Bewährte Methoden für Anwendungen für mehrere Mandanten - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für Anwendungen für mehrere Mandanten

Amazon Cognito Cognito-Benutzerpools arbeiten mit Mehrmandantenanwendungen, die eine Menge von Anfragen generieren, die innerhalb der Amazon Cognito Cognito-Kontingente bleiben müssen. Um diese Kapazität zu erhöhen, wenn Ihr Kundenstamm wächst, können Sie zusätzliche Kontingentkapazität erwerben.

Anmerkung

Amazon Cognito Cognito-Kontingente werden pro AWS-Konto und AWS-Region angewendet. Diese Kontingente werden für alle Mandanten in Ihrer Anwendung freigegeben. Überprüfen Sie die Amazon Cognito-Servicekontingente und stellen Sie sicher, dass das Kontingent dem erwarteten Volumen und der erwarteten Anzahl von Mandanten in Ihrer Anwendung entspricht.

In diesem Abschnitt werden Methoden beschrieben, die Sie implementieren können, um Mandanten zwischen Amazon Cognito Cognito-Ressourcen innerhalb derselben Region und AWS-Konto zu trennen. Sie können Ihre Mandanten auch auf mehrere Mandanten AWS-Konto oder Regionen aufteilen und jedem von ihnen ein eigenes Kontingent zuweisen. Zu den weiteren Vorteilen der Mehrmandantenfähigkeit in mehreren Regionen gehören der höchstmögliche Isolationsgrad, die kürzeste Netzwerkübertragungszeit für global verteilte Benutzer und die Einhaltung der bestehenden Vertriebsmodelle in Ihrem Unternehmen.

Die Nutzung mehrerer Mandanten in einer Region kann auch Vorteile für Ihre Kunden und Administratoren haben.

In der folgenden Liste werden einige der Vorteile von Mehrmandantenfähigkeit mit gemeinsam genutzten Ressourcen beschrieben.

Vorteile von Mehrmandantenverhältnissen
Gemeinsames Benutzerverzeichnis

Multi-Tenancy unterstützt Modelle, bei denen Kunden Konten in mehr als einer Anwendung haben. Sie können Identitäten von Drittanbietern zu einem einzigen konsistenten Benutzerpoolprofil verknüpfen. In Fällen, in denen Benutzerprofile nur für ihren Mandanten gelten, verfügt jede Mehrmandantenstrategie mit einem einzigen Benutzerpool über einen einzigen Zugangspunkt zur Benutzerverwaltung.

Allgemeine Sicherheit

In einem gemeinsam genutzten Benutzerpool können Sie einen einzigen Sicherheitsstandard erstellen und dieselben erweiterten Sicherheitsstandards, mehrstufige Authentifizierung (MFA) und dieselben AWS WAFStandards auf alle Mandanten anwenden. Da sich ein AWS WAF Web in derselben Ressource befinden ACL muss AWS-Region wie die Ressource, der Sie es zuordnen, bietet die Mehrmandantenfähigkeit gemeinsamen Zugriff auf eine komplexe Ressource. Wenn Sie eine konsistente Sicherheitskonfiguration in Amazon Cognito Cognito-Anwendungen mit mehreren Regionen aufrechterhalten möchten, müssen Sie Betriebsstandards anwenden, die Ihre Konfiguration zwischen Ressourcen replizieren.

Allgemeine Anpassung

Sie können Benutzerpools und Identitätspools mit anpassen AWS Lambda. Die Konfiguration von Lambda-Triggern in Benutzerpools und Amazon Cognito Cognito-Ereignissen in Identitätspools kann komplex werden. Lambda-Funktionen müssen sich im selben Bereich AWS-Region wie Ihr Benutzerpool oder Identitätspool befinden. Gemeinsam genutzte Lambda-Funktionen können Standards für benutzerdefinierte Authentifizierungsabläufe, Benutzermigration, Token-Generierung und andere Funktionen innerhalb einer Region durchsetzen.

Allgemeine Nachrichtenübermittlung

Amazon Simple Notification Service (AmazonSNS) erfordert eine zusätzliche Konfiguration in einer Region, bevor Sie SMSNachrichten an Ihre Benutzer senden können. Sie können E-Mail-Nachrichten mit von Amazon Simple Email Service (AmazonSES) verifizierten Identitäten und Domains versenden, die in einer Region enthalten sind.

Bei Mehrmandantenfähigkeit können Sie diesen Konfiguration- und Wartungsaufwand auf alle Ihre Mandanten verteilen. Da Amazon SNS und Amazon SES nicht in allen verfügbar sind AWS-Regionen, müssen Sie bei der Aufteilung Ihrer Ressourcen zwischen den Regionen zusätzliche Überlegungen anstellen.

Wenn Sie benutzerdefinierte Messaging-Anbieter verwenden, erhalten Sie die allgemeine Anpassung einer einzigen Lambda-Funktion zur Verwaltung Ihrer Nachrichtenzustellung.

Die gehostete Benutzeroberfläche setzt ein Sitzungscookie im Browser, sodass ein Benutzer erkannt wird, der sich bereits authentifiziert hat. Wenn Sie lokale Benutzer in einem Benutzerpool authentifizieren, authentifiziert ihr Sitzungscookie sie für alle App-Clients im selben Benutzerpool. Ein lokaler Benutzer existiert ausschließlich in Ihrem Benutzerpool-Verzeichnis ohne Verbund über einen externen IdP. Der Sitzungscookie ist eine Stunde lang gültig. Sie können die Dauer des Sitzungscookies nicht ändern.

Es gibt zwei Möglichkeiten, die Anmeldung mehrerer App-Clients mit einem gehosteten UI-Sitzungscookie zu verhindern.

  • Teilen Sie Ihre Benutzer in Benutzerpools pro Mandant auf.

  • Ersetzen Sie die Anmeldung über die gehostete Benutzeroberfläche durch die Anmeldung für Amazon Cognito Cognito-BenutzerpoolsAPI.