transports mit Ihrem ACM-Zertifikat gesichert ist. Da Sie Eigentümer der Domain sind, müssen Sie einen DNS-Eintrag erstellen, der den Datenverkehr an die CloudFront Distribution für Ihre benutzerdefinierte Domain weiterleitet.
Sobald diese Elemente fertig sind, können Sie die benutzerdefinierte Domain über die Amazon Cognito Cognito-Konsole oder API zu Ihrem Benutzerpool hinzufügen. Dazu müssen Sie den Domainnamen und das SSL-Zertifikat angeben und anschließend Ihre DNS-Konfiguration mit dem angegebenen Alias-Ziel aktualisieren. Nachdem Sie diese Änderungen vorgenommen haben, können Sie überprüfen, ob die Anmeldeseite in Ihrer benutzerdefinierten Domain zugänglich ist.
Der einfachste Weg, eine benutzerdefinierte Domain zu erstellen, ist eine öffentlich gehostete Zone in Amazon Route 53. Die Amazon Cognito Cognito-Konsole kann in wenigen Schritten die richtigen DNS-Einträge erstellen. Bevor Sie beginnen, sollten Sie erwägen, eine Route 53-Hosting-Zone für eine Domain oder Subdomain zu erstellen, die Sie besitzen.
Themen
Hinzufügen einer benutzerdefinierten Domäne zu einem Benutzerpool
Zum Hinzufügen einer benutzerdefinierten Domäne zum Benutzerpool legen Sie den Domänennamen in der Amazon-Cognito-Konsole fest und stellen ein Zertifikat bereit, das Sie mit AWS Certificate Manager (ACM) verwalten. Wenn Sie die Domäne hinzugefügt haben, stellt Amazon Cognito ein Aliasziel zur Verfügung, das Sie zur DNS-Konfiguration hinzufügen.
Voraussetzungen
Bevor Sie anfangen, benötigen Sie:
-
Einen Benutzerpool mit einem App-Client. Weitere Informationen finden Sie unter Erste Schritte mit Benutzerpools.
-
Eine Web-Domäne, die Sie besitzen. Die übergeordnete Domain muss über einen gültigen A-Eintrag im DNS verfügen. Sie können diesem Datensatz einen beliebigen Wert zuweisen. Die übergeordnete Domain kann die Wurzel der Domain oder eine untergeordnete Domain sein, die in der Domainhierarchie eine Stufe höher ist. Wenn Ihre benutzerdefinierte Domain beispielsweise auth.xyz.example.com lautet, muss Amazon Cognito in der Lage sein, xyz.example.com in eine IP-Adresse aufzulösen. Um versehentliche Auswirkungen auf die Kundeninfrastruktur zu verhindern, unterstützt Amazon Cognito die Verwendung von Top-Level-Domains (TLDs) für benutzerdefinierte Domains nicht. Weitere Informationen finden Sie unter Domänennamen
. -
Die Möglichkeit zum Erstellen einer Unterdomäne für die benutzerdefinierte Domäne. Wir empfehlen Auth für Ihren Subdomainnamen. Beispiel:
auth.example.com.Anmerkung
Möglicherweise müssen Sie ein neues Zertifikat für die Subdomäne Ihrer benutzerdefinierten Domäne beschaffen, wenn Sie kein Platzhalterzertifikat (Wildcard Certificate
) haben. -
Ein öffentliches SSL/TLS-Zertifikat, das von ACM in USA East (Nord-Virginia) verwaltet wird. Das Zertifikat muss in us-east-1 sein, da das Zertifikat mit einer Verteilung in CloudFront einem globalen Dienst verknüpft wird.
-
Browserclients, die Server Name Indication (SNI) unterstützen. Die CloudFront Verteilung, die Amazon Cognito benutzerdefinierten Domains zuweist, erfordert SNI. Sie können diese Einstellung nicht ändern. Weitere Informationen zu SNI in CloudFront Distributionen finden Sie unter Verwenden von SNI zur Bearbeitung von HTTPS-Anfragen im Amazon CloudFront Developer Guide.
-
Eine Anwendung, die es Ihrem Benutzerpool-Autorisierungsserver ermöglicht, Cookies zu Benutzersitzungen hinzuzufügen. Amazon Cognito setzt mehrere erforderliche Cookies für verwaltete Anmeldeseiten. Dies sind beispielsweise
cognito,cognito-flundXSRF-TOKEN. Obwohl jedes einzelne Cookie den Größenbeschränkungen des Browsers entspricht, können Änderungen an Ihrer Benutzerpool-Konfiguration dazu führen, dass verwaltete Anmelde-Cookies an Größe zunehmen. Ein Zwischendienst wie ein Application Load Balancer (ALB) vor Ihrer benutzerdefinierten Domain kann eine maximale Header-Größe oder Gesamtcookie-Größe erzwingen. Wenn Ihre Anwendung auch ihre eigenen Cookies setzt, können die Sitzungen Ihrer Benutzer diese Grenzwerte überschreiten. Um Konflikte bei der Größenbeschränkung zu vermeiden, empfehlen wir, dass Ihre Anwendung keine Cookies auf der Subdomain setzt, die die Domänendienste Ihres Benutzerpools hostet. -
Erlaubnis zur Aktualisierung von CloudFront Amazon-Distributionen. Fügen Sie hierzu die folgende IAM-Richtlinienanweisung einem Benutzer in Ihrem AWS-Konto an:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCloudFrontUpdateDistribution", "Effect": "Allow", "Action": [ "cloudfront:updateDistribution" ], "Resource": [ "*" ] } ] }Weitere Informationen zur Autorisierung von Aktionen finden Sie unter Verwenden identitätsbasierter Richtlinien (IAM-Richtlinien) für. CloudFront CloudFront
Amazon Cognito verwendet zunächst Ihre IAM-Berechtigungen, um die CloudFront Verteilung zu konfigurieren, aber die Verteilung wird von verwaltet. AWS Sie können die Konfiguration der CloudFront Distribution, die Amazon Cognito Ihrem Benutzerpool zugeordnet hat, nicht ändern. Sie können also beispielsweise nicht die unterstützten TLS-Versionen in der Sicherheitsrichtlinie aktualisieren.
Schritt 1: Eingeben des benutzerdefinierten Domänennamens
Sie können dem Benutzerpool Ihre Domäne mithilfe der Amazon-Cognito-Konsole oder der API hinzufügen.
Domäne dem Benutzerpool über die Amazon-Cognito-Konsole hinzufügen:
-
Navigieren Sie unter Branding zum Domain-Menü.
-
Navigieren Sie dann zu Domäne und wählen Sie Aktionen, Benutzerdefinierte Domäne erstellen oder Amazon-Cognito-Domäne erstellen aus. Wenn Sie bereits eine benutzerdefinierte Domäne für den Benutzerpool konfiguriert haben, wählen Sie Benutzerdefinierte Domäne löschen aus, bevor Sie Ihre neue benutzerdefinierte Domäne erstellen.
-
Wählen Sie neben Domain die Option Aktionen und anschließend Benutzerdefinierte Domain erstellen aus. Wenn Sie bereits eine benutzerdefinierte Domain konfiguriert haben, wählen Sie Benutzerdefinierte Domain löschen, um die bestehende Domain zu löschen, bevor Sie Ihre neue benutzerdefinierte Domain erstellen.
-
Geben Sie für Custom domain (Benutzerdefinierte Domäne) die URL der Domäne ein, die Sie mit Amazon Cognito verwenden möchten. Der Domänenname darf nur Kleinbuchstaben, Zahlen und Bindestriche enthalten. Verwenden Sie keinen Bindestrich als erstes oder letztes Zeichen. Trennen Sie die Namen von Unterdomänen durch Punkte.
-
Wählen Sie für ACM certificate (ACM-Zertifikat) das SSL-Zertifikat aus, das Sie für die Domäne verwenden möchten. Nur ACM-Zertifikate in USA Ost (Nord-Virginia) können unabhängig von Ihrem Benutzerpool mit einer benutzerdefinierten Amazon Cognito Cognito-Domain verwendet werden. AWS-Region
Wenn Sie kein verfügbares Zertifikat haben, können Sie ACM verwenden, um eines in USA Ost (Nord-Virginia) bereitzustellen. Weitere Informationen finden Sie unter Erste Schritte im AWS Certificate Manager -Benutzerhandbuch.
-
Wählen Sie eine Branding-Version. Ihre Branding-Version gilt für alle benutzerinteraktiven Seiten in dieser Domain. Ihr Benutzerpool kann entweder verwaltetes Login oder gehostetes UI-Branding für alle App-Clients hosten.
Anmerkung
Sie können eine benutzerdefinierte Domain und eine Präfix-Domain haben, aber Amazon Cognito bedient nur den
/.well-known/openid-configurationEndpunkt für die benutzerdefinierte Domain. -
Wählen Sie Create (Erstellen) aus.
-
Amazon Cognito bringt Sie zum Domain-Menü zurück. Es wird Ihnen eine Nachricht mit dem Titel Create an alias record in your domain's DNS (Erstellen eines Alias-Datensatzes im DNS der Domäne) angezeigt. Notieren Sie die Domäne und das Alias-Ziel, das in der Konsole angezeigt wird. Sie werden im nächsten Schritt verwendet, um den Datenverkehr auf Ihre benutzerdefinierte Domäne weiterzuleiten.
Schritt 2: Hinzufügen eines Alias-Ziels und einer Subdomäne
In diesem Schritt richten Sie einen Alias über Ihren Domain Name Server (DNS)-Serviceanbieter ein, der auf das Alias-Ziel aus dem vorherigen Schritt zurück verweist. Wenn Sie Amazon Route 53 für die DNS-Adresse Auflösung verwenden, wählen Sie den Abschnitt Hinzufügen eines Alias-Ziels und einer Subdomäne mit Route 53.
-
Wenn Sie nicht Route 53 für die DNS-Adressauflösung verwenden, müssen Sie die Konfigurationstools Ihres DNS-Serviceanbieters verwenden, um das Alias-Ziel aus dem vorherigen Schritt zum DNS-Datensatz Ihrer Domäne hinzuzufügen. Ihre DNS-Anbieter muss außerdem die Subdomäne für Ihre benutzerdefinierte Domäne einrichten.
-
Melden Sie sich bei der Route-53-Konsole
an. Geben Sie bei Aufforderung Ihre AWS -Anmeldeinformationen ein. -
Wenn Sie in Route 53 keine öffentlich gehostete Zone haben, erstellen Sie eine Zone mit einem Stamm, der Ihrer benutzerdefinierten Domäne übergeordnet ist. Weitere Informationen finden Sie unter Creating a public hosted zone im Amazon Route 53 Developer Guide.
-
Wählen Sie Create Hosted Zone.
-
Geben Sie beispielsweise
auth.example.comdie übergeordnete Domain Ihrer benutzerdefinierten Domain aus der Domainnamenliste ein.myapp.auth.example.com -
Geben Sie eine Beschreibung für Ihre gehostete Zone ein.
-
Wählen Sie einen Typ einer gehosteten Zone aus Public hosted zone (Öffentliche gehostete Zone), damit öffentliche Clients die benutzerdefinierte Domäne auflösen können. Die Auswahl von Private hosted zone (Private gehostete Zone) wird nicht unterstützt.
-
Wenden Sie Tags wie gewünscht an.
-
Wählen Sie Erstellte gehostete Zone.
Anmerkung
Sie können auch eine neue Hosting-Zone für Ihre benutzerdefinierte Domain mit einer Delegierung in der übergeordneten Hosting-Zone erstellen, die Anfragen an die Host-Zone der Subdomain weiterleitet. Andernfalls erstellen Sie einen A-Eintrag. Diese Methode bietet mehr Flexibilität und Sicherheit bei Ihren gehosteten Zonen. Weitere Informationen finden Sie unter Creating a subdomain for a domain hosted through Amazon Route 53
(Erstellen einer Subdomäne für eine über Amazon Route 53 gehostete Domäne).
-
-
Wählen Sie auf der Seite Hosted Zones (Gehostete Zonen) den Namen Ihrer gehosteten Zone aus.
-
Fügen Sie einen DNS-Eintrag für die übergeordnete Domain Ihrer benutzerdefinierten Domain hinzu, falls Sie noch keinen haben. Erstellen Sie einen DNS-Eintrag für die übergeordnete Domain mit den folgenden Eigenschaften:
-
Name des Eintrags: Leer lassen.
-
Datensatztyp:
A. -
Alias: Nicht aktivieren.
-
Wert: Geben Sie ein Ziel Ihrer Wahl ein. Dieser Datensatz muss etwas ergeben, aber der Wert des Datensatzes spielt für Amazon Cognito keine Rolle.
-
TTL: Stellen Sie Ihre bevorzugte TTL ein oder belassen Sie sie als Standard.
-
Routing-Richtlinie: Wählen Sie Simple Routing.
-
-
Wählen Sie Create records (Datensätze erstellen). Im Folgenden finden Sie einen Beispieldatensatz für die Domain
example.com:example.com.60 IN A198.51.100.1Anmerkung
Amazon Cognito überprüft, dass es einen DNS-Datensatz für die übergeordnete Domäne Ihrer benutzerdefinierten Domäne gibt, um sich vor versehentlichem Hijacking von Produktionsdomänen zu schützen. Wenn Sie keinen DNS-Datensatz für die übergeordnete Domäne haben, gibt Amazon Cognito einen Fehler zurück, wenn Sie versuchen, die benutzerdefinierte Domäne festzulegen. Ein SOA-Eintrag (Start of Authority) ist kein ausreichender DNS-Eintrag für die Überprüfung der übergeordneten Domain.
-
Fügen Sie einen weiteren DNS-Eintrag für Ihre benutzerdefinierte Domain mit den folgenden Eigenschaften hinzu:
-
Datensatzname: Ihr benutzerdefiniertes Domainpräfix,
authum beispielsweise einen Eintrag für zu erstellenauth.example.com. -
Datensatztyp:
A. -
Alias: Aktivieren.
-
Traffic weiterleiten an: Wählen Sie Alias to Cloudfront Distribution. Geben Sie beispielsweise
123example.cloudfront.net.rproxy.goskope.comdas Alias-Ziel ein, das Sie zuvor aufgezeichnet haben. -
Routing-Richtlinie: Wählen Sie Simple Routing.
-
-
Wählen Sie Create records (Datensätze erstellen).
Anmerkung
Es kann etwa 60 Sekunden dauern, bis Ihre neuen Datensätze auf alle Route-53-DNS-Server übertragen werden. Sie können die Route GetChange53-API-Methode verwenden, um zu überprüfen, ob Ihre Änderungen übernommen wurden.
Schritt 3: Überprüfen Ihrer Anmeldeseite
-
Stellen Sie sicher, dass die Anmeldeseite Ihrer benutzerdefinierten Domäne erreichbar ist.
Melden Sie sich bei Ihrer benutzerdefinierten Domäne und Subdomäne an, indem Sie diese Adresse in Ihren Browser eingeben. Dies ist eine Beispiel-URL einer benutzerdefinierten Domain
example.commit derauthSubdomain:https://myapp.auth.example.com/login?response_type=code&client_id=<your_app_client_id>&redirect_uri=<your_callback_url>
Ändern des SSL-Zertifikats für die benutzerdefinierte Domäne
Falls erforderlich, können Sie mit Amazon Cognito das Zertifikat ändern, das Sie für Ihre benutzerdefinierte Domäne übernommen haben.
Im Falle der routinemäßigen Zertifikaterneuerung mit ACM ist dies in der Regel nicht notwendig. Wenn Sie das vorhandene Zertifikat in ACM erneuern, bleibt der ARN für Ihr Zertifikat gleich und die benutzerdefinierte Domäne verwendet automatisch das neue Zertifikat.
Wenn Sie jedoch das vorhandene Zertifikat durch ein neues ersetzen, gibt ACM dem neuen Zertifikat einen neuen ARN. Sie müssen diesen ARN an Amazon Cognito übermitteln, um das neue Zertifikat für den benutzerdefinierten Domänennamen zu übernehmen.
Nachdem Sie Ihr neues Zertifikat bereitgestellt haben, dauert es max. eine Stunde, bis Amazon Cognito das Zertifikat an die benutzerdefinierte Domäne verteilt hat.
Bevor Sie beginnen
Bevor Sie das Zertifikat in Amazon Cognito ändern können, müssen Sie es ACM hinzufügen. Weitere Informationen finden Sie unter Erste Schritte im AWS Certificate Manager -Benutzerhandbuch.
Wenn Sie Ihr Zertifikat zu ACM hinzufügen, müssen Sie als AWS -Region USA Ost (Nord-Virginia) auswählen.
Sie können das Zertifikat mit der Amazon-Cognito-Konsole oder der API ändern.
Zertifikat über die Amazon-Cognito-Konsole erneuern:
-
Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon Cognito Cognito-Konsole unterhttps://console.aws.amazon.com/cognito/home
. -
Wählen Sie User Pools (Benutzerpools) aus.
-
Wählen Sie den Benutzerpool aus, für den Sie das Zertifikat aktualisieren möchten.
-
Wählen Sie das Domain-Menü.
-
Wählen Sie Actions (Aktionen), Edit ACM certificate (ACM-Zertifikat bearbeiten) aus.
-
Wählen Sie das neue Zertifikat aus, das Sie Ihrer benutzerdefinierten Domäne zuordnen möchten.
-
Wählen Sie Save Changes.
