Konfigurieren einer Benutzerpool-Domäne - Amazon Cognito
Wissenswertes über Benutzerpool-Domänen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren einer Benutzerpool-Domäne

Die Konfiguration einer Domain ist ein optionaler Teil der Einrichtung eines Benutzerpools. Eine Benutzerpool-Domain hostet Funktionen für die Benutzerauthentifizierung, den Verbund mit Drittanbietern und OpenID Connect (OIDC) -Flows. Es verfügt über die gehostete Benutzeroberfläche, eine vorgefertigte Oberfläche für wichtige Operationen wie Registrierung, Anmeldung und Kennwortwiederherstellung. Es hostet auch die standardmäßigen OpenID Connect (OIDC) -Endpunkte wie authorize und token für machine-to-machine (M2M) -Autorisierung und andere OIDC sowie OAuth 2.0-Authentifizierungs- und Autorisierungsabläufe. userInfo

Benutzer melden sich auf der gehosteten Benutzeroberfläche in der Domain an, die Ihrem Benutzerpool zugeordnet ist. Sie haben zwei Möglichkeiten, diese Domain zu konfigurieren: Sie können entweder die von Amazon Cognito gehostete Standarddomain verwenden oder Sie können eine benutzerdefinierte Domain konfigurieren, die Ihnen gehört.

Die benutzerdefinierte Domain-Option bietet mehr Optionen für Flexibilität, Sicherheit und Kontrolle. Beispielsweise kann eine vertraute, unternehmenseigene Domain das Vertrauen der Benutzer stärken und den Anmeldevorgang intuitiver gestalten. Der Ansatz für benutzerdefinierte Domänen erfordert jedoch zusätzlichen Aufwand, z. B. die Verwaltung des SSL Zertifikats und der Konfiguration. DNS

Die OIDC Discovery-Endpunkte /.well-known/openid-configuration für Endgeräte URLs und /.well-known/jwks.json Tokensignaturschlüssel werden nicht auf Ihrer Domain gehostet. Weitere Informationen finden Sie unter Identitätsanbieter und Endpunkte der vertrauenden Partei.

Zu verstehen, wie Sie die Domain für Ihren Amazon Cognito Cognito-Benutzerpool konfigurieren und verwalten, ist ein wichtiger Schritt bei der Integration der Authentifizierung in Ihre Anwendung. Die Anmeldung bei den Benutzerpools API und an AWS SDK kann eine Alternative zur Konfiguration einer Domain sein. Das API basierte Modell stellt Token direkt in einer API Antwort bereit. Für Implementierungen, die die erweiterten Funktionen von Benutzerpools als OIDC IdP nutzen, müssen Sie jedoch eine Domäne konfigurieren. Weitere Informationen zu den Authentifizierungsmodellen, die in Benutzerpools verfügbar sind, finden Sie unter. Verwenden der Benutzerpools API und des Autorisierungsservers

Themen

Wissenswertes über Benutzerpool-Domänen

Benutzerpool-Domänen sind eine Anlaufstelle für OIDC vertrauenswürdige Parteien in Ihren Anwendungen und für Benutzeroberflächenelemente. Beachten Sie die folgenden Details, wenn Sie die Implementierung einer Domäne für Ihren Benutzerpool planen.

Vorbehaltene Bedingungen

Sie können den Text awsamazon, oder nicht cognito im Namen einer Amazon Cognito-Präfix-Domain verwenden.

Discovery-Endpunkte befinden sich auf einer anderen Domain

Die Discovery-Endpunkte .well-known/openid-configuration des Benutzerpools befinden sich .well-known/jwks.json nicht in Ihrer benutzerdefinierten Benutzerpool-Domäne oder Präfixdomäne. Der Pfad zu diesen Endpunkten lautet wie folgt.

  • https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/openid-configuration

  • https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/jwks.json

Benutzerdefinierte Domänen und Domänen mit Präfix gleichzeitig

Sie können einen Benutzerpool sowohl mit einer benutzerdefinierten Domäne als auch mit einer Präfixdomäne einrichten, deren Eigentümer ist AWS. Da die Endpunkte für die Benutzerpool-Erkennung in einer anderen Domäne gehostet werden, bedienen sie nur die benutzerdefinierte Domäne. Sie openid-configuration geben beispielsweise einen einzigen Wert für "authorization_endpoint" of an"https://auth.example.com/oauth2/authorize".

Wenn Sie sowohl benutzerdefinierte Domänen als auch Präfixdomänen in einem Benutzerpool haben, können Sie die benutzerdefinierte Domäne mit allen Funktionen eines OIDC Anbieters verwenden. Die Präfixdomäne in einem Benutzerpool mit dieser Konfiguration hat weder Erkennungs- noch token-signing-key Endpunkte und sollte entsprechend verwendet werden.

Verwenden Sie keine benutzerdefinierten Domänen auf verschiedenen Ebenen Ihrer Domänenhierarchie

Sie können separate Benutzerpools so konfigurieren, dass sie benutzerdefinierte Domänen in derselben Top-Level-Domain (TLD) haben, zum Beispiel auth.example.com und auth2.example.com. Das Sitzungscookie für die gehostete Benutzeroberfläche ist für eine benutzerdefinierte Domain und alle Subdomains gültig, z. B. *.auth.example.com. Aus diesem Grund sollte kein Benutzer Ihrer Anwendungen auf die gehostete Benutzeroberfläche für eine übergeordnete Domain und Subdomain zugreifen. Wenn benutzerdefinierte Domains dasselbe verwendenTLD, behalten Sie sie auf derselben Subdomain-Ebene bei.

Angenommen, Sie haben einen Benutzerpool mit der benutzerdefinierten Domain auth.example.com. Dann erstellen Sie einen weiteren Benutzerpool und weisen die benutzerdefinierte Domain uk.auth.example.com zu. . Ein Benutzer meldet sich mit auth.example.com an. und erhält ein Cookie, das sein Browser an *.auth.example.com sendet. Sie versuchen dann, sich bei uk.auth.example.com anzumelden. . Sie übergeben ein ungültiges Cookie an die gehostete Benutzeroberfläche und erhalten statt einer Anmeldeaufforderung eine Fehlermeldung. Im Gegensatz dazu hat ein Benutzer mit einem Cookie für *.auth.example.com keine Probleme, eine Anmeldesitzung auf auth2.example.com zu starten.