Hinzufügen einer Benutzerpool-Anmeldung über einen Drittanbieter - Amazon Cognito
Funktionsweise der Verbundanmeldung in Amazon-Cognito-BenutzerpoolsDie Verantwortlichkeiten einer App als SP für Amazon CognitoWissenswertes über die Anmeldung von Drittanbietern bei Amazon-Cognito-Benutzerpools

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hinzufügen einer Benutzerpool-Anmeldung über einen Drittanbieter

Ihre App-Benutzer können sich entweder direkt über einen Benutzerpool anmelden oder sich über einen externen Identitätsanbieter (IdP) zusammenschließen. Der Benutzerpool verwaltet den Aufwand für die Verwaltung der Token, die bei der Anmeldung in sozialen Netzwerken über Facebook, Google, Amazon und Apple sowie von OpenID Connect (OIDC) und zurückgegeben werden. SAML IdPs Mit der integrierten gehosteten Weboberfläche bietet Amazon Cognito die Token-Handhabung und -Verwaltung für authentifizierte Benutzer aller Art. IdPs Auf diese Weise können Ihre Backend-Systeme auf einen Satz von Benutzerpool-Token standardisiert werden.

Funktionsweise der Verbundanmeldung in Amazon-Cognito-Benutzerpools

Die Anmeldung über einen Drittanbieter (Verbund) in Amazon-Cognito-Benutzerpools wird unterstützt. Diese Funktion ist unabhängig von Verbund über Amazon-Cognito-Identitätspools (Verbundidentitäten).

Authentifizierung mit sozialer Anmeldung – Übersicht

Amazon Cognito ist ein Benutzerverzeichnis und ein OAuth 2.0-Identitätsanbieter (IdP). Wenn Sie lokale Benutzer im Amazon-Cognito-Verzeichnis anmelden, ist Ihr Benutzerpool ein IDP für Ihre App. Ein lokaler Benutzer existiert ausschließlich in Ihrem Benutzerpool-Verzeichnis ohne Verbund über einen externen IdP.

Wenn Sie Amazon Cognito mit Social oder OpenID Connect (OIDC) verbinden IdPs, fungiert Ihr Benutzerpool als Brücke zwischen mehreren Dienstanbietern und Ihrer App. SAML Für Ihren IDP ist Amazon Cognito ein Serviceanbieter (SP). Sie IdPs übergeben ein OIDC ID-Token oder eine SAML Assertion an Amazon Cognito. Amazon Cognito liest die Ansprüche über Ihren Benutzer im Token oder in der Assertion und ordnet diese Ansprüche einem neuen Benutzerprofil in Ihrem Benutzerpool-Verzeichnis zu.

Amazon Cognito erstellt dann ein Benutzerprofil für Ihren Verbundbenutzer in seinem eigenen Verzeichnis. Amazon Cognito fügt Ihrem Benutzer Attribute hinzu, die auf den Angaben Ihres IdP und, im Fall von Anbietern sozialer Identitäten, auf einem von OIDC IdP betriebenen öffentlichen Endpunkt basieren. userinfo Die Attribute Ihres Benutzers ändern sich in Ihrem Benutzerpool, wenn sich ein zugeordnetes IDP-Attribut ändert. Sie können auch weitere Attribute hinzufügen, die unabhängig von denen des IDP sind.

Nachdem Amazon Cognito ein Profil für Ihren Verbundbenutzer erstellt hat, ändert es seine Funktion und präsentiert sich als IDP für Ihre App, die jetzt der SP ist. Amazon Cognito ist eine Kombination aus OIDC OAuth 2.0 IdP. Es generiert Zugriffstoken, ID-Token und Aktualisierungs-Token. Weitere Informationen über Token finden Sie unter Grundlegendes zu JSON Benutzerpool-Webtoken (JWTs).

Sie müssen eine App entwickeln, die in Amazon Cognito integriert ist, um Ihre Benutzer zu authentifizieren und zu autorisieren, unabhängig davon, ob es sich um Verbund- oder lokale Benutzer handelt.

Die Verantwortlichkeiten einer App als SP für Amazon Cognito

Die Informationen in den Token überprüfen und verarbeiten

In den meisten Szenarien leitet Amazon Cognito Ihren authentifizierten Benutzer zu einer App weiterURL, der ein Autorisierungscode angehängt wird. Ihre App tauscht den Code durch Zugriffs-, ID- und Aktualisierungs-Token aus. Dann muss sie die Gültigkeit der Token überprüfen und basierend auf den Ansprüchen in den Token Informationen an Ihren Benutzer senden.

Reagieren Sie auf Authentifizierungsereignisse mit Amazon Cognito API Cognito-Anfragen

Ihre App muss in die Amazon Cognito Cognito-Benutzerpools API und die APIAuthentifizierungsendpunkte integriert werden. Die Authentifizierung API meldet Ihren Benutzer an und ab und verwaltet Token. Die Benutzerpools verfügen API über eine Vielzahl von Vorgängen, mit denen Ihr Benutzerpool, Ihre Benutzer und die Sicherheit Ihrer Authentifizierungsumgebung verwaltet werden. Ihre App muss wissen, was als Nächstes zu tun ist, wenn sie eine Antwort von Amazon Cognito erhält.

Wissenswertes über die Anmeldung von Drittanbietern bei Amazon-Cognito-Benutzerpools

  • Wenn Sie möchten, dass sich Ihre Benutzer bei Verbundanbietern anmelden, müssen Sie eine Domäne auswählen. Dadurch werden die von Amazon Cognito gehostete Benutzeroberfläche und die gehosteten Benutzeroberflächen und OIDC Endpunkte eingerichtet. Weitere Informationen finden Sie unter Verwenden der eigenen Domäne für die gehostete Benutzeroberfläche.

  • Sie können Verbundbenutzer nicht mit API Operationen wie und anmelden. InitiateAuthAdminInitiateAuth Verbundbenutzer können sich nur mit dem Login-Endpunkt oder dem Autorisieren des Endpunkts anmelden.

  • Autorisieren des Endpunkts ist ein Umleitungsendpunkt. Wenn Sie einen Parameter idp_identifier oder identity_provider in Ihrer Anforderung angeben, wird diese unter Umgehung der gehosteten Benutzeroberfläche automatisch an Ihren IDP umgeleitet. Andernfalls erfolgt eine Umleitung an den Login-Endpunkt der gehosteten Benutzeroberfläche.

  • Wenn die gehostete Benutzeroberfläche eine Sitzung an einen Verbund-IDP umleitet, enthält Amazon Cognito den user-agent-Header Amazon/Cognito in der Anforderung.

  • Amazon Cognito leitet das Attribut username für ein Verbundbenutzerprofil aus einer Kombination aus einer festen Kennung und dem Namen Ihres IDP ab. Wenn Sie einen Benutzernamen generieren möchten, der Ihren benutzerdefinierten Anforderungen entspricht, erstellen Sie eine Zuordnung zum Attribut preferred_username. Weitere Informationen finden Sie unter Wissenswertes über Mappings.

    Beispiel: MyIDP_bob@example.com

  • Amazon Cognito zeichnet Informationen über die Identität Ihres Verbundbenutzers in einem Attribut und einen Anspruch im ID-Token, mit den Namen identities, auf. Dieser Anspruch enthält den Anbieter Ihres Benutzers und seine eindeutige ID vom Anbieter. Sie können das Attribut identities nicht direkt in einem Benutzerprofil ändern. Weitere Informationen zur Verknüpfung eines Verbundbenutzers finden Sie unter Verknüpfen von Verbundbenutzern mit einem vorhandenen Benutzerprofil.

  • Wenn Sie Ihren IdP in einem aktualisieren UpdateIdentityProviderAPIBei einer Anfrage kann es bis zu einer Minute dauern, bis Ihre Änderungen in der gehosteten Benutzeroberfläche angezeigt werden.

  • Amazon Cognito unterstützt bis zu 20 HTTP Weiterleitungen zwischen Amazon Cognito und Ihrem IdP.

  • Wenn sich Ihr Benutzer mit der gehosteten Benutzeroberfläche anmeldet, speichert sein Browser ein verschlüsseltes Cookie für die Anmeldesitzung, das den Client und den Anbieter aufzeichnet, mit dem er sich angemeldet hat. Wenn er erneut versucht, sich mit denselben Parametern anzumelden, verwendet die gehostete Benutzeroberfläche jede bestehende Sitzung, die noch nicht abgelaufen ist, und der Benutzer authentifiziert sich, ohne erneut Anmeldeinformationen einzugeben. Wenn sich Ihr Benutzer erneut mit einem anderen IdP anmeldet, einschließlich eines Wechsels zu oder von der lokalen Benutzerpool-Anmeldung, muss er Anmeldeinformationen angeben und eine neue Anmeldesitzung erstellen.

    Sie können einen beliebigen Benutzerpool einem IdPs beliebigen App-Client zuweisen, und Benutzer können sich nur mit einem IdP anmelden, den Sie ihrem App-Client zugewiesen haben.

Themen