Mengkonfigurasi domain kumpulan pengguna - Amazon Cognito
Hal-hal yang perlu diketahui tentang domain kumpulan pengguna

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi domain kumpulan pengguna

Mengkonfigurasi domain adalah bagian opsional dari pengaturan kumpulan pengguna. Domain kumpulan pengguna menghosting fitur untuk otentikasi pengguna, federasi dengan penyedia pihak ketiga, dan aliran OpenID OIDC Connect (). Ini memiliki UI yang dihosting, antarmuka bawaan untuk operasi utama seperti mendaftar, masuk, dan pemulihan kata sandi. Ini juga menjadi tuan rumah titik akhir OpenID Connect (OIDC) standar seperti otorisasi,, dan token userInfo, untuk otorisasi machine-to-machine (M2M) dan aliran otentikasi dan otorisasi 2.0 lainnyaOIDC. OAuth

Pengguna masuk ke UI yang dihosting di domain yang terkait dengan kumpulan pengguna Anda. Anda memiliki dua opsi untuk mengonfigurasi domain ini: Anda dapat menggunakan domain host Amazon Cognito default, atau Anda dapat mengonfigurasi domain khusus yang Anda miliki.

Opsi domain khusus memiliki lebih banyak opsi untuk fleksibilitas, keamanan, dan kontrol. Misalnya, domain milik organisasi yang akrab dapat mendorong kepercayaan pengguna dan membuat proses masuk lebih intuitif. Namun, pendekatan domain kustom memerlukan beberapa overhead tambahan, seperti mengelola SSL sertifikat dan DNS konfigurasi.

Titik akhir OIDC penemuan, /.well-known/openid-configuration untuk titik akhir URLs dan /.well-known/jwks.json untuk kunci penandatanganan token, tidak di-host di domain Anda. Untuk informasi selengkapnya, lihat Penyedia identitas dan titik akhir pihak yang mengandalkan.

Memahami cara mengonfigurasi dan mengelola domain untuk kumpulan pengguna Amazon Cognito Anda merupakan langkah penting dalam mengintegrasikan autentikasi ke dalam aplikasi Anda. Masuk dengan kumpulan pengguna API dan AWS SDK dapat menjadi alternatif untuk mengonfigurasi domain. Model API berbasis memberikan token secara langsung sebagai API respons, tetapi untuk implementasi yang menggunakan kemampuan kumpulan pengguna yang diperluas sebagai OIDC iDP, Anda harus mengonfigurasi domain. Untuk informasi selengkapnya tentang model otentikasi yang tersedia di kumpulan pengguna, lihatMenggunakan kumpulan pengguna API dan server otorisasi.

Topik

Hal-hal yang perlu diketahui tentang domain kumpulan pengguna

Domain kumpulan pengguna adalah titik layanan untuk OIDC mengandalkan pihak dalam aplikasi Anda dan untuk elemen UI. Pertimbangkan detail berikut saat merencanakan implementasi domain untuk kumpulan pengguna.

Ketentuan yang dipesan

Anda tidak dapat menggunakan teksaws,amazon, atau cognito atas nama domain awalan Amazon Cognito.

Endpoint Discovery berada di domain yang berbeda

Titik akhir penemuan kumpulan pengguna .well-known/openid-configuration dan .well-known/jwks.json tidak ada di domain kustom atau awalan kumpulan pengguna Anda. Jalan menuju titik akhir ini adalah sebagai berikut.

  • https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/openid-configuration

  • https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/jwks.json

Domain kustom dan awalan pada saat bersamaan

Anda dapat mengatur kumpulan pengguna dengan domain kustom dan domain awalan yang dimiliki oleh AWS. Karena titik akhir penemuan kumpulan pengguna di-host di domain yang berbeda, mereka hanya melayani domain khusus. Misalnya, Anda openid-configuration akan memberikan nilai tunggal untuk "authorization_endpoint" of"https://auth.example.com/oauth2/authorize".

Jika Anda memiliki domain kustom dan awalan di kumpulan pengguna, Anda dapat menggunakan domain kustom dengan fitur lengkap penyedia. OIDC Domain awalan dalam kumpulan pengguna dengan konfigurasi ini tidak memiliki penemuan atau token-signing-key titik akhir dan harus digunakan sesuai dengan itu.

Jangan gunakan domain khusus pada tingkat hierarki domain yang berbeda

Anda dapat mengonfigurasi kumpulan pengguna terpisah agar memiliki domain khusus di domain tingkat atas (TLD) yang sama, misalnya auth.example.com dan auth2.example.com. Cookie sesi UI yang dihosting berlaku untuk domain khusus dan semua subdomain, misalnya *.auth.example.com. Karena itu, tidak ada pengguna aplikasi Anda yang boleh mengakses UI yang dihosting untuk domain induk dan subdomain apa pun. Jika domain kustom menggunakan hal yang samaTLD, pertahankan pada tingkat subdomain yang sama.

Katakanlah Anda memiliki kumpulan pengguna dengan domain kustom auth.example.com. Kemudian Anda membuat kumpulan pengguna lain dan menetapkan domain kustom uk.auth.example.com. . Pengguna masuk dengan auth.example.com. dan mendapatkan cookie yang disajikan browser mereka ke *.auth.example.com. Mereka kemudian mencoba masuk ke uk.auth.example.com. . Mereka meneruskan cookie yang tidak valid ke UI yang dihosting dan menerima kesalahan alih-alih prompt masuk. Sebaliknya, pengguna dengan cookie untuk *.auth.example.com tidak memiliki masalah dalam memulai sesi masuk di auth2.example.com.