Ajout de la connexion du groupe d'utilisateurs via un tiers - Amazon Cognito
Fonctionnement de la connexion fédérée dans les groupes d'utilisateurs Amazon CognitoResponsabilités d'une application en tant que fournisseur de services Amazon CognitoInformations utiles concernant la connexion tierce aux groupes d'utilisateurs Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajout de la connexion du groupe d'utilisateurs via un tiers

Les utilisateurs de votre application peuvent soit se connecter directement via un groupe d'utilisateurs, soit fédérer via un fournisseur d'identité (IdP) tiers. Le groupe d'utilisateurs gère les frais généraux liés à la gestion des jetons renvoyés lors de la connexion aux réseaux sociaux via Facebook, Google, Amazon et Apple, et depuis OpenID OIDC Connect () SAML IdPs et. Grâce à l'interface utilisateur Web hébergée intégrée, Amazon Cognito permet le traitement et la gestion des jetons pour tous les utilisateurs authentifiés. IdPs Ainsi, vos systèmes backend peuvent ainsi utiliser un ensemble de jetons de groupe d'utilisateurs standard.

Fonctionnement de la connexion fédérée dans les groupes d'utilisateurs Amazon Cognito

La connexion via un tiers (fédération) est disponible dans les groupes d'utilisateurs Amazon Cognito. Cette fonctionnalité est indépendante de la fédération via les groupes d'identités Amazon Cognito (identités fédérées).

Présentation de l'authentification avec connexion par les réseaux sociaux

Amazon Cognito est un annuaire d'utilisateurs et un fournisseur d'identité OAuth (IdP) 2.0. Lorsque vous connectez des utilisateurs locaux dans l'annuaire Amazon Cognito, votre groupe d'utilisateurs est un fournisseur d'identité pour votre application. Un utilisateur local existe exclusivement dans l’annuaire de votre groupe d’utilisateurs sans fédération via un fournisseur d’identité externe.

Lorsque vous connectez Amazon Cognito à un réseau socialSAML, ou OpenID Connect (OIDC) IdPs, votre groupe d'utilisateurs fait office de pont entre plusieurs fournisseurs de services et votre application. Pour votre fournisseur d'identité, Amazon Cognito est un fournisseur de services. Vous IdPs transmettez un jeton d'OIDCidentification ou une SAML assertion à Amazon Cognito. Amazon Cognito lit les revendications concernant votre utilisateur dans le jeton ou l'assertion et les associe à un nouveau profil d'utilisateur dans le répertoire de votre groupe d'utilisateurs.

Amazon Cognito crée ensuite un profil utilisateur pour votre utilisateur fédéré dans son propre répertoire. Amazon Cognito ajoute des attributs à votre utilisateur en fonction des demandes émanant de votre IdP et, dans le cas des fournisseurs d'identité sociale, d'un point de OIDC terminaison public géré par l'IdP. userinfo Les attributs de votre utilisateur changent dans votre groupe d'utilisateurs lorsqu'un attribut IdP mappé change. Vous pouvez également ajouter d'autres attributs indépendants de ceux du fournisseur d'identité.

Une fois qu'Amazon Cognito a créé un profil pour votre utilisateur fédéré, il change de fonction et se présente comme le fournisseur d'identité de votre application, qui est maintenant le fournisseur de services. Amazon Cognito est une combinaison d'OIDCOAuthIdP 2.0. Il génère des jetons d'accès, des jetons d'identification et des jetons d'actualisation. Pour plus d'informations sur les jetons, consultez Comprendre les jetons JSON Web du pool d'utilisateurs (JWTs).

Vous devez concevoir une application qui s'intègre à Amazon Cognito pour authentifier et autoriser vos utilisateurs, qu'ils soient fédérés ou locaux.

Responsabilités d'une application en tant que fournisseur de services Amazon Cognito

Vérification et traitement des informations contenues dans les jetons

Dans la plupart des cas, Amazon Cognito redirige votre utilisateur authentifié vers une application à URL laquelle il ajoute un code d'autorisation. Votre application échange ce code pour obtenir les jetons d'accès, d'identification et d'actualisation. Ensuite, elle doit vérifier la validité des jetons et fournir des informations à votre utilisateur en fonction des revendications contenues dans les jetons.

Répondez aux événements d'authentification avec des demandes Amazon Cognito API

Votre application doit s'intégrer aux groupes d'utilisateurs Amazon Cognito API et aux points de terminaison d'authentification API. L'authentification API connecte et déconnecte votre utilisateur et gère les jetons. Les groupes d'utilisateurs API comportent diverses opérations qui gèrent votre groupe d'utilisateurs, vos utilisateurs et la sécurité de votre environnement d'authentification. Votre application doit savoir ce qu'il faut faire ensuite lorsqu'elle reçoit une réponse d'Amazon Cognito.

Informations utiles concernant la connexion tierce aux groupes d'utilisateurs Amazon Cognito

  • Si vous souhaitez que vos utilisateurs se connectent avec des fournisseurs fédérés, vous devez choisir un domaine. Cela permet de configurer l'interface utilisateur hébergée Amazon Cognito, l'interface utilisateur hébergée et les points de terminaison. OIDC Pour de plus amples informations, veuillez consulter Utilisation de votre propre domaine pour l’interface utilisateur hébergée.

  • Vous ne pouvez pas connecter des utilisateurs fédérés à l'aide d'APIopérations telles que InitiateAuthet AdminInitiateAuth. Les utilisateurs fédérés peuvent se connecter uniquement avec le Point de terminaison de connexion ou le Point de terminaison d’autorisation.

  • Le Point de terminaison d’autorisation est un point de terminaison de redirection. Si vous fournissez un paramètre idp_identifier ou identity_provider dans votre demande, il effectue une redirection silencieuse vers votre fournisseur d'identité, en contournant l'interface utilisateur hébergée. Sinon, il effectue une redirection vers le Point de terminaison de connexion de l'interface utilisateur hébergée.

  • Lorsque l'interface utilisateur hébergée redirige une séance vers un fournisseur d'identité fédéré, Amazon Cognito inclut l'en-tête user-agent Amazon/Cognito dans la demande.

  • Amazon Cognito dérive l'attribut username pour un profil d'utilisateur fédéré à partir d'une combinaison d'un identifiant fixe et du nom de votre fournisseur d'identité. Pour générer un nom d'utilisateur correspondant à vos exigences personnalisées, créez un mappage avec l'attribut preferred_username. Pour de plus amples informations, veuillez consulter Choses à savoir sur les mappages.

    Exemple : MyIDP_bob@example.com

  • Amazon Cognito enregistre les informations sur l'identité de votre utilisateur fédéré dans un attribut, et une revendication dans le jeton d'identification, appelée identities. Cette revendication contient le fournisseur de votre utilisateur et son identifiant unique provenant du fournisseur. Vous ne pouvez pas modifier l'attribut identities directement dans un profil utilisateur. Pour plus d'informations sur la liaison d'un utilisateur fédéré, consultez Liaison d'utilisateurs fédérés à un profil utilisateur existant.

  • Lorsque vous mettez à jour votre IdP dans un UpdateIdentityProviderAPISi vous le demandez, vos modifications peuvent prendre jusqu'à une minute pour apparaître dans l'interface utilisateur hébergée.

  • Amazon Cognito prend en charge jusqu'à 20 HTTP redirections entre lui-même et votre IdP.

  • Lorsque votre utilisateur se connecte via l'interface utilisateur hébergée, son navigateur stocke un cookie de session de connexion chiffré qui enregistre le client et le fournisseur avec lequel il s'est connecté. S'il tente de se reconnecter avec les mêmes paramètres, l'interface utilisateur hébergée réutilise toute session existante non expirée et l'utilisateur s'authentifie sans avoir à fournir à nouveau ses informations d'identification. Si votre utilisateur se reconnecte à l'aide d'un autre fournisseur d'identité, notamment via un basculement vers ou depuis une connexion de groupe d'utilisateurs local, il doit fournir des informations d'identification et générer une nouvelle session de connexion.

    Vous pouvez attribuer n'importe quel groupe d'utilisateurs IdPs à n'importe quel client d'application, et les utilisateurs ne peuvent se connecter qu'avec un IdP que vous avez attribué à leur client d'application.

Rubriques