Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Agregar inicio de sesión de grupo de usuarios a través de un tercero
Los usuarios de tu aplicación pueden iniciar sesión directamente a través de un grupo de usuarios o pueden federarse a través de un proveedor de identidad (IdP) externo. El grupo de usuarios gestiona la sobrecarga de gestión de los tokens que se devuelven desde el inicio de sesión en redes sociales a través de Facebook, Google, Amazon y Apple, y desde OpenID OIDC Connect () SAML IdPs y. Con la interfaz de usuario web alojada integrada, Amazon Cognito permite gestionar y gestionar los tokens de todos los usuarios autenticados. IdPs De esta forma, los sistemas backend pueden estandarizar un conjunto de tokens para los grupos de usuarios.
Cómo funciona el inicio de sesión federado en los grupos de usuarios de Amazon Cognito
El inicio de sesión a través de un tercero (federación) está disponible en los grupos de usuarios de Amazon Cognito. Esta característica es independiente de la federación a través de grupos de identidades de Amazon Cognito (identidades federadas).
Amazon Cognito es un directorio de usuarios y un proveedor de identidad OAuth (IdP) 2.0. Cuando registre usuarios locales en el directorio de Amazon Cognito, el grupo de usuarios es un IdP de la aplicación. Un usuario local existe exclusivamente en el directorio del grupo de usuarios sin federación a través de un IdP externo.
Cuando conecta Amazon Cognito a una red social o a OpenID Connect (OIDC) IdPs, su grupo de usuarios actúa como un puente entre varios proveedores de servicios y su aplicación. SAML Para su IdP, Amazon Cognito es un proveedor de servicios (SP). Usted IdPs pasa un token de OIDC identificación o una SAML afirmación a Amazon Cognito. Amazon Cognito lee las afirmaciones sobre su usuario en el token o afirmación y las asigna a un nuevo perfil de usuario del directorio del grupo de usuarios.
A continuación, Amazon Cognito crea un perfil de usuario para el usuario federado en su propio directorio. Amazon Cognito añade atributos a su usuario en función de las afirmaciones de su IdP y, en el caso de los proveedores de identidad social, de un punto final OIDC público gestionado por el IDP. userinfo
Los atributos de usuario cambian en el grupo de usuarios cuando cambia un atributo de IdP asignado. También puede agregar más atributos independientes de los del IdP.
Una vez que Amazon Cognito crea un perfil para el usuario federado, cambia su función y se presenta como IdP de su aplicación, que ahora es el SP. Amazon Cognito es una combinación de un OIDC OAuth IdP 2.0. Genera tokens de acceso, tokens de ID y tokens de actualización. Para obtener más información acerca de los tokens, consulte Descripción de los tokens JSON web de grupos de usuarios (JWTs).
Debe diseñar una aplicación que se integre con Amazon Cognito para autenticar y autorizar a los usuarios, federados o locales.
Las responsabilidades de una aplicación como proveedor de servicios con Amazon Cognito
- Verificar y procesar la información de los tokens
-
En la mayoría de los casos, Amazon Cognito redirige al usuario autenticado a una aplicación a la URL que añade un código de autorización. Su aplicación intercambia el código para tokens de acceso, ID y actualización. Entonces, debe comprobar la validez de los tokens y enviar información a su usuario en función de las afirmaciones de los tokens.
- Responda a los eventos de autenticación con solicitudes de Amazon Cognito API
-
La aplicación debe integrarse con los grupos de usuarios de Amazon Cognito API y los puntos de enlace de autenticación API. La autenticación API inicia y cierra la sesión del usuario y administra los tokens. Los grupos de usuarios API tienen una variedad de operaciones que administran su grupo de usuarios, sus usuarios y la seguridad de su entorno de autenticación. La aplicación debe saber qué hacer a continuación cuando reciba una respuesta de Amazon Cognito.
Información que debe saber sobre los grupos de usuarios de Amazon Cognito: inicio de sesión de terceros
-
Si desea que los usuarios inicien sesión con proveedores federados, debe elegir un dominio. Esto configura la interfaz de usuario alojada de Amazon Cognito y la interfaz de usuario y los puntos de enlace alojados. OIDC Para obtener más información, consulte Uso de un dominio propio con la IU alojada.
-
No puede iniciar sesión con usuarios federados con API operaciones como y. InitiateAuthAdminInitiateAuth Los usuarios federados solo pueden iniciar sesión con el Punto de conexión Login o el Autorizar punto de conexión.
-
El Autorizar punto de conexión es un punto de conexión de redirección. Si proporciona un parámetro
idp_identifier
oidentity_provider
en su solicitud, se redirige silenciosamente a su IdP, omitiendo la interfaz de usuario alojada. De lo contrario, se redirige al Punto de conexión Login de la interfaz de usuario alojada. -
Cuando la IU alojada redirige una sesión a un IdP federado, Amazon Cognito incluye el encabezado de
user-agent
Amazon/Cognito
en la solicitud. -
Amazon Cognito deriva el atributo
username
de un perfil de usuario federado a partir de una combinación de un identificador fijo y el nombre de su IdP. Para generar un nombre de usuario que coincida con sus requisitos personalizados, cree una asignación al atributopreferred_username
. Para obtener más información, consulte Cuestiones que debe saber acerca de los mapeos.Ejemplo:
MyIDP_bob@example.com
-
Amazon Cognito registra información sobre la identidad de su usuario federado en un atributo y una notificación en el token de ID, llamada
identities
. Esta notificación contiene el proveedor de su usuario y su ID exclusivo del proveedor. No se puede cambiar el atributoidentities
en un perfil de usuario directamente. Para obtener más información acerca de cómo vincular un usuario federado, consulte Vinculación de usuarios federados a un perfil de usuario existente. -
Cuando actualizas tu IdP en un UpdateIdentityProviderAPISi lo solicita, los cambios pueden tardar hasta un minuto en aparecer en la interfaz de usuario alojada.
-
Amazon Cognito admite hasta 20 HTTP redireccionamientos entre él y su IdP.
-
Cuando el usuario inicia sesión con la interfaz de usuario alojada, el navegador almacena una cookie de inicio de sesión cifrada que registra el cliente y el proveedor con los que ha iniciado sesión. Si intentan iniciar sesión de nuevo con los mismos parámetros, la interfaz de usuario alojada reutiliza cualquier sesión existente que no haya caducado y el usuario se autentica sin volver a proporcionar las credenciales. Si el usuario vuelve a iniciar sesión con un IdP diferente, incluido un cambio hacia o desde el inicio de sesión del grupo de usuarios local, debe proporcionar las credenciales y generar una nueva sesión de inicio de sesión.
Puedes asignar cualquier parte de tu grupo de usuarios IdPs a cualquier cliente de aplicaciones y los usuarios solo pueden iniciar sesión con un IdP que hayas asignado a su cliente de aplicaciones.
Temas
- Configuración de proveedores de identidad para su grupo de usuarios
- Usar proveedores de identidad social con un grupo de usuarios
- Uso de proveedores de SAML identidad con un grupo de usuarios
- Utilizar proveedores OIDC de identidad con un grupo de usuarios
- Asignación de atributos de IdP a perfiles y tokens
- Vinculación de usuarios federados a un perfil de usuario existente