Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Scénarios Amazon Cognito courants
Cette rubrique décrit six scénarios courants d'utilisation d'Amazon Cognito.
Les deux principaux composants d'Amazon Cognito sont les groupes d'utilisateurs et les groupes d'identités. Les groupes d'utilisateurs sont des répertoires d'utilisateurs qui fournissent des options d'inscription et de connexion pour les utilisateurs de votre application web ou mobile. Les pools d'identités fournissent des AWS informations d'identification temporaires pour permettre à vos utilisateurs d'accéder à d'autres Services AWS.
Un groupe d'utilisateurs est un répertoire d'utilisateurs dans Amazon Cognito. Les utilisateurs de votre application peuvent soit se connecter directement via un groupe d'utilisateurs, soit fédérer via un fournisseur d'identité (IdP) tiers. Le groupe d'utilisateurs gère les frais généraux liés à la gestion des jetons renvoyés lors de la connexion aux réseaux sociaux via Facebook, Google, Amazon et Apple, et depuis OpenID OIDC Connect () SAML IdPs et. Que vos utilisateurs se connectent directement ou par l'intermédiaire d'un tiers, tous les membres du groupe d'utilisateurs disposent d'un profil d'annuaire auquel vous pouvez accéder via unSDK.
Avec un pool d'identités, vos utilisateurs peuvent obtenir des AWS informations d'identification temporaires pour accéder à AWS des services tels qu'Amazon S3 et DynamoDB. Les pools d'identités prennent en charge les utilisateurs invités anonymes, ainsi que la fédération par le biais de tiers IdPs.
Rubriques
- S'authentifier avec un groupe d'utilisateurs
- Accédez aux ressources du back-end avec des jetons de pool d'utilisateurs
- Accédez aux ressources avec API Gateway et Lambda avec un pool d'utilisateurs
- AWS Services d'accès avec un pool d'utilisateurs et un pool d'identités
- S'authentifier avec un tiers et accéder aux services AWS avec un groupe d'identités
- Accédez aux AWS AppSync ressources avec Amazon Cognito
S'authentifier avec un groupe d'utilisateurs
Vous pouvez permettre à vos utilisateurs de s'authentifier à l'aide d'un groupe d'utilisateurs. Les utilisateurs de votre application peuvent soit se connecter directement via un groupe d'utilisateurs, soit fédérer via un fournisseur d'identité (IdP) tiers. Le groupe d'utilisateurs gère les frais généraux liés à la gestion des jetons renvoyés lors de la connexion aux réseaux sociaux via Facebook, Google, Amazon et Apple, et depuis OpenID OIDC Connect () SAML IdPs et.
Après une authentification réussie, votre application mobile ou web recevra d'Amazon Cognito des jetons de groupe d'utilisateurs. Vous pouvez utiliser ces jetons pour récupérer les AWS informations d'identification qui permettent à votre application d'accéder à d'autres AWS services, ou vous pouvez choisir de les utiliser pour contrôler l'accès à vos ressources côté serveur ou à Amazon API Gateway.
Pour plus d’informations, consultez Flux d'authentification de groupe d'utilisateurs et Comprendre les jetons JSON Web du pool d'utilisateurs (JWTs).
Accédez aux ressources du back-end avec des jetons de pool d'utilisateurs
Après une connexion de groupe d'utilisateurs réussie, votre application mobile ou web recevra des jetons de groupe d'utilisateurs d'Amazon Cognito. Vous pouvez utiliser ces jetons pour contrôler l'accès à vos ressources côté serveur. Vous pouvez également créer des ensembles de groupes d'utilisateurs afin de gérer leurs autorisations et de représenter différents types d'utilisateurs. Pour plus d'informations sur l'utilisation de groupes pour contrôler l'accès à vos ressources, consultez Ajout de groupes à un groupe d'utilisateurs.
Une fois que vous avez configuré un domaine pour votre groupe d'utilisateurs, Amazon Cognito met en service une interface utilisateur web hébergée qui vous permet d'ajouter des pages d'inscription et de connexion à votre application. À l'aide de cette base OAuth 2.0, vous pouvez créer votre propre serveur de ressources pour permettre à vos utilisateurs d'accéder à des ressources protégées. Pour de plus amples informations, veuillez consulter Éscopes, M2M et APIs avec serveurs de ressources.
Pour plus d'informations sur l'authentification d'un groupe d'utilisateurs, consultez Flux d'authentification de groupe d'utilisateurs et Comprendre les jetons JSON Web du pool d'utilisateurs (JWTs).
Accédez aux ressources avec API Gateway et Lambda avec un pool d'utilisateurs
Vous pouvez permettre à vos utilisateurs d'accéder à votre API compte via API Gateway. APIGateway valide les jetons issus d'une authentification réussie du groupe d'utilisateurs et les utilise pour accorder à vos utilisateurs l'accès à des ressources, notamment aux fonctions Lambda ou aux vôtres. API
Vous pouvez utiliser les groupes d'un groupe d'utilisateurs pour contrôler les autorisations avec API Gateway en mappant l'appartenance au groupe aux IAM rôles. Les groupes dont un utilisateur est un membre sont inclus dans le jeton d'ID fourni par un groupe d'utilisateurs lorsque votre utilisateur d'application se connecte. Pour de plus amples informations sur les groupes d'utilisateurs, veuillez consulter Ajout de groupes à un groupe d'utilisateurs.
Vous pouvez envoyer les jetons de votre groupe d'utilisateurs en demandant à API Gateway de les vérifier par une fonction Lambda de l'autorisateur Amazon Cognito. Pour plus d'informations sur API Gateway, consultez la section Utilisation de API Gateway avec les groupes d'utilisateurs Amazon Cognito.
AWS Services d'accès avec un pool d'utilisateurs et un pool d'identités
Après authentification du groupe d'utilisateurs, votre application recevra d'Amazon Cognito des jetons de groupe d'utilisateurs. Vous pouvez les échanger contre un accès temporaire à d'autres AWS services dotés d'un pool d'identités. Pour plus d’informations, consultez Accès à Services AWS l'aide d'un pool d'identités après la connexion et Commencer à utiliser les pools d'identités Amazon Cognito.
S'authentifier avec un tiers et accéder aux services AWS avec un groupe d'identités
Vous pouvez permettre à vos utilisateurs d'accéder aux AWS services par le biais d'un pool d'identités. Un groupe d'identités nécessite un jeton du fournisseur d'identité de la part d'un utilisateur authentifié par un fournisseur d'identité tiers (ou rien s'il s'agit d'un invité anonyme). En échange, le pool d'identités accorde des AWS informations d'identification temporaires que vous pouvez utiliser pour accéder à d'autres AWS services. Pour de plus amples informations, veuillez consulter Commencer à utiliser les pools d'identités Amazon Cognito.
Accédez aux AWS AppSync ressources avec Amazon Cognito
Vous pouvez accorder à vos utilisateurs l'accès aux AWS AppSync ressources à l'aide de jetons issus d'une authentification réussie du groupe d'utilisateurs Amazon Cognito. Pour plus d'informations, consultez la section AMAZON_COGNITO_USER_POOLS autorisation dans le guide du AWS AppSync développeur.
Vous pouvez également signer les demandes adressées au AWS AppSync GraphQL API avec les IAM informations d'identification que vous recevez d'un pool d'identités. Voir AWS_IAMautorisation.
