Login terkelola kumpulan pengguna - Amazon Cognito
Lokalisasi login terkelolaMenyiapkan login terkelola dengan AWS AmplifyMenyiapkan login terkelola dengan konsol Amazon CognitoMelihat halaman masukMenyesuaikan halaman otentikasiHal-hal yang perlu diketahui tentang login terkelola dan UI yang dihosting

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Login terkelola kumpulan pengguna

Anda dapat memilih domain web untuk meng-host layanan untuk kumpulan pengguna Anda. Kumpulan pengguna Amazon Cognito mendapatkan fungsi berikut saat Anda menambahkan domain, yang secara kolektif disebut sebagai login terkelola.

  • Server otorisasi yang bertindak sebagai penyedia identitas (IDP) untuk aplikasi yang bekerja OAuth dengan 2.0 dan OpenID Connect (OIDC). Server otorisasi merutekan permintaan otentikasi, mengeluarkan dan mengelola token web JSON (JWTs), dan memberikan informasi atribut pengguna.

  • Antarmuka ready-to-use pengguna (UI) untuk operasi otentikasi seperti login, keluar, dan manajemen kata sandi. Halaman login terkelola bertindak sebagai front end web untuk layanan otentikasi.

  • Penyedia layanan (SP), atau pihak yang mengandalkan (RP), ke SAMP 2.0 IdPs, OIDC, Facebook IdPs, Login with Amazon, Masuk dengan Apple, dan Google.

Opsi tambahan yang berbagi beberapa fitur dengan login terkelola adalah UI host klasik. UI host klasik adalah versi generasi pertama dari layanan login terkelola. Layanan IDP dan RP UI yang di-host umumnya memiliki karakteristik yang sama dengan login terkelola, tetapi halaman login memiliki desain yang lebih sederhana dan fitur yang lebih sedikit. Misalnya, login kunci sandi tidak tersedia di UI klasik yang dihosting. Dalam paket fitur Lite, UI yang dihosting klasik adalah satu-satunya pilihan Anda untuk layanan domain kumpulan pengguna.

Halaman login terkelola adalah kumpulan antarmuka web untuk pendaftaran dasar, masuk, otentikasi multi-faktor, dan aktivitas pengaturan ulang kata sandi di kumpulan pengguna Anda. Mereka juga menghubungkan pengguna ke satu atau beberapa penyedia identitas pihak ketiga (IdPs) saat Anda ingin memberi pengguna pilihan opsi masuk. Aplikasi Anda dapat memanggil halaman login terkelola di browser pengguna saat Anda ingin mengautentikasi dan mengotorisasi pengguna.

Anda dapat membuat pengalaman pengguna login terkelola sesuai dengan merek Anda dengan logo, latar belakang, dan gaya khusus. Anda memiliki dua opsi untuk branding yang mungkin Anda terapkan ke UI login terkelola: perancang merek untuk login terkelola, dan pencitraan merek UI (klasik) yang dihosting untuk UI yang dihosting.

Desainer branding

Pengalaman pengguna yang diperbarui dengan opsi up-to-date otentikasi terbanyak dan editor visual di konsol Amazon Cognito.

Pencitraan merek UI yang di-host

Pengalaman pengguna yang akrab bagi pengadopsi kumpulan pengguna Amazon Cognito sebelumnya. Branding untuk UI yang dihosting adalah sistem berbasis file. Untuk menerapkan branding ke halaman UI yang dihosting, Anda mengunggah file gambar logo dan file yang menetapkan nilai untuk beberapa opsi gaya CSS yang telah ditentukan sebelumnya.

Perancang merek tidak tersedia di semua paket fitur untuk kumpulan pengguna. Untuk informasi selengkapnya, lihat Paket fitur kumpulan pengguna.

Untuk informasi selengkapnya tentang membuat permintaan untuk login terkelola dan layanan UI yang dihosting, lihatTitik akhir kumpulan pengguna dan referensi login terkelola.

catatan

Login terkelola Amazon Cognito tidak mendukung otentikasi khusus dengan tantangan otentikasi kustom yang memicu Lambda.

Topik

Lokalisasi login terkelola

Login terkelola default ke bahasa Inggris di halaman interaktif pengguna. Anda dapat menampilkan halaman login terkelola yang dilokalkan untuk bahasa pilihan Anda. Bahasa yang tersedia adalah yang tersedia di AWS Management Console. Di tautan yang Anda distribusikan ke pengguna, tambahkan parameter lang kueri, seperti yang ditunjukkan pada contoh berikut.

https://<your domain>/oauth2/authorize?lang=es&response_type=code&client_id=<your app client id>&redirect_uri=<your relying-party url>

Amazon Cognito menetapkan cookie di browser pengguna dengan preferensi bahasa mereka setelah permintaan awal dengan parameter. lang Setelah cookie diatur, pemilihan bahasa tetap ada tanpa menampilkan atau mengharuskan Anda untuk memasukkan parameter dalam permintaan. Misalnya, setelah pengguna membuat permintaan masuk dengan lang=de parameter, halaman login terkelola akan ditampilkan dalam bahasa Jerman hingga mereka menghapus cookie mereka atau membuat permintaan baru dengan parameter pelokalan baru seperti. lang=en

Lokalisasi hanya tersedia untuk login terkelola. Anda harus berada di paket fitur Essentials atau Plus dan telah menetapkan domain Anda untuk menggunakan branding login terkelola.

Pilihan yang dibuat pengguna Anda dalam login terkelola tidak tersedia untuk email kustom atau pemicu pengirim SMS. Ketika Anda menerapkan pemicu ini, Anda harus menggunakan mekanisme lain, misalnya locale atribut, untuk menentukan bahasa pilihan pengguna.

Bahasa-bahasa berikut tersedia.

Bahasa login terkelola
Bahasa Kode
Bahasa Jerman de
Bahasa Inggris id
Bahasa Spanyol es
Prancis fr
Bahasa Indonesia id
Bahasa Italia ia
Bahasa Jepang ya
Bahasa Korea ko
Bahasa Portugis Pt-BR
Mandarin (Sederhana) Zh-CN
Mandarin (Tradisional) Zh-TW

Menyiapkan login terkelola dengan AWS Amplify

Jika Anda menggunakan AWS Amplify untuk menambahkan otentikasi ke web atau aplikasi seluler, Anda dapat mengatur halaman login terkelola di antarmuka baris perintah Amplify (CLI) dan pustaka dalam kerangka Amplify. Untuk menambahkan autentikasi ke aplikasi Anda, tambahkan Auth kategori ke project Anda. Kemudian, di aplikasi Anda, autentikasi pengguna pool pengguna dengan pustaka klien Amplify.

Anda dapat memanggil halaman login terkelola untuk otentikasi atau Anda dapat menggabungkan pengguna melalui titik akhir otorisasi yang mengalihkan ke IDP. Setelah pengguna berhasil melakukan autentikasi dengan penyedia, Amplify membuat pengguna baru di kumpulan pengguna Anda dan meneruskan token pengguna ke aplikasi Anda.

Contoh berikut menunjukkan cara menggunakan AWS Amplify untuk menyiapkan login terkelola dengan penyedia sosial di aplikasi Anda.

Menyiapkan login terkelola dengan konsol Amazon Cognito

Persyaratan pertama untuk login terkelola dan UI yang dihosting adalah domain kumpulan pengguna. Di konsol kumpulan pengguna, navigasikan ke tab Domain dari kumpulan pengguna Anda dan tambahkan domain Cognito atau domain khusus. Anda juga dapat memilih domain selama proses pembuatan kumpulan pengguna baru. Untuk informasi selengkapnya, lihat Mengkonfigurasi domain kumpulan pengguna. Saat domain aktif di kumpulan pengguna Anda, semua klien aplikasi menyajikan halaman autentikasi publik di domain tersebut.

Saat membuat atau memodifikasi domain kumpulan pengguna, Anda menetapkan versi Branding untuk domain Anda. Versi branding ini adalah pilihan Login Terkelola atau UI yang Dihosting (klasik). Versi branding pilihan Anda berlaku untuk semua klien aplikasi yang menggunakan layanan login di domain Anda.

Langkah selanjutnya adalah membuat klien aplikasi dari tab Klien aplikasi di kumpulan pengguna Anda. Dalam proses membuat klien aplikasi, Amazon Cognito akan menanyakan informasi tentang aplikasi Anda, lalu meminta Anda untuk memilih URL Pengembalian. URL pengembalian juga disebut URL relying party (RP), URI redirect, dan URL callback. Ini adalah URL tempat aplikasi Anda berjalan dari, misalnya https://www.example.com ataumyapp://example.

Setelah Anda mengonfigurasi klien domain dan aplikasi dengan gaya branding di kumpulan pengguna Anda, halaman login terkelola Anda akan tersedia di internet.

Melihat halaman masuk

Di konsol Amazon Cognito, pilih tombol Lihat halaman login di tab Halaman login untuk klien aplikasi Anda di bawah menu Klien aplikasi. Tombol ini membawa Anda ke halaman login di domain kumpulan pengguna Anda dengan parameter dasar berikut.

  • Id klien aplikasi

  • Permintaan hibah kode otorisasi

  • Permintaan untuk semua cakupan yang telah Anda aktifkan untuk klien aplikasi saat ini

  • URL callback pertama dalam daftar untuk klien aplikasi saat ini

Tombol Lihat halaman login berguna ketika Anda ingin menguji fungsi dasar halaman login terkelola Anda. Halaman login Anda akan cocok dengan versi Branding yang Anda tetapkan ke domain kumpulan pengguna Anda. Anda dapat menyesuaikan URL masuk Anda dengan parameter tambahan dan modifikasi. Dalam kebanyakan kasus, parameter yang dibuat secara otomatis dari link halaman login View tidak sepenuhnya sesuai dengan kebutuhan aplikasi Anda. Dalam kasus ini, Anda harus menyesuaikan URL yang dipanggil aplikasi saat masuk ke pengguna. Untuk informasi selengkapnya tentang kunci dan nilai parameter masuk, lihatTitik akhir kumpulan pengguna dan referensi login terkelola.

Halaman web login menggunakan format URL berikut. Contoh ini meminta hibah kode otorisasi dengan response_type=code parameter.

https://<your domain>/oauth2/authorize?response_type=code&client_id=<your app client id>&redirect_uri=<your relying-party url>

Anda dapat mencari string domain pool pengguna Anda dari menu Domain di kolam pengguna Anda. Di menu Klien aplikasi, Anda dapat mengidentifikasi klien aplikasi IDs, panggilan balik mereka URLs, cakupan yang diizinkan, dan konfigurasi lainnya.

Saat Anda menavigasi ke /oauth2/authorize titik akhir dengan parameter kustom Anda, Amazon Cognito mengarahkan Anda ke /oauth2/login titik akhir atau, jika Anda memiliki identity_provider parameter idp_identifier atau, secara diam-diam mengarahkan Anda ke halaman masuk IDP Anda.

Contoh permintaan untuk hibah implisit

Anda dapat melihat halaman web login Anda dengan URL berikut untuk pemberian kode implisit di mana. response_type=token Setelah berhasil masuk, Amazon Cognito mengembalikan token kolam pengguna ke bilah alamat browser web Anda.


            https://mydomain.us-east-1.amazoncognito.com/authorize?response_type=token&client_id=1example23456789&redirect_uri=https://mydomain.example.com

Identitas dan token akses muncul sebagai parameter yang ditambahkan ke URL pengalihan Anda.

Berikut ini adalah contoh respon dari permintaan hibah implisit.


            https://mydomain.example.com/#id_token=eyJraaBcDeF1234567890&access_token=eyJraGhIjKlM1112131415&expires_in=3600&token_type=Bearer

Menyesuaikan halaman otentikasi

Di masa lalu, Amazon Cognito hanya meng-host halaman login dengan UI host klasik, desain sederhana yang memberikan tampilan universal ke halaman web otentikasi. Anda dapat menyesuaikan kumpulan pengguna Amazon Cognito dengan gambar logo dan mengubah beberapa gaya dengan file yang menentukan beberapa nilai gaya CSS. Kemudian, Amazon Cognito memperkenalkan login terkelola, layanan otentikasi host yang diperbarui. Login terkelola diperbarui look-and-feel dengan perancang merek. Perancang branding adalah editor visual tanpa kode dan rangkaian opsi yang lebih besar daripada pengalaman kustomisasi UI yang dihosting. Login terkelola juga memperkenalkan gambar latar belakang kustom dan tema mode gelap.

Anda dapat beralih antara login terkelola dan pengalaman pencitraan merek UI yang dihosting di kumpulan pengguna. Untuk mempelajari lebih lanjut tentang menyesuaikan halaman login terkelola, lihatTerapkan branding ke halaman login terkelola.

Hal-hal yang perlu diketahui tentang login terkelola dan UI yang dihosting

Login terkelola satu jam dan cookie sesi UI yang dihosting

Saat pengguna masuk dengan halaman login Anda atau penyedia pihak ketiga, Amazon Cognito menetapkan cookie di browser mereka. Dengan cookie ini, pengguna dapat masuk lagi dengan metode otentikasi yang sama selama satu jam. Ketika mereka masuk dengan cookie browser mereka, mereka mendapatkan token baru yang bertahan selama durasi yang ditentukan dalam konfigurasi klien aplikasi Anda. Perubahan pada atribut pengguna atau faktor otentikasi tidak berpengaruh pada kemampuan mereka untuk masuk lagi dengan cookie browser mereka.

Otentikasi dengan cookie sesi tidak mengatur ulang durasi cookie ke jam tambahan. Pengguna harus masuk lagi jika mereka mencoba mengakses halaman masuk Anda lebih dari satu jam setelah otentikasi interaktif terbaru mereka berhasil.

Mengonfirmasi akun pengguna dan memverifikasi atribut pengguna

Untuk pengguna lokal kumpulan pengguna, login terkelola dan UI yang dihosting berfungsi paling baik saat Anda mengonfigurasi kumpulan pengguna agar Izinkan Cognito mengirim pesan secara otomatis untuk memverifikasi dan mengonfirmasi. Saat Anda mengaktifkan setelan ini, Amazon Cognito mengirimkan pesan dengan kode konfirmasi kepada pengguna yang mendaftar. Saat Anda mengonfirmasi pengguna sebagai administrator kumpulan pengguna, halaman login Anda menampilkan pesan kesalahan setelah mendaftar. Dalam keadaan ini, Amazon Cognito telah membuat pengguna baru, tetapi belum dapat mengirim pesan verifikasi. Anda masih dapat mengonfirmasi pengguna sebagai administrator, tetapi mereka mungkin menghubungi meja dukungan Anda setelah mereka menemukan kesalahan. Untuk informasi selengkapnya tentang konfirmasi administratif, lihatMemungkinkan pengguna untuk mendaftar di aplikasi Anda tetapi mengonfirmasinya sebagai administrator kumpulan pengguna.

Melihat perubahan Anda pada konfigurasi

Jika Anda membuat perubahan gaya pada halaman Anda dan mereka tidak segera muncul, tunggu beberapa menit dan kemudian refresh halaman.

Menguraikan token kumpulan pengguna

Token kumpulan pengguna Amazon Cognito ditandatangani menggunakan RS256 algoritme. Anda dapat memecahkan kode dan memverifikasi token kumpulan pengguna menggunakan AWS Lambda. Lihat Mendekode dan memverifikasi token Amazon Cognito JWT pada. GitHub

AWS WAF web ACLs

Anda dapat mengonfigurasi kumpulan pengguna Anda untuk melindungi domain yang melayani halaman login dan server otorisasi Anda dengan aturan di AWS WAF web ACLs. Saat ini, aturan yang Anda konfigurasikan berlaku untuk halaman ini hanya ketika Anda mengelola versi branding login adalah Hosted UI (klasik). Untuk informasi selengkapnya, lihat Hal-hal yang perlu diketahui tentang AWS WAF web ACLs dan Amazon Cognito.

Versi TLS

Login terkelola dan halaman UI yang dihosting memerlukan enkripsi saat transit. Domain kumpulan pengguna yang disediakan oleh Amazon Cognito mengharuskan browser pengguna menegosiasikan versi TLS minimum 1.2. Domain khusus mendukung koneksi browser dengan TLS versi 1.2. UI yang dihosting (klasik) tidak memerlukan TLS 1.2 untuk domain khusus, tetapi login terkelola yang lebih baru memerlukan TLS versi 1.2 baik untuk domain kustom maupun awalan. Karena Amazon Cognito mengelola konfigurasi layanan domain Anda, Anda tidak dapat mengubah persyaratan TLS domain kumpulan pengguna Anda.

Kebijakan CORS

Baik login terkelola maupun UI yang dihosting tidak mendukung kebijakan asal berbagi sumber daya lintas asal (CORS) kustom. Kebijakan CORS akan mencegah pengguna meneruskan parameter otentikasi dalam permintaan mereka. Sebagai gantinya, terapkan kebijakan CORS di front end aplikasi Anda. Amazon Cognito mengembalikan header Access-Control-Allow-Origin: * respons ke permintaan ke titik akhir berikut.

  1. Titik akhir token

  2. Cabut titik akhir

  3. Titik akhir UserInfo

Cookie

Login terkelola dan UI yang dihosting mengatur cookie di browser pengguna. Cookie sesuai dengan persyaratan beberapa browser bahwa situs tidak menetapkan cookie pihak ketiga. Mereka hanya dicakup ke titik akhir kumpulan pengguna Anda dan termasuk yang berikut ini:

  • XSRF-TOKENCookie untuk setiap permintaan.

  • csrf-stateCookie untuk konsistensi sesi saat pengguna dialihkan.

  • Cookie cognito sesi yang mempertahankan upaya masuk yang berhasil selama satu jam.

  • langCookie yang mempertahankan pilihan pelokalan bahasa pengguna dalam login terkelola.

  • page-dataCookie yang mempertahankan data yang diperlukan saat pengguna menavigasi di antara halaman login terkelola.

Di iOS, Anda dapat memblokir semua cookie. Pengaturan ini tidak kompatibel dengan login terkelola atau UI yang dihosting. Untuk bekerja dengan pengguna yang mungkin mengaktifkan setelan ini, buat autentikasi kumpulan pengguna ke dalam aplikasi iOS asli dengan AWS SDK. Dalam skenario ini, Anda dapat membangun penyimpanan sesi Anda sendiri yang tidak berbasis cookie.

Efek perubahan versi login terkelola

Pertimbangkan efek berikut dari penambahan domain dan pengaturan versi login terkelola.

  • Saat Anda menambahkan domain awalan, baik dengan login terkelola atau pencitraan merek UI (klasik) yang dihosting, diperlukan waktu hingga 60 detik sebelum halaman login Anda tersedia.

  • Saat Anda menambahkan domain khusus, baik dengan login terkelola atau pencitraan merek UI (klasik) yang dihosting, diperlukan waktu hingga lima menit sebelum halaman login Anda tersedia.

  • Ketika Anda mengubah versi branding untuk domain Anda, itu bisa memakan waktu hingga empat menit sebelum halaman login Anda tersedia dalam versi branding baru.

  • Saat Anda beralih antara login terkelola dan pencitraan merek UI (klasik) yang dihosting, Amazon Cognito tidak mempertahankan sesi pengguna. Mereka harus masuk lagi dengan antarmuka baru.

Gaya default

Saat Anda membuat klien aplikasi di AWS Management Console, Amazon Cognito secara otomatis menetapkan gaya branding ke klien aplikasi Anda. Saat Anda membuat klien aplikasi secara terprogram dengan CreateUserPoolClientoperasi, tidak ada gaya branding yang dibuat. Login terkelola tidak tersedia untuk klien aplikasi yang dibuat dengan AWS SDK hingga Anda membuatnya dengan CreateManagedLoginBrandingpermintaan.