Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon-Cognito-Benutzerpools
Ein Amazon-Cognito-Benutzerpool ist ein Benutzerverzeichnis für die Authentifizierung und Autorisierung von Web- und mobilen Apps. Aus Sicht Ihrer App ist ein Amazon Cognito Cognito-Benutzerpool ein OpenID Connect (OIDC) -Identitätsanbieter (IdP). Ein Benutzerpool bietet zusätzliche Ebenen für Sicherheit, Identitätsverbund, Anwendungsintegration und Anpassung der Benutzerumgebung.
Sie können beispielsweise überprüfen, ob die Sitzungen Ihrer Benutzer aus vertrauenswürdigen Quellen stammen. Sie können das Amazon-Cognito-Verzeichnis mit einem externen Identitätsanbieter kombinieren. Mit Ihrem bevorzugten AWS SDK Autorisierungsmodell können Sie das API Autorisierungsmodell wählen, das für Ihre App am besten geeignet ist. Dazu können Sie AWS Lambda -Funktionen hinzufügen, die das Standardverhalten von Amazon Cognito ändern oder überarbeiten.
Themen
- Features
- Authentifizierung mit einem Benutzerpool
- Verwenden der Benutzerpools API und des Autorisierungsservers
- Aktualisierung der Benutzerpool- und App-Client-Konfiguration
- Verwaltung der gehosteten Benutzeroberfläche und des Autorisierungsservers
- Bereiche, M2M und APIs mit Ressourcenservern
- Hinzufügen einer Benutzerpool-Anmeldung über einen Drittanbieter
- Anpassen von Benutzerpool-Workflows mit Lambda-Auslösern
- Verwendung von Amazon Pinpoint für Benutzerpool-Analysen
- Verwalten von Benutzern in Ihrem Benutzerpool
- E-Mail-Einstellungen für Amazon-Cognito-Benutzerpools
- SMSNachrichteneinstellungen für Amazon Cognito Cognito-Benutzerpools
- Grundlegendes zu JSON Benutzerpool-Webtoken (JWTs)
- Zugriff auf Ressourcen nach erfolgreicher Anmeldung
- Verwendung der Sicherheitsfunktionen für Amazon-Cognito-Benutzerpools
- Benutzerpool-Endpunkte und Referenz für gehostete Benutzeroberflächen
Features
Amazon-Cognito-Benutzerpools haben die folgenden Merkmale.
Registrieren
Amazon-Cognito-Benutzerpools verfügen über benutzergesteuerte, administratorgesteuerte und programmatische Methoden, um Ihrem Benutzerpool Benutzerprofile hinzuzufügen. Amazon-Cognito-Benutzerpools unterstützen die folgenden Anmeldemodelle. Sie können eine beliebige Kombination dieser Modelle in Ihrer App verwenden.
Wichtig
Wenn Sie die Benutzerregistrierung in Ihrem Benutzerpool aktivieren, kann sich jeder im Internet für ein Konto registrieren und bei Ihren Apps anmelden. Aktivieren Sie die Selbstregistrierung in Ihrem Benutzerpool nur dann, wenn Sie die öffentliche Registrierung für Ihre App aktivieren möchten. Um diese Einstellung zu ändern, aktualisieren Sie die Self-Service-Registrierung auf der Registerkarte „Anmeldevorgang“ der Benutzerpool-Konsole oder aktualisieren Sie den Wert AllowAdminCreateUserOnlyin einer CreateUserPoolOder-Anfrage. UpdateUserPoolAPI
Hinweise zu Sicherheitsfunktionen, die Sie in Ihren Benutzerpools einrichten können, finden Sie unter Verwendung der Sicherheitsfunktionen für Amazon-Cognito-Benutzerpools.
-
Ihre Benutzer können ihre Informationen in Ihre App eingeben und ein Benutzerprofil erstellen, das für Ihren Benutzerpool spezifisch ist. Sie können API Anmeldevorgänge aufrufen, um Benutzer in Ihrem Benutzerpool zu registrieren. Sie können diese Anmeldevorgänge für jedermann öffnen oder sie mit einem geheimen Kundengeheimnis oder Anmeldeinformationen autorisieren. AWS
-
Sie können Benutzer an einen externen IdP weiterleiten, den sie autorisieren können, ihre Informationen an Amazon Cognito weiterzugeben. Amazon Cognito verarbeitet OIDC ID-Token, OAuth
userInfo
2.0-Daten und SAML 2.0-Assertionen zu Benutzerprofilen in Ihrem Benutzerpool. Sie kontrollieren die Attribute, die Amazon Cognito erhalten soll, auf der Grundlage von Regeln für die Attributzuordnung. -
Sie können die öffentliche oder Verbundregistrierung überspringen und Benutzer auf der Grundlage Ihrer eigenen Datenquelle und Ihres eigenen Schemas erstellen. Fügen Sie Benutzer direkt in der Amazon Cognito Cognito-Konsole hinzu oderAPI. Benutzer aus einer CSV Datei importieren. Führen Sie eine just-in-time AWS Lambda Funktion aus, die Ihren neuen Benutzer in einem vorhandenen Verzeichnis sucht und sein Benutzerprofil anhand vorhandener Daten auffüllt.
Nachdem sich Ihre Benutzer angemeldet haben, können Sie sie zu Gruppen hinzufügen, die Amazon Cognito in den Zugriffs- und ID-Token auflistet. Sie können Benutzerpoolgruppen auch mit IAM Rollen verknüpfen, wenn Sie das ID-Token an einen Identitätspool übergeben.
Verwandte Themen
Anmelden
Amazon Cognito kann ein eigenständiges Benutzerverzeichnis und ein Identitätsanbieter (IDP) für Ihre App sein. Ihre Benutzer können sich mit einer von Amazon Cognito gehosteten Benutzeroberfläche oder mit Ihrer eigenen Benutzeroberfläche über die Amazon Cognito Cognito-Benutzerpools anmelden. API Die Anwendungsebene hinter Ihrer benutzerdefinierten Frontend-Benutzeroberfläche kann Anfragen im Backend mit einer von mehreren Methoden autorisieren, um legitime Anfragen zu bestätigen.
Um Benutzer mit einem externen Verzeichnis anzumelden, das optional mit dem in Amazon Cognito integrierten Benutzerverzeichnis kombiniert ist, können Sie die folgenden Integrationen hinzufügen.
-
Melden Sie sich mit Social Sign-In OAuth 2.0 an und importieren Sie Benutzerdaten von Verbrauchern. Amazon Cognito unterstützt die Anmeldung bei Google, Facebook, Amazon und Apple bis OAuth 2.0.
-
Melden Sie sich an und importieren Sie Unternehmensbenutzerdaten mit SAML und OIDC melden Sie sich an. Sie können Amazon Cognito auch so konfigurieren, dass Ansprüche von beliebigen SAML oder OpenID Connect (OIDC) -Identitätsanbietern (IdP) akzeptiert werden.
-
Verknüpfen Sie externe Benutzerprofile mit nativen Benutzerprofilen. Ein verknüpfter Benutzer kann sich mit einer Benutzeridentität eines Drittanbieters anmelden und Zugriff erhalten, den Sie einem Benutzer im integrierten Verzeichnis zuweisen.
Verwandte Themen
Machine-to-machine Autorisierung
Manche Sitzungen sind keine human-to-machine Interaktion. Möglicherweise benötigen Sie ein Dienstkonto, mit dem Sie eine Anfrage an API ein automatisiertes Verfahren autorisieren können. Um Zugriffstoken für die machine-to-machine Autorisierung mit OAuth 2.0-Bereichen zu generieren, können Sie einen App-Client hinzufügen, der Berechtigungen für Client-Anmeldeinformationen
Verwandte Themen
Gehostete Benutzeroberfläche
Wenn Sie keine Benutzeroberfläche erstellen möchten, können Sie Ihren Benutzern eine benutzerdefinierte, von Amazon Cognito gehostete Benutzeroberfläche präsentieren. Die gehostete Benutzeroberfläche besteht aus einer Reihe von Webseiten für die Registrierung, Anmeldung, Multi-Faktor-Authentifizierung () MFA und das Zurücksetzen von Passwörtern. Sie können die gehostete Benutzeroberfläche zu Ihrer vorhandenen Domain hinzufügen oder eine Präfix-ID in einer Subdomain verwenden. AWS
Verwandte Themen
Sicherheit
Ihre lokalen Benutzer können einen zusätzlichen Authentifizierungsfaktor mit einem Code aus einer SMS Nachricht oder einer App bereitstellen, die Multi-Faktor-Authentifizierungscodes (MFA) generiert. Sie können Mechanismen für die Einrichtung und Verarbeitung MFA in Ihrer App erstellen, oder Sie können sie von der gehosteten Benutzeroberfläche verwalten lassen. Amazon Cognito Cognito-Benutzerpools können umgehenMFA, wenn sich Ihre Benutzer von vertrauenswürdigen Geräten aus anmelden.
Wenn Sie dies zunächst nicht MFA von Ihren Benutzern verlangen möchten, können Sie dies unter bestimmten Bedingungen verlangen. Mit fortschrittlichen Sicherheitsfunktionen kann Amazon Cognito potenzielle böswillige Aktivitäten erkennen und Ihren Benutzer auffordernMFA, die Anmeldung einzurichten oder zu blockieren.
Wenn der Netzwerkverkehr zu Ihrem Benutzerpool bösartig sein könnte, können Sie ihn überwachen und über das Internet Maßnahmen ergreifen. AWS WAF ACLs
Verwandte Themen
Benutzerdefinierte Nutzerumgebung
In den meisten Phasen der Registrierung, Anmeldung oder Profilaktualisierung eines Benutzers können Sie einstellen, wie Amazon Cognito die Anfrage behandelt. Mit Lambda-Auslösern können Sie ein ID-Token ändern oder eine Anmeldeanfrage auf der Grundlage benutzerdefinierter Bedingungen ablehnen. Sie können Ihren eigenen benutzerdefinierten Authentifizierungsprozess erstellen.
Sie können benutzerdefinierte Benutzeroberflächen CSS und Logos hochladen, um Ihren Benutzern ein vertrautes Erscheinungsbild der gehosteten Benutzeroberfläche zu verleihen.
Verwandte Themen
Überwachung und Analytik
Amazon Cognito Cognito-Benutzer API bündeln Protokollanforderungen, einschließlich Anfragen an die gehostete Benutzeroberfläche, AWS CloudTrail unter. Sie können Leistungskennzahlen in Amazon CloudWatch Logs überprüfen, benutzerdefinierte Protokolle CloudWatch mit Lambda-Triggern übertragen und das API Anforderungsvolumen in der Service Quotas Quotas-Konsole überwachen.
Sie können auch Geräte- und Sitzungsdaten aus Ihren API Anfragen für eine Amazon Pinpoint Pinpoint-Kampagne protokollieren. Mit Amazon Pinpoint können Sie basierend auf Ihrer Analyse der Benutzeraktivitäten Push-Benachrichtigungen von Ihrer App aus senden.
Verwandte Themen
Integration von Amazon-Cognito-Identitätspools
Die andere Hälfte von Amazon Cognito sind die Identitätspools. Identitätspools stellen Anmeldeinformationen bereit, mit denen API Anfragen Ihrer Benutzer an AWS-Services beispielsweise Amazon DynamoDB oder Amazon S3 autorisiert und überwacht werden können. Sie können identitätsbasierte Zugriffsrichtlinien erstellen, die Ihre Daten, basierend darauf schützen, wie Sie die Benutzer in Ihrem Benutzerpool klassifizieren. Identitätspools können unabhängig von der Benutzerpool-Authentifizierung auch Tokens und SAML 2.0-Assertions von einer Vielzahl von Identitätsanbietern akzeptieren.