Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración de un dominio del grupo de usuarios
La configuración de un dominio es una parte opcional de la configuración de un grupo de usuarios. Un dominio de grupo de usuarios aloja funciones para la autenticación de usuarios, la federación con proveedores externos y los flujos de OpenID Connect (OIDC). Cuenta con una interfaz de usuario alojada, una interfaz prediseñada para operaciones clave como el registro, el inicio de sesión y la recuperación de contraseñas. También aloja los puntos finales estándar de OpenID Connect (OIDC), como authorize y token userInfo, para la autorización machine-to-machine (M2M) y otros flujos de autenticación OIDC y autorización OAuth 2.0.
Los usuarios inician sesión en la interfaz de usuario alojada en el dominio asociado a su grupo de usuarios. Tiene dos opciones para configurar este dominio: puede usar el dominio hospedado predeterminado de Amazon Cognito o puede configurar un dominio personalizado de su propiedad.
La opción de dominio personalizado tiene más opciones de flexibilidad, seguridad y control. Por ejemplo, un dominio conocido y propiedad de una organización puede fomentar la confianza de los usuarios y hacer que el proceso de inicio de sesión sea más intuitivo. Sin embargo, el enfoque de dominio personalizado requiere algunos gastos adicionales, como la administración del SSL certificado y la configuración. DNS
Los puntos de conexión de OIDC detección, /.well-known/openid-configuration tanto para URLs los terminales como /.well-known/jwks.json para las claves de firma de token, no están alojados en su dominio. Para obtener más información, consulte Proveedor de identidad y puntos finales de la parte de confianza.
Comprender cómo configurar y administrar el dominio de su grupo de usuarios de Amazon Cognito es un paso importante para integrar la autenticación en su aplicación. Inicie sesión con los grupos de usuarios API y AWS SDK puede ser una alternativa a la configuración de un dominio. El modelo API basado entrega los tokens directamente en una API respuesta, pero para las implementaciones que utilizan las capacidades ampliadas de los grupos de usuarios como un OIDC IdP, debe configurar un dominio. Para obtener más información sobre los modelos de autenticación disponibles en los grupos de usuarios, consulte. Uso de los grupos de usuarios API y el servidor de autorización
Temas
Aspectos que debe saber sobre los dominios de grupos de usuarios
Los dominios de grupos de usuarios son un punto de servicio para las partes que OIDC confían en sus aplicaciones y para los elementos de la interfaz de usuario. Tenga en cuenta los siguientes detalles cuando planifique la implementación de un dominio para su grupo de usuarios.
Términos reservados
No puedes usar el texto aws ni cognito en el nombre de un dominio de prefijo de Amazon Cognito. amazon
Los puntos de enlace de Discovery se encuentran en un dominio diferente
Los puntos finales .well-known/openid-configuration de detección del grupo de usuarios .well-known/jwks.json no se encuentran en el dominio personalizado o con prefijo del grupo de usuarios. La ruta a estos puntos finales es la siguiente.
-
https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/openid-configuration -
https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/jwks.json
Dominios personalizados y prefijos al mismo tiempo
Puedes configurar un grupo de usuarios con un dominio personalizado y un dominio con prefijo que sea propiedad de. AWS Como los puntos finales de detección del grupo de usuarios están alojados en un dominio diferente, solo sirven al dominio personalizado. Por ejemplo, openid-configuration proporcionará un valor único para"authorization_endpoint". "https://auth.example.com/oauth2/authorize"
Si tienes dominios personalizados y con prefijo en un grupo de usuarios, puedes usar el dominio personalizado con todas las funciones de un OIDC proveedor. El dominio de prefijo de un grupo de usuarios con esta configuración no tiene token-signing-key puntos de enlace ni de detección y debe usarse en consecuencia.
No utilices dominios personalizados en distintos niveles de tu jerarquía de dominios
Puedes configurar grupos de usuarios independientes para tener dominios personalizados en el mismo dominio de nivel superior (TLD), por ejemplo, auth.example.com y auth2.example.com. La cookie de sesión de la interfaz de usuario alojada es válida para un dominio personalizado y todos los subdominios, por ejemplo, *.auth.example.com. Por este motivo, ningún usuario de sus aplicaciones debe acceder a la interfaz de usuario alojada de ningún dominio o subdominio principal. Cuando los dominios personalizados usen lo mismoTLD, manténgalos en el mismo nivel de subdominio.
Supongamos que tiene un grupo de usuarios con el dominio personalizado auth.example.com. A continuación, crea otro grupo de usuarios y asigna el dominio personalizado uk.auth.example.com. . Un usuario inicia sesión con auth.example.com. y recibe una cookie que su navegador presenta en *.auth.example.com. A continuación, intenta iniciar sesión en uk.auth.example.com. . Pasan una cookie no válida a la interfaz de usuario alojada y reciben un error en lugar de una solicitud de inicio de sesión. Por el contrario, un usuario con una cookie para *.auth.example.com no tiene problemas para iniciar sesión en auth2.example.com.
