Istilah dan konsep Amazon Cognito yang umum

Amazon Cognito menyediakan kredensil untuk aplikasi web dan seluler. Ini diambil dari dan dibangun berdasarkan istilah-istilah yang umum dalam identitas dan manajemen akses. Banyak panduan untuk identitas universal dan persyaratan akses tersedia. Beberapa contohnya adalah:

Terminologi dalam IDPro Tubuh Pengetahuan
AWS Layanan Identitas
Glosarium dari NIST CSRC

Daftar berikut menjelaskan istilah yang unik untuk Amazon Cognito atau memiliki konteks tertentu di Amazon Cognito.

Umum

Istilah dalam daftar ini tidak spesifik untuk Amazon Cognito dan diakui secara luas di kalangan praktisi manajemen identitas dan akses. Berikut ini bukan daftar istilah yang lengkap, tetapi panduan untuk konteks Amazon Cognito spesifik mereka dalam panduan ini.

Aplikasi: Biasanya, aplikasi seluler. Dalam panduan ini, aplikasi sering kali merupakan singkatan untuk aplikasi web atau aplikasi seluler yang terhubung ke Amazon Cognito.
Kontrol akses berbasis atribut () ABAC: Model di mana aplikasi menentukan akses ke sumber daya berdasarkan properti pengguna, seperti jabatan atau departemen mereka. Alat Amazon Cognito untuk menerapkan ABAC menyertakan token ID di kumpulan pengguna dan tag utama di kumpulan identitas.
Server otorisasi: Sistem berbasis web yang menghasilkan token JSON web. Titik akhir federasi kumpulan pengguna Amazon Cognito adalah komponen server otorisasi dari dua metode otentikasi dan otorisasi di kumpulan pengguna. Metode lainnya adalah kumpulan pengguna API.
Aplikasi rahasia, aplikasi sisi server: Aplikasi yang terhubung pengguna dari jarak jauh, dengan kode di server aplikasi dan akses ke rahasia. Ini biasanya aplikasi web.
Penyedia identitas (iDP): Layanan yang menyimpan dan memverifikasi identitas pengguna. Amazon Cognito dapat meminta otentikasi dari penyedia eksternal dan menjadi IDP untuk aplikasi.
JSONtoken web (JWT): Dokumen JSON -format yang berisi klaim tentang pengguna yang diautentikasi. Token ID mengautentikasi pengguna, token akses mengotorisasi pengguna, dan menyegarkan kredensi pembaruan token. Amazon Cognito menerima token dari penyedia eksternal dan mengeluarkan token ke aplikasi atau. AWS STS
Otentikasi multi-faktor () MFA: Persyaratan bahwa pengguna memberikan otentikasi tambahan setelah memberikan nama pengguna dan kata sandi mereka. Kumpulan pengguna Amazon Cognito memiliki MFA fitur untuk pengguna lokal.
OAuth2.0 (sosial) penyedia: IdP ke kumpulan pengguna atau kumpulan identitas yang menyediakan JWTakses dan penyegaran token. Kumpulan pengguna Amazon Cognito mengotomatiskan interaksi dengan penyedia sosial setelah pengguna mengautentikasi.
Penyedia OpenID Connect () OIDC: IdP ke kumpulan pengguna atau kumpulan identitas yang memperluas OAuthspesifikasi untuk menyediakan token ID. Kumpulan pengguna Amazon Cognito mengotomatiskan interaksi dengan OIDC penyedia setelah pengguna mengautentikasi.
Aplikasi publik: Aplikasi yang mandiri pada perangkat, dengan kode yang disimpan secara lokal dan tidak ada akses ke rahasia. Ini biasanya aplikasi seluler.
Server sumber daya: An API dengan kontrol akses. Kumpulan pengguna Amazon Cognito juga menggunakan server sumber daya untuk mendeskripsikan komponen yang mendefinisikan konfigurasi untuk berinteraksi dengan file. API
Kontrol akses berbasis peran () RBAC: Model yang memberikan akses berdasarkan penunjukan fungsional pengguna. Kumpulan identitas Amazon Cognito diimplementasikan RBAC dengan diferensiasi antar peran. IAM
Penyedia layanan (SP), pihak yang mengandalkan (RP): Aplikasi yang mengandalkan IDP untuk menegaskan bahwa pengguna dapat dipercaya. Amazon Cognito bertindak sebagai SP untuk eksternal IdPs, dan sebagai IDP untuk berbasis aplikasi. SPs
SAMLprovider: IdP ke kumpulan pengguna atau kumpulan identitas yang menghasilkan dokumen pernyataan yang ditandatangani secara digital yang diteruskan pengguna Anda ke Amazon Cognito.
Pengidentifikasi Unik Universal () UUID: Label 128-bit yang diterapkan pada suatu objek. Amazon Cognito UUIDs unik per kumpulan pengguna atau kumpulan identitas, tetapi tidak sesuai dengan format tertentu. UUID
Direktori pengguna: Kumpulan pengguna dan atribut mereka yang melayani informasi itu ke sistem lain. Kumpulan pengguna Amazon Cognito adalah direktori pengguna, dan juga alat untuk konsolidasi pengguna dari direktori pengguna eksternal.

Kolam pengguna

Ketika Anda melihat istilah dalam daftar berikut dalam panduan ini, mereka merujuk ke fitur atau konfigurasi tertentu dari kumpulan pengguna.

Kumpulan pengguna Amazon Cognito API: Satu set API operasi autentikasi dan otorisasi yang dapat Anda tambahkan ke aplikasi Anda dengan file. AWS SDK APIDapat masuk ke pengguna lokal dan pengguna yang ditautkan.
Otentikasi adaptif: Fitur keamanan canggih yang mendeteksi potensi aktivitas berbahaya dan menerapkan keamanan tambahan ke profil pengguna.
Fitur keamanan tingkat lanjut: Komponen opsional yang menambahkan alat untuk keamanan pengguna.
Klien aplikasi: Komponen yang mendefinisikan pengaturan untuk kumpulan pengguna sebagai iDP untuk satu aplikasi.
Panggilan balikURL, arahkan ulang URI: Setelan di klien aplikasi dan parameter dalam permintaan ke titik akhir federasi kumpulan pengguna. Callback URL adalah tujuan awal untuk pengguna yang diautentikasi di aplikasi Anda.
Kredensi yang dikompromikan: Fitur keamanan canggih yang mendeteksi kata sandi pengguna yang mungkin diketahui penyerang, dan menerapkan keamanan tambahan ke profil pengguna.
Konfirmasi: Proses yang menentukan bahwa prasyarat telah dipenuhi untuk mengizinkan pengguna baru masuk. Konfirmasi biasanya dilakukan melalui alamat email atau verifikasi nomor telepon.
Otentikasi kustom: Perpanjangan proses otentikasi dengan pemicu Lambda yang menentukan tantangan dan respons pengguna tambahan.
Otentikasi perangkat: Proses otentikasi yang menggantikan MFAdengan login yang menggunakan ID perangkat tepercaya.
Penyedia eksternal, penyedia pihak ketiga: IdP yang memiliki hubungan kepercayaan dengan kumpulan pengguna.
Pengguna federasi: Pengguna di kumpulan pengguna yang diautentikasi oleh penyedia eksternal.
Titik akhir Federasi: Satu set halaman web pada domain kumpulan pengguna Anda yang menghosting layanan untuk interaksi dengan IdPs dan aplikasi.
UI yang Dihosting: Satu set halaman web interaktif pada domain kumpulan pengguna Anda yang menghosting layanan untuk otentikasi pengguna.
Pemicu Lambda: Fungsi di mana AWS Lambda kumpulan pengguna dapat secara otomatis memanggil pada titik-titik kunci dalam proses otentikasi pengguna. Anda dapat menggunakan pemicu Lambda untuk menyesuaikan hasil otentikasi.
Pengguna lokal: Profil pengguna di direktori pengguna kumpulan pengguna yang tidak dibuat dengan autentikasi dengan penyedia eksternal.
Pengguna yang ditautkan: Pengguna dari penyedia eksternal yang identitasnya digabungkan dengan pengguna lokal.
Kustomisasi token: Hasil dari pemicu Lambda generasi pra token yang memodifikasi ID pengguna atau token akses saat runtime.
Kumpulan pengguna, penyedia identitas Amazon Cognito,cognito-idp, kumpulan pengguna Amazon Cognito: AWS Sumber daya dengan layanan otentikasi dan otorisasi untuk aplikasi yang bekerja dengannya. OIDC IdPs
Domain kolam pengguna: Nama situs web yang Anda tambahkan ke kumpulan pengguna. Domain adalah basis URL untuk UI yang dihosting dan titik akhir federasi.
Verifikasi: Proses konfirmasi bahwa pengguna memiliki alamat email atau nomor telepon. Kumpulan pengguna mengirimkan kode ke pengguna yang telah memasukkan alamat email atau nomor telepon baru. Saat mereka mengirimkan kode ke Amazon Cognito, mereka memverifikasi kepemilikan mereka atas tujuan pesan dan dapat menerima pesan tambahan dari kumpulan pengguna. Juga, lihat konfirmasi.
Profil pengguna, akun pengguna: Entri untuk pengguna di direktori pengguna. Semua pengguna memiliki profil di kumpulan pengguna mereka.

Kolam identitas

Saat Anda melihat istilah dalam daftar berikut dalam panduan ini, istilah tersebut merujuk ke fitur atau konfigurasi kumpulan identitas tertentu.

Atribut untuk kontrol akses: Implementasi kontrol akses berbasis atribut di kumpulan identitas. Identity pool menerapkan atribut pengguna sebagai tag untuk kredensi pengguna.
Otentikasi dasar (klasik): Proses otentikasi di mana Anda dapat menyesuaikan permintaan kredensional pengguna.
Identitas diautentikasi developer: Proses otentikasi yang mengotorisasi kredensial pengguna kumpulan identitas dengan kredensi pengembang.
Kredensi pengembang: IAMAPIKunci administrator kumpulan identitas.
Otentikasi yang disempurnakan: Alur otentikasi yang memilih IAM peran dan menerapkan tag utama sesuai dengan logika yang Anda tentukan dalam kumpulan identitas Anda.
Identitas: A UUIDyang menautkan pengguna aplikasi dan kredensialnya ke profil mereka di direktori pengguna eksternal yang memiliki hubungan kepercayaan dengan kumpulan identitas.
Kumpulan identitas, identitas federasi Amazon Cognito, identitas Amazon Cognito, cognito-identity: AWS Sumber daya dengan layanan otentikasi dan otorisasi untuk aplikasi yang menggunakan kredensi sementara AWS.
Identitas yang tidak diautentikasi: Pengguna yang belum masuk dengan kumpulan identitas IDP. Anda dapat mengizinkan pengguna untuk menghasilkan kredensi pengguna terbatas untuk satu IAM peran sebelum mereka melakukan autentikasi.
Kredensi pengguna: AWS APIKunci sementara yang diterima pengguna setelah autentikasi kumpulan identitas.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Cara kerja otentikasi

Bekerja dengan AWS SDKs