Benutzerpool-Endpunkte und Referenz für gehostete Benutzeroberflächen - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzerpool-Endpunkte und Referenz für gehostete Benutzeroberflächen

Amazon Cognito bietet zwei Modelle der Benutzerpool-Authentifizierung: mit den Benutzerpools API und mit dem OAuth 2.0-Autorisierungsserver. Verwenden Sie dieAPI, wenn Sie OpenID Connect (OIDC) -Tokens mit einem Backend AWS SDK in Ihrer Anwendung abrufen möchten. Verwenden Sie den Autorisierungsserver, wenn Sie Ihren Benutzerpool als OIDC Anbieter implementieren möchten. Der Autorisierungsserver fügt Funktionen wie die Verbundanmeldung APIund die M2M-Autorisierung mit Zugriffstoken-Bereichen sowie die gehostete Benutzeroberfläche hinzu. Sie können die OIDC Modelle API und jeweils einzeln oder zusammen verwenden, wobei sie auf Benutzerpoolebene oder App-Client-Ebene konfiguriert sind. Dieser Abschnitt ist eine Referenz für die Implementierung des OIDC Modells. Weitere Informationen zu den beiden Authentifizierungsmodellen finden Sie unterVerwenden der Benutzerpools API und des Autorisierungsservers.

Amazon Cognito aktiviert die hier aufgeführten öffentlichen Webseiten, wenn Sie Ihrem Benutzerpool eine Domain zuweisen. Ihre Domain dient als zentraler Zugangspunkt für alle Ihre App-Clients. Sie umfassen die gehostete Benutzeroberfläche, auf der sich Ihre Benutzer registrieren und anmelden (Login-Endpunkt) sowie abmelden (Logout-Endpunkt) können. Weitere Informationen zu diesen Ressourcen finden Sie unter Verwaltung der gehosteten Benutzeroberfläche und des Autorisierungsservers.

Diese Seiten enthalten auch die öffentlichen Webressourcen, die es Ihrem Benutzerpool ermöglichenSAML, mit OpenID Connect (OIDC) und OAuth 2.0-Identitätsanbietern (IdPs) von Drittanbietern zu kommunizieren. Um einen Benutzer mit einem Federated Identity Provider anzumelden, müssen Ihre Benutzer eine Anfrage an die interaktive gehostete Benutzeroberfläche Login-Endpunkt oder an den senden. OIDC Autorisieren des Endpunkts Der Authorize-Endpunkt leitet Ihre Benutzer entweder zu Ihrer gehosteten Benutzeroberfläche oder zu Ihrer IdP-Anmeldeseite weiter.

Ihre App kann auch lokale Benutzer mit den Amazon Cognito Cognito-Benutzerpools API anmelden. Ein lokaler Benutzer existiert ausschließlich in Ihrem Benutzerpool-Verzeichnis ohne Verbund über einen externen IdP.

Neben der gehosteten Benutzeroberfläche und den Verbundendpunkten lässt sich Amazon Cognito auch in SDKs Android JavaScript, iOS und mehr integrieren. SDKsSie bieten Tools zur Durchführung von API Benutzerpool-Vorgängen mit Amazon API Cognito-Serviceendpunkten. Weitere Hinweise zu Service-Endpunkten finden Sie unter Endpunkte und Kontingente von Amazon Cognito Identity.

Warnung

Fixieren Sie die Endentitäts- oder Zwischenzertifikate für Transport Layer Security (TLS) nicht für Amazon Cognito Cognito-Domains. AWS verwaltet alle Zertifikate für all Ihre Benutzerpool-Endpunkte und Präfix-Domains. Die Zertifizierungsstellen (CAs) in der Vertrauenskette, die Amazon Cognito Cognito-Zertifikate unterstützt, rotieren und erneuern sich dynamisch. Wenn Sie Ihre App an ein Zwischen- oder Leaf-Zertifikat anheften, kann es sein, dass Ihre App bei wechselnden AWS Zertifikaten ohne Vorankündigung fehlschlägt.

Heften Sie Ihre Anwendung stattdessen an alle verfügbaren Amazon-Stammzertifikate an. Weitere Informationen finden Sie unter „Bewährte Verfahren und Empfehlungen“ unter Zertifikat-Pinning im AWS Certificate Manager -Benutzerhandbuch.