Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Amazon-Cognito-Benutzerpools

PDF
Fokusmodus
Amazon-Cognito-Benutzerpools - Amazon Cognito
Features

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ein Amazon-Cognito-Benutzerpool ist ein Benutzerverzeichnis für die Authentifizierung und Autorisierung von Web- und mobilen Apps. Aus der Sicht Ihrer App ist ein Amazon-Cognito-Benutzerpool ein OIDC (OpenID Connect)-Identitätsanbieter. Ein Benutzerpool bietet zusätzliche Ebenen für Sicherheit, Identitätsverbund, Anwendungsintegration und Anpassung der Benutzerumgebung.

Sie können beispielsweise überprüfen, ob die Sitzungen Ihrer Benutzer aus vertrauenswürdigen Quellen stammen. Sie können das Amazon-Cognito-Verzeichnis mit einem externen Identitätsanbieter kombinieren. Mit Ihrem bevorzugten AWS SDK können Sie das API-Autorisierungsmodell auswählen, das für Ihre App am besten geeignet ist. Dazu können Sie  AWS Lambda -Funktionen hinzufügen, die das Standardverhalten von Amazon Cognito ändern oder überarbeiten.

Ein Diagramm mit einem allgemeinen Überblick über die Funktionsweise von Benutzerpools. Clients können sich mit Anwendungen anmelden, die mithilfe eines AWS SDK erstellt wurden, oder mit dem in Benutzerpools integrierten OIDC-IdP. Benutzerpools vereinheitlichen auch Anmeldeprozesse für mehrere Social-, OpenID Connect- und SAML 2.0-Identitätsanbieter.
Themen

Features

Amazon-Cognito-Benutzerpools haben die folgenden Merkmale.

Registrieren

Amazon-Cognito-Benutzerpools verfügen über benutzergesteuerte, administratorgesteuerte und programmatische Methoden, um Ihrem Benutzerpool Benutzerprofile hinzuzufügen. Amazon-Cognito-Benutzerpools unterstützen die folgenden Anmeldemodelle. Sie können eine beliebige Kombination dieser Modelle in Ihrer App verwenden.

Wichtig

Wenn Sie die Benutzerregistrierung in Ihrem Benutzerpool aktivieren, kann sich jeder im Internet für ein Konto registrieren und bei Ihren Apps anmelden. Aktivieren Sie die Selbstregistrierung in Ihrem Benutzerpool nur dann, wenn Sie die öffentliche Registrierung für Ihre App aktivieren möchten. Um diese Einstellung zu ändern, aktualisieren Sie die Self-Service-Anmeldung im Anmeldemenü unter Authentifizierung in der Benutzerpool-Konsole oder aktualisieren Sie den Wert von in einer oder API-Anfrage. AllowAdminCreateUserOnly CreateUserPool UpdateUserPool

Hinweise zu Sicherheitsfunktionen, die Sie in Ihren Benutzerpools einrichten können, finden Sie unter Verwendung der Sicherheitsfunktionen für Amazon-Cognito-Benutzerpools.

  1. Ihre Benutzer können ihre Informationen in Ihre App eingeben und ein Benutzerprofil erstellen, das für Ihren Benutzerpool spezifisch ist. Sie können API-Anmeldevorgänge aufrufen, um Benutzer in Ihrem Benutzerpool zu registrieren. Sie können diese Anmeldevorgänge für jedermann öffnen oder sie mit einem geheimen Kundengeheimnis oder Anmeldeinformationen autorisieren. AWS

  2. Sie können Benutzer an einen externen IdP weiterleiten, den sie autorisieren können, ihre Informationen an Amazon Cognito weiterzugeben. Amazon Cognito verarbeitet OIDC-ID-Token, OAuth userInfo 2.0-Daten und SAML 2.0-Assertionen zu Benutzerprofilen in Ihrem Benutzerpool. Sie kontrollieren die Attribute, die Amazon Cognito erhalten soll, auf der Grundlage von Regeln für die Attributzuordnung.

  3. Sie können die öffentliche oder Verbundregistrierung überspringen und Benutzer auf der Grundlage Ihrer eigenen Datenquelle und Ihres eigenen Schemas erstellen. Fügen Sie Benutzer direkt in der Amazon-Cognito-Konsole oder der API hinzu. Importieren von Benutzern aus einer CSV-Datei. Führen Sie eine just-in-time AWS Lambda Funktion aus, die Ihren neuen Benutzer in einem vorhandenen Verzeichnis sucht und sein Benutzerprofil anhand vorhandener Daten auffüllt.

Nachdem sich Ihre Benutzer angemeldet haben, können Sie sie zu Gruppen hinzufügen, die Amazon Cognito in den Zugriffs- und ID-Token auflistet. Sie können Benutzerpoolgruppen auch mit IAM-Rollen verknüpfen, wenn Sie das ID-Token an einen Identitätspool übergeben.

Verwandte Themen

Anmelden

Amazon Cognito kann ein eigenständiges Benutzerverzeichnis und ein  Identitätsanbieter (IDP) für Ihre App sein. Ihre Benutzer können sich mit verwalteten Anmeldeseiten, die von Amazon Cognito gehostet werden, oder mit einem maßgeschneiderten Benutzerauthentifizierungsservice über die Amazon Cognito Cognito-Benutzerpools-API anmelden. Die Anwendungsebene hinter Ihrem maßgeschneiderten Frontend kann Anfragen am Backend mit einer von mehreren Methoden autorisieren, um legitime Anfragen zu bestätigen.

Benutzer können Benutzernamen und Passwörter, Hauptschlüssel sowie Einmalpasswörter für E-Mail- und SMS-Nachrichten einrichten und mit ihnen signieren. Sie können eine konsolidierte Anmeldung mit externen Benutzerverzeichnissen, Multi-Faktor-Authentifizierung (MFA) nach der Anmeldung, vertrauenswürdigen Geräten und von Ihnen entworfene benutzerdefinierte Authentifizierungsabläufe anbieten.

Um Benutzer mit einem externen Verzeichnis anzumelden, das optional mit dem in Amazon Cognito integrierten Benutzerverzeichnis kombiniert ist, können Sie die folgenden Integrationen hinzufügen.

  1. Melden Sie sich an und importieren Sie Kundenbenutzerdaten mit Social Sign-In OAuth 2.0. Amazon Cognito unterstützt die Anmeldung bei Google, Facebook, Amazon und Apple bis OAuth 2.0.

  2. Melden Sie sich mit SAML- und OIDC-Anmeldung an und importieren Sie Benutzerdaten für Arbeit und Schule. Sie können Amazon Cognito auch so konfigurieren, dass es Anforderungen von jedem SAML- oder OpenID Connect (OIDC)-Identitätsanbieter (IDP) akzeptiert.

  3. Verknüpfen Sie externe Benutzerprofile mit nativen Benutzerprofilen. Ein verknüpfter Benutzer kann sich mit einer Benutzeridentität eines Drittanbieters anmelden und Zugriff erhalten, den Sie einem Benutzer im integrierten Verzeichnis zuweisen.

Verwandte Themen
Machine-to-machine Autorisierung

Manche Sitzungen sind keine human-to-machine Interaktion. Möglicherweise benötigen Sie ein Servicekonto, das eine Anfrage an eine API durch einen automatisierten Prozess autorisieren kann. Um Zugriffstoken für die machine-to-machine Autorisierung mit OAuth 2.0-Bereichen zu generieren, können Sie einen App-Client hinzufügen, der Berechtigungen für Client-Anmeldeinformationen generiert.

Verwandte Themen

Verwaltete Anmeldung

Wenn Sie keine Benutzeroberfläche erstellen möchten, können Sie Ihren Benutzern benutzerdefinierte verwaltete Anmeldeseiten anbieten. Bei der verwalteten Anmeldung handelt es sich um eine Reihe von Webseiten für die Registrierung, Anmeldung, Multi-Faktor-Authentifizierung (MFA) und das Zurücksetzen von Passwörtern. Sie können Ihrer bestehenden Domain eine verwaltete Anmeldung hinzufügen oder eine Präfix-ID in einer Subdomain verwenden. AWS

Verwandte Themen

Sicherheit

Ihre lokalen Benutzer können einen zusätzlichen Authentifizierungsfaktor mit einem Code aus einer SMS- oder E-Mail-Nachricht oder einer App bereitstellen, die Multi-Faktor-Authentifizierungscodes (MFA) generiert. Sie können Mechanismen erstellen, um MFA in Ihrer Anwendung einzurichten und zu verarbeiten, oder Sie können sie von Managed Login verwalten lassen. Amazon-Cognito-Benutzerpools können MFA umgehen, wenn sich Ihre Benutzer von vertrauenswürdigen Geräten aus anmelden.

Wenn Sie MFA zunächst nicht von Ihren Benutzern verlangen möchten, können Sie dies unter bestimmten Bedingungen anfordern. Mit erweiterten Sicherheitsfunktionen kann Amazon Cognito potenzielle böswillige Aktivitäten erkennen und Ihre Benutzer auffordern, MFA einzurichten oder die Anmeldung blockieren.

Wenn der Netzwerkverkehr zu Ihrem Benutzerpool bösartig sein könnte, können Sie ihn überwachen und über das AWS WAF Internet ACLs entsprechende Maßnahmen ergreifen.

Verwandte Themen

Benutzerdefinierte Nutzerumgebung

In den meisten Phasen der Registrierung, Anmeldung oder Profilaktualisierung eines Benutzers können Sie einstellen, wie Amazon Cognito die Anfrage behandelt. Mit Lambda-Auslösern können Sie ein ID-Token ändern oder eine Anmeldeanfrage auf der Grundlage benutzerdefinierter Bedingungen ablehnen. Sie können Ihren eigenen benutzerdefinierten Authentifizierungsprozess erstellen.

Sie können benutzerdefiniertes CSS und Logos hochladen, um Ihren Benutzern das vertraute Erscheinungsbild der verwalteten Anmeldung zu verleihen.

Verwandte Themen

Überwachung und Analytik

Amazon Cognito Cognito-Benutzerpools protokollieren API-Anfragen, einschließlich Anfragen zur verwalteten Anmeldung, an AWS CloudTrail. In der Service Quotas Quotas-Konsole können Sie Leistungskennzahlen in Amazon CloudWatch Logs überprüfen, benutzerdefinierte Protokolle CloudWatch mit Lambda-Triggern per Push übertragen, die E-Mail- und SMS-Nachrichtenzustellung überwachen und das Volumen der API-Anfragen überwachen.

Mit dem Plus-Funktionsplan können Sie mithilfe von Technologie für automatisiertes Lernen die Versuche zur Benutzerauthentifizierung auf Anzeichen von Sicherheitslücken hin überwachen und Risiken sofort beheben. Diese erweiterten Sicherheitsfunktionen protokollieren auch Benutzeraktivitäten in Ihrem Benutzerpool und optional in Amazon S3, CloudWatch Logs oder Amazon Data Firehose.

Sie können auch Geräte- und Sitzungsdaten aus Ihren API-Anfragen für eine Amazon-Pinpoint-Kampagne protokollieren. Mit Amazon Pinpoint können Sie basierend auf Ihrer Analyse der Benutzeraktivitäten Push-Benachrichtigungen von Ihrer App aus senden.

Verwandte Themen

Integration von Amazon-Cognito-Identitätspools

Die andere Hälfte von Amazon Cognito sind die Identitätspools. Identitätspools stellen Anmeldeinformationen bereit, mit denen API-Anfragen von Ihren Benutzern autorisiert und überwacht werden können AWS-Services, z. B. an Amazon DynamoDB oder Amazon S3. Sie können identitätsbasierte Zugriffsrichtlinien erstellen, die Ihre Daten, basierend darauf schützen, wie Sie die Benutzer in Ihrem Benutzerpool klassifizieren. Identitätspools können unabhängig von der Benutzerpool-Authentifizierung auch Tokens und SAML-2.0-Assertions von einer Vielzahl von Identitätsanbietern akzeptieren.

Verwandte Themen

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.