Créer un groupe d'identités dans Amazon Cognito Configurez un SDK Intégrer les fournisseurs d'identité Obtenir des informations d'identification

Commencer à utiliser les pools d'identités Amazon Cognito

Les groupes d'identités Amazon Cognito vous permettent de créer des identités uniques et d'attribuer des autorisations aux utilisateurs. Votre pool d'identités peut intégrer des identités issues des types de services d'authentification suivants :

Utilisateurs dans un groupes d'utilisateurs Amazon Cognito
Utilisateurs qui s'authentifient auprès de fournisseurs d'identité externes tels que Facebook, Google, Apple OIDC ou un fournisseur d'SAMLidentité.
Utilisateurs authentifiés via votre propre processus d'authentification existant.

Une fois que les utilisateurs se sont authentifiés auprès de leur fournisseur et ont présenté une autorisation à un pool d'identités, ils obtiennent des AWS informations d'identification temporaires. Les informations d'identification des utilisateurs comportent des autorisations que vous définissez pour accéder à d'autres utilisateurs Services AWS.

Rubriques

Créer un groupe d'identités dans Amazon Cognito
Configurez un SDK
Intégrer les fournisseurs d'identité
Obtenir des informations d'identification

Créer un groupe d'identités dans Amazon Cognito

Vous pouvez créer un pool d'identités via la console Amazon Cognito, ou vous pouvez utiliser le AWS Command Line Interface (CLI) ou Amazon Cognito. APIs La procédure suivante est un guide général pour créer un nouveau pool d'identités dans la console. Vous pouvez également accéder directement à la console et suivre l'expérience guidée et le contenu de l'aide en ligne.

Pour créer un groupe d'identités dans la console

Connectez-vous à la console Amazon Cognito et sélectionnez Groupes d'identités.
Choisissez Créer un groupe d'identités.
Dans Configurer l'approbation du groupe d'identités, choisissez de configurer votre réserve d'identités en sélectionnant Accès authentifié, Accès invité ou les deux.
1. Si vous avez choisi Accès authentifié, sélectionnez un ou plusieurs types d'identité que vous souhaitez définir comme source des identités authentifiées dans votre réserve d'identités. Si vous configurez un fournisseur du développeur personnalisé, vous ne pouvez ni le modifier ni le supprimer après avoir créé votre réserve d'identités.
Dans Configurer les autorisations, choisissez un IAM rôle par défaut pour les utilisateurs authentifiés ou invités dans votre pool d'identités.
1. Choisissez de créer un nouveau IAM rôle si vous souhaitez qu'Amazon Cognito vous crée un nouveau rôle avec des autorisations de base et une relation de confiance avec votre pool d'identités. Entrez un nom de IAM rôle pour identifier votre nouveau rôle, par exemplemyidentitypool_authenticatedrole. Sélectionnez Afficher le document de politique pour consulter les autorisations qu'Amazon Cognito attribuera à votre nouveau IAM rôle.
2. Vous pouvez choisir d'utiliser un IAM rôle existant si vous avez déjà un rôle Compte AWS que vous souhaitez utiliser dans le vôtre. Vous devez configurer votre politique de confiance en matière de IAM rôles de manière à inclurecognito-identity.amazonaws.com. Configurez votre politique d'approbation de rôle pour autoriser Amazon Cognito à endosser le rôle uniquement quand il présente une preuve que la demande provient d'un utilisateur authentifié dans votre réserve d'identités spécifique. Pour de plus amples informations, veuillez consulter Autorisations et approbation de rôle.
Dans Connect identity providers, entrez les détails des fournisseurs d'identité (IdPs) que vous avez choisis dans Configurer la confiance du pool d'identités. Il peut vous être demandé de fournir des informations sur le client de OAuth l'application, de choisir un groupe d'utilisateurs Amazon Cognito, de choisir un IAM IdP ou de saisir un identifiant personnalisé pour un fournisseur de développement.
1. Choisissez les paramètres de rôle pour chaque fournisseur d'identité. Vous pouvez attribuer aux utilisateurs de ce fournisseur d'identité le rôle par défaut que vous avez configuré lorsque vous avez configuré votre rôle authentifié, ou vous pouvez sélectionner Choisir un rôle avec des règles. Avec un fournisseur d'identité de groupe d'utilisateurs Amazon Cognito, vous pouvez également sélectionner Choisir le rôle avec preferred_role dans les jetons. Pour plus d'informations sur le champ standard cognito:preferred_role, consultez Affectation de valeurs de priorité à des groupes.
  1. Si vous avez choisi Choisir un rôle avec des règles, saisissez la demande source issue de l'authentification de votre utilisateur, l'opérateur avec lequel vous souhaitez comparer ce champ standard, la valeur qui entraînera une correspondance avec ce choix de rôle et le rôle que vous souhaitez attribuer si l'attribution de rôle correspond. Sélectionnez Ajouter un autre pour créer une règle supplémentaire basée sur une condition différente.
  2. Choisissez une résolution de rôle. Lorsque les champs standard de votre utilisateur ne correspondent pas à vos règles, vous pouvez refuser les informations d'identification ou émettre des informations d'identification pour votre rôle authentifié.
2. Configurez Attributs de contrôle d'accès pour chaque fournisseur d'identité. L'option Attributs de contrôle d'accès mappe les champs standard utilisateur sur les balises de principal qu'Amazon Cognito applique à la session temporaire. Vous pouvez créer des IAM politiques pour filtrer l'accès des utilisateurs en fonction des balises que vous appliquez à leur session.
  1. Pour n'appliquer aucune balise de principal, choisissez Inactif.
  2. Pour appliquer les balises de principal en fonction des champs standard sub et aud, choisissez Utiliser les mappages par défaut.
  3. Pour créer votre propre schéma personnalisé d'attributs pour les balises de principal, choisissez Utiliser des mappages personnalisés. Saisissez ensuite une clé de balise que vous souhaitez obtenir à partir de chaque demande que vous souhaitez représenter dans une balise.
Dans Configurer les propriétés, saisissez un nom sous Nom du groupe d'identités.
Sous Authentification de base (classique), choisissez si vous souhaitez activer le flux de base. Lorsque le flux de base est actif, vous pouvez ignorer les sélections de rôles que vous avez effectuées pour vous IdPs et appeler AssumeRoleWithWebIdentitydirectement. Pour de plus amples informations, veuillez consulter Flux d'authentification des groupes d'identités.
Sous Balises, choisissez Ajouter une balise si vous souhaitez appliquer des balises à votre réserve d'identités.
Dans Vérifier et créer, confirmez les sélections que vous avez effectuées pour votre nouvelle réserve d'identités. Sélectionnez Modifier pour revenir dans l'assistant et modifier des paramètres. Lorsque vous avez terminé, sélectionnez Créer un groupe d'identités.

Configurez un SDK

Pour utiliser les pools d'identités Amazon Cognito, configurez le AWS Amplify AWS SDK for Java, ou le. AWS SDK for .NET Pour plus d’informations, consultez les rubriques suivantes.

Configuration du formulaire SDK JavaScript dans le guide du AWS SDK for JavaScript développeur
Documentation Amplify (langue française non garantie) sur le site Amplify Dev Center
Fournisseur d'informations d'identification Amazon Cognito dans le Guide du développeur AWS SDK for .NET

Intégrer les fournisseurs d'identité

Les groupes d'identités Amazon Cognito (identités fédérées) prennent en charge l'authentification des utilisateurs via les groupes d'utilisateurs Amazon Cognito, les fournisseurs d'identité fédérés (notamment Amazon, Facebook, Google, Apple et les fournisseurs d'identité) et les identités non authentifiées. SAML Cette fonctionnalité prend également en charge Identités authentifiées par le développeur, qui vous permet d'enregistrer et d'authentifier les utilisateurs via votre propre processus d'authentification backend.

Pour en savoir plus sur l'utilisation d'un groupe d'utilisateurs Amazon Cognito afin de créer votre propre répertoire d'utilisateurs, consultez Groupes d’utilisateurs Amazon Cognito et Accès à Services AWS l'aide d'un pool d'identités après la connexion.

Pour en savoir plus sur l'utilisation des fournisseurs d'identité externes, consultez Groupes d'identités (fournisseurs d'identité tiers).

Pour en savoir plus sur l'intégration de votre propre processus d'authentification backend, consultez Identités authentifiées par le développeur.

Obtenir des informations d'identification

Les pools d'identités Amazon Cognito fournissent des AWS informations d'identification temporaires aux utilisateurs invités (non authentifiés) et aux utilisateurs qui se sont authentifiés et ont reçu un jeton. Grâce à ces AWS informations d'identification, votre application peut accéder en toute sécurité à un backend AWS interne ou externe AWS via Amazon API Gateway. Consultez Obtention des informations d'identification.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Ajouter un SAML IdP

Options de mise en route supplémentaires