Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Aliran otentikasi kumpulan identitas
Amazon Cognito membantu Anda membuat pengidentifikasi unik untuk pengguna akhir Anda yang tetap konsisten di seluruh perangkat dan platform. Amazon Cognito juga memberikan kredenal hak istimewa terbatas sementara ke aplikasi Anda untuk mengakses sumber daya. AWS Halaman ini membahas dasar-dasar cara kerja otentikasi di Amazon Cognito dan menjelaskan siklus hidup identitas di dalam kumpulan identitas Anda.
**Authflow penyedia eksternal**
Seorang pengguna yang mengautentikasi dengan Amazon Cognito melalui proses multi-langkah untuk mem-bootstrap kredensialnya. Amazon Cognito memiliki dua alur berbeda untuk autentikasi dengan penyedia publik: ditingkatkan dan dasar.
Setelah menyelesaikan salah satu alur ini, Anda dapat mengakses aliran lain Layanan AWS seperti yang ditentukan oleh kebijakan akses peran Anda. Secara default, [konsol Amazon Cognito](https://console.aws.amazon.com/cognito/) membuat peran dengan akses ke toko Amazon Cognito Sync dan ke Amazon Mobile Analytics. Untuk informasi selengkapnya tentang cara memberikan akses tambahan, lihat[Peran IAM](iam-roles.md).
Identity pool menerima artefak berikut dari penyedia:
| Penyedia | Artefak otentikasi |
| --- | --- |
| Kolam pengguna Amazon Cognito | Token ID |
| OpenID Connect (OIDC) | Token ID |
| SAML 2.0 | Pernyataan SAFL |
| Penyedia sosial | Token akses |
## Alur otentikasi yang disempurnakan (disederhanakan)
Saat Anda menggunakan authflow yang disempurnakan, aplikasi Anda terlebih dahulu menampilkan bukti autentikasi dari kumpulan pengguna Amazon Cognito resmi atau penyedia identitas pihak ketiga dalam permintaan. [GetId](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetId.html)
1. [Aplikasi Anda menyajikan bukti otentikasi—token web JSON atau pernyataan SAML—dari kumpulan pengguna Amazon Cognito resmi atau penyedia identitas pihak ketiga dalam permintaan getID.](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetId.html)
1. Kumpulan identitas Anda mengembalikan ID identitas.
1. Aplikasi Anda menggabungkan ID identitas dengan bukti otentikasi yang sama dalam [GetCredentialsForIdentity](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html)permintaan.
1. Kumpulan identitas Anda mengembalikan AWS kredensialnya.
1. Aplikasi Anda menandatangani permintaan AWS API dengan kredensi sementara.
Otentikasi yang disempurnakan mengelola logika pemilihan peran IAM dan pengambilan kredensional dalam konfigurasi kumpulan identitas Anda. Anda dapat mengonfigurasi kumpulan identitas untuk memilih peran default, menerapkan prinsip kontrol akses berbasis atribut (ABAC) atau kontrol akses berbasis peran (RBAC) ke pemilihan peran. AWS Kredensi dari otentikasi yang disempurnakan berlaku selama satu jam.
**Urutan operasi dalam otentikasi yang disempurnakan**
1. `GetId`
1. `GetCredentialsForIdentity`
![\[Diagram yang menunjukkan aliran otentikasi yang disempurnakan\]](http://docs.aws.amazon.com/id_id/cognito/latest/developerguide/images/amazon-cognito-ext-auth-enhanced-flow.png)
## Alur otentikasi dasar (klasik)
Ketika Anda menerapkan alur otentikasi dasar, aplikasi Anda memilih peran IAM yang Anda ingin pengguna untuk mengambil alih.
1. [Aplikasi Anda menyajikan bukti otentikasi—token web JSON atau pernyataan SAML—dari kumpulan pengguna Amazon Cognito resmi atau penyedia identitas pihak ketiga dalam permintaan getID.](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetId.html)
1. Kumpulan identitas Anda mengembalikan ID identitas.
1. Aplikasi Anda menggabungkan ID identitas dengan bukti otentikasi yang sama dalam [GetOpenIdToken](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html)permintaan.
1. `GetOpenIdToken`mengembalikan token OAuth 2.0 baru yang dikeluarkan oleh kumpulan identitas Anda.
1. Aplikasi Anda menyajikan token baru dalam [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)permintaan.
1. AWS Security Token Service (AWS STS) mengembalikan AWS kredensi.
1. Aplikasi Anda menandatangani permintaan AWS API dengan kredensi sementara.
Alur kerja dasar memberi Anda kontrol yang lebih terperinci atas kredensil yang Anda distribusikan ke pengguna Anda. `GetCredentialsForIdentity`Permintaan authflow yang disempurnakan meminta peran berdasarkan konten token akses. `AssumeRoleWithWebIdentity`Permintaan dalam alur kerja klasik memberi aplikasi Anda kemampuan yang lebih besar untuk meminta kredensil untuk AWS Identity and Access Management peran apa pun yang telah Anda konfigurasikan dengan kebijakan kepercayaan yang memadai. Anda juga dapat meminta durasi sesi peran khusus.
Anda dapat masuk dengan authflow Dasar di kumpulan pengguna yang tidak memiliki pemetaan peran. Jenis kumpulan identitas ini tidak memiliki peran default yang diautentikasi atau tidak diautentikasi, dan tidak memiliki kontrol akses berbasis peran atau atribut yang dikonfigurasi. Saat Anda mencoba `GetOpenIdToken` di kumpulan identitas dengan pemetaan peran, Anda menerima kesalahan berikut.
```
Basic (classic) flow is not supported with RoleMappings, please use enhanced flow.
```
**Urutan operasi dalam otentikasi Dasar**
1. `GetId`
1. `GetOpenIdToken`
1. `AssumeRoleWithWebIdentity`
![\[Diagram yang menunjukkan aliran otentikasi dasar\]](http://docs.aws.amazon.com/id_id/cognito/latest/developerguide/images/amazon-cognito-ext-auth-basic-flow.png)
## Alur otentikasi yang diautentikasi pengembang
Saat menggunakan[Identitas yang diautentikasi pengembang](developer-authenticated-identities.md), klien Anda menggunakan authflow berbeda yang menyertakan kode di luar Amazon Cognito untuk memvalidasi pengguna di sistem autentikasi Anda sendiri. Dari perspektif kumpulan identitas Anda, klaim yang Anda tunjukkan dalam permintaan identitas adalah pengidentifikasi arbitrer, dan otentikasi disahkan oleh kredensi IAM yang Anda enkode dalam aplikasi Anda.
**Urutan operasi dalam otentikasi yang disempurnakan dengan penyedia pengembang**
1. Login melalui Penyedia Developer (kode di luar Amazon Cognito)
1. Validasi login pengguna (kode di luar Amazon Cognito)
1. [GetOpenIdTokenForDeveloperIdentity](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdTokenForDeveloperIdentity.html)
1. [GetCredentialsForIdentity](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html)
![\[Diagram yang menunjukkan aliran otentikasi ditingkatkan yang diautentikasi pengembang\]](http://docs.aws.amazon.com/id_id/cognito/latest/developerguide/images/amazon-cognito-dev-auth-enhanced-flow.png)
**Urutan operasi dalam otentikasi dasar dengan penyedia pengembang**
1. Terapkan logika di luar kumpulan identitas untuk masuk dan menghasilkan pengenal pengembang-penyedia.
1. Ambil kredensial-sisi server AWS yang tersimpan.
1. Kirim pengenal penyedia pengembang dalam permintaan [GetOpenIdTokenForDeveloperIdentity](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdTokenForDeveloperIdentity.html)API yang ditandatangani dengan AWS kredensi resmi.
1. Minta kredensi aplikasi dengan. [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)
![\[Diagram yang menunjukkan aliran otentikasi dasar yang diautentikasi pengembang\]](http://docs.aws.amazon.com/id_id/cognito/latest/developerguide/images/amazon-cognito-dev-auth-basic-flow.png)
## Alur otentikasi mana yang harus saya terapkan?
**Aliran yang ditingkatkan** adalah pilihan paling aman dengan tingkat upaya pengembang terendah:
+ Alur yang disempurnakan mengurangi kompleksitas, ukuran, dan laju permintaan API.
+ Aplikasi Anda tidak perlu membuat permintaan API tambahan AWS STS.
+ Kumpulan identitas Anda mengevaluasi pengguna Anda untuk kredensi peran IAM yang harus mereka terima. Anda tidak perlu menanamkan logika untuk pemilihan peran di klien Anda.
**penting**
Saat Anda membuat kumpulan identitas baru, jangan aktifkan otentikasi dasar (klasik) secara default, sebagai praktik terbaik. Untuk menerapkan otentikasi dasar, pertama-tama evaluasi hubungan kepercayaan peran IAM Anda untuk identitas web. Kemudian bangun logika untuk pemilihan peran ke klien Anda dan amankan klien dari modifikasi oleh pengguna.
**Alur otentikasi dasar** mendelegasikan logika pemilihan peran IAM ke aplikasi Anda. Dalam alur ini, Amazon Cognito memvalidasi sesi yang diautentikasi atau tidak diautentikasi pengguna Anda dan mengeluarkan token yang dapat Anda tukarkan dengan kredensialnya. AWS STS Pengguna dapat menukar token dari otentikasi dasar untuk setiap peran IAM yang mempercayai kumpulan identitas dan`amr`, atau authenticated/unauthenticated status Anda.
Demikian pula, pahami bahwa **otentikasi pengembang** adalah jalan pintas seputar validasi otentikasi penyedia identitas. Amazon Cognito mempercayai AWS kredensil yang mengotorisasi [GetOpenIdTokenForDeveloperIdentity](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdTokenForDeveloperIdentity.html)permintaan tanpa validasi tambahan dari konten permintaan. Amankan rahasia yang mengotorisasi otentikasi pengembang dari akses oleh pengguna.
## Ikhtisar operasi API alur otentikasi
**GetId**
Panggilan [GetId](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetId.html)API adalah panggilan pertama yang diperlukan untuk membangun identitas baru di Amazon Cognito.
Akses tidak diautentikasi
Amazon Cognito dapat memberikan akses tamu yang tidak diautentikasi di aplikasi Anda. Jika fitur ini diaktifkan di kumpulan identitas Anda, pengguna dapat meminta ID identitas baru kapan saja melalui `GetId` API. Aplikasi diharapkan meng-cache ID identitas ini untuk melakukan panggilan berikutnya ke Amazon Cognito. AWS Ponsel SDKs dan AWS SDK untuk JavaScript di Browser memiliki penyedia kredensi yang menangani caching ini untuk Anda.
Akses yang diautentikasi
Ketika Anda telah mengonfigurasi aplikasi Anda dengan dukungan untuk penyedia login publik (Facebook, Google\$1, Login with Amazon, atau Masuk dengan Apple), pengguna juga dapat menyediakan token (atau OAuth OpenID Connect) yang mengidentifikasi mereka di penyedia tersebut. Saat digunakan dalam panggilan ke`GetId`, Amazon Cognito membuat identitas baru yang diautentikasi atau mengembalikan identitas yang sudah dikaitkan dengan login tertentu. Amazon Cognito melakukan ini dengan memvalidasi token dengan penyedia dan memastikan hal-hal berikut:
+ Token valid dan dari penyedia yang dikonfigurasi.
+ Token tidak kedaluwarsa.
+ Token cocok dengan pengenal aplikasi yang dibuat dengan penyedia itu (misalnya, ID aplikasi Facebook).
+ Token cocok dengan pengenal pengguna.
**GetCredentialsForIdentity**
[GetCredentialsForIdentity](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html)API dapat dipanggil setelah Anda membuat ID identitas. Operasi ini secara fungsional setara dengan memanggil [GetOpenIdToken](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html), kemudian [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html).
Agar Amazon Cognito dapat menelepon `AssumeRoleWithWebIdentity` atas nama Anda, kumpulan identitas Anda harus memiliki peran IAM yang terkait dengannya. Anda dapat melakukan ini melalui konsol Amazon Cognito atau secara manual melalui operasi. [SetIdentityPoolRoles](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_SetIdentityPoolRoles.html)
**GetOpenIdToken**
Buat permintaan [GetOpenIdToken](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html)API setelah Anda membuat ID identitas. Cache identitas IDs setelah permintaan pertama Anda, dan mulai sesi dasar (klasik) berikutnya untuk identitas itu`GetOpenIdToken`.
Respons terhadap permintaan `GetOpenIdToken` API adalah token yang dihasilkan Amazon Cognito. Anda dapat mengirimkan token ini sebagai `WebIdentityToken` parameter dalam [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)permintaan.
Sebelum Anda mengirimkan token OpenID, verifikasi di aplikasi Anda. Anda dapat menggunakan pustaka OIDC di SDK atau pustaka seperti [https://github.com/awslabs/aws-jwt-verify](https://github.com/awslabs/aws-jwt-verify)untuk mengonfirmasi bahwa Amazon Cognito mengeluarkan token. [ID kunci penandatanganan, atau`kid`, dari token OpenID adalah salah satu yang tercantum dalam dokumen Identitas Amazon Cognito †jwks\$1uri.](https://cognito-identity.amazonaws.com/.well-known/jwks_uri) Kunci-kunci ini dapat berubah. *Fungsi Anda yang memverifikasi token Identitas Amazon Cognito harus memperbarui daftar kuncinya secara berkala dari dokumen jwks\$1uri.* Amazon Cognito menetapkan durasi penyegaran di header respons kontrol cache *jwks\$1uri*, yang saat ini disetel ke 30 hari. `max-age`
Akses tidak diautentikasi
Untuk mendapatkan token untuk identitas yang tidak diautentikasi, Anda hanya memerlukan ID identitas itu sendiri. Tidak mungkin mendapatkan token yang tidak diautentikasi untuk identitas atau identitas yang telah diautentikasi yang telah Anda nonaktifkan.
Akses yang diautentikasi
Jika Anda memiliki identitas yang diautentikasi, Anda harus memberikan setidaknya satu token yang valid untuk login yang telah dikaitkan dengan identitas tersebut. Semua token yang diteruskan selama `GetOpenIdToken` panggilan harus melewati validasi yang sama yang disebutkan sebelumnya; jika salah satu token gagal, seluruh panggilan gagal. Tanggapan dari `GetOpenIdToken` panggilan juga mencakup ID identitas. Ini karena ID identitas yang Anda lewati mungkin bukan yang dikembalikan.
Menautkan login
Jika Anda mengirimkan token untuk login yang belum dikaitkan dengan identitas apa pun, login dianggap “ditautkan” ke identitas terkait. Anda hanya dapat menautkan satu login per penyedia publik. Upaya untuk menautkan lebih dari satu login dengan penyedia publik menghasilkan respons `ResourceConflictException` kesalahan. Jika login hanya ditautkan ke identitas yang ada, ID identitas `GetOpenIdToken` yang dikembalikan sama dengan yang Anda lewatkan.
Menggabungkan identitas
Jika Anda memberikan token untuk login yang saat ini tidak ditautkan ke identitas yang diberikan, tetapi ditautkan ke identitas lain, kedua identitas tersebut akan digabungkan. Setelah digabungkan, satu identitas menjadi semua login terkait dan yang lainnya dinonaktifkan. parent/owner Dalam hal ini, ID identitas parent/owner dikembalikan. Anda harus memperbarui cache lokal Anda jika nilai ini berbeda. Penyedia di AWS Ponsel SDKs atau AWS SDK untuk JavaScript di Browser melakukan operasi ini untuk Anda.
**GetOpenIdTokenForDeveloperIdentity**
[GetOpenIdTokenForDeveloperIdentity](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdTokenForDeveloperIdentity.html)Operasi menggantikan penggunaan [GetId](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetId.html)dan [GetOpenIdToken](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html)dari perangkat saat menggunakan identitas otentikasi pengembang. Karena aplikasi Anda menandatangani permintaan ke operasi API ini dengan AWS kredensil, Amazon Cognito percaya bahwa pengenal pengguna yang disediakan dalam permintaan tersebut valid. Otentikasi pengembang menggantikan validasi token yang dilakukan Amazon Cognito dengan penyedia eksternal.
Payload untuk API ini mencakup `logins` peta. Peta ini harus berisi kunci penyedia pengembang Anda dan nilai sebagai pengenal bagi pengguna di sistem Anda. Jika pengenal pengguna belum ditautkan ke identitas yang ada, Amazon Cognito akan membuat identitas baru dan mengembalikan ID identitas baru dan token OpenID Connect untuk identitas tersebut. Jika pengenal pengguna sudah ditautkan, Amazon Cognito mengembalikan ID identitas yang sudah ada sebelumnya dan token OpenID Connect. Cache identitas pengembang IDs setelah permintaan pertama Anda, dan mulai sesi dasar (klasik) berikutnya untuk identitas itu`GetOpenIdTokenForDeveloperIdentity`.
Respons terhadap permintaan `GetOpenIdTokenForDeveloperIdentity` API adalah token yang dihasilkan Amazon Cognito. Anda dapat mengirimkan token ini sebagai `WebIdentityToken` parameter dalam `AssumeRoleWithWebIdentity` permintaan.
Sebelum Anda mengirimkan token OpenID Connect, verifikasi di aplikasi Anda. Anda dapat menggunakan pustaka OIDC di SDK atau pustaka seperti [https://github.com/awslabs/aws-jwt-verify](https://github.com/awslabs/aws-jwt-verify)untuk mengonfirmasi bahwa Amazon Cognito mengeluarkan token. ID kunci penandatanganan, atau`kid`, dari token OpenID Connect adalah salah satu yang tercantum dalam dokumen jwks\$1uri Amazon Cognito [https://cognito-identity.amazonaws.com/.well-known/jwks_uri](https://cognito-identity.amazonaws.com/.well-known/jwks_uri) †. Kunci-kunci ini dapat berubah. *Fungsi Anda yang memverifikasi token Identitas Amazon Cognito harus memperbarui daftar kuncinya secara berkala dari dokumen jwks\$1uri.* Amazon Cognito menetapkan durasi penyegaran di header `cache-control` respons *jwks\$1uri*, yang saat ini disetel ke 30 hari. `max-age`
Menautkan login
Seperti penyedia eksternal, menyediakan login tambahan yang belum dikaitkan dengan identitas secara implisit menghubungkan login tersebut ke identitas tersebut. Jika Anda menautkan login penyedia eksternal ke identitas, pengguna dapat menggunakan authflow penyedia eksternal dengan penyedia tersebut. Namun, mereka tidak dapat menggunakan nama penyedia pengembang Anda di peta login saat menelepon `GetId` atau`GetOpenIdToken`.
Menggabungkan identitas
Dengan identitas otentikasi pengembang, Amazon Cognito mendukung penggabungan implisit dan penggabungan eksplisit melalui API. [MergeDeveloperIdentities](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_MergeDeveloperIdentities.html) Dengan penggabungan eksplisit, Anda dapat menandai dua identitas dengan pengidentifikasi pengguna di sistem Anda sebagai identitas tunggal. Jika Anda menyediakan pengenal pengguna sumber dan tujuan, Amazon Cognito menggabungkannya. Lain kali Anda meminta token OpenID Connect untuk salah satu pengenal pengguna, id identitas yang sama akan dikembalikan.
**AssumeRoleWithWebIdentity**
Setelah Anda memiliki token OpenID Connect, Anda kemudian dapat menukar ini untuk AWS kredensi sementara melalui permintaan [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)API ke (). AWS Security Token Service AWS STS
Karena tidak ada batasan jumlah identitas yang dapat Anda buat, penting untuk memahami izin yang Anda berikan kepada pengguna Anda. Siapkan peran IAM yang berbeda untuk aplikasi Anda: satu untuk pengguna yang tidak diautentikasi, dan satu untuk pengguna yang diautentikasi. Konsol Amazon Cognito dapat membuat peran default saat pertama kali menyiapkan kumpulan identitas. Peran ini secara efektif tidak memiliki izin yang diberikan. Ubah mereka untuk memenuhi kebutuhan Anda.
Pelajari lebih lanjut tentang [Kepercayaan peran dan izin](iam-roles.md#role-trust-and-permissions).
† Dokumen [https://cognito-identity.amazonaws.com/.well-known/jwks_uri](https://cognito-identity.amazonaws.com/.well-known/jwks_uri) Identitas Amazon Cognito default berisi informasi tentang kunci yang menandatangani token untuk kumpulan identitas di sebagian besar. Wilayah AWS Daerah berikut memiliki dokumen *jwks\$1uri* yang berbeda.
| Wilayah AWS | Jalur ke dokumen *jwks\$1uri* |
| --- |--- |
| AWS GovCloud (AS-Barat) | https://cognito-identity.us-gov-west-1.amazonaws.com/.well-known/jwks\$1uri |
| Tiongkok (Beijing) | https://cognito-identity---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/.well-known/jwks\$1uri |
| Opt-in Regions seperti Eropa (Milan) dan Afrika (Cape Town) | https://cognito-identity.Region.amazonaws.com/.well-known/jwks\$1uri |
Anda juga dapat mengekstrapolasi *jwks\$1uri* dari penerbit atau yang `iss` Anda terima di token OpenID dari Amazon Cognito. Titik akhir penemuan standar OIDC `/.well-known/openid-configuration` mencantumkan jalur ke *jwks\$1uri* untuk token Anda.