Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Penyedia identitas dan titik akhir pihak yang mengandalkan
Titik akhir Federasi adalah titik akhir kumpulan pengguna yang melayani tujuan untuk salah satu standar otentikasi yang digunakan oleh kumpulan pengguna. Mereka termasuk URL SAMP ACS, titik akhir penemuan OIDC, dan titik akhir layanan untuk peran kumpulan pengguna baik sebagai penyedia identitas dan pihak yang mengandalkan. Titik akhir Federasi memulai alur otentikasi, menerima bukti otentikasi dari IdPs, dan mengeluarkan token ke klien. Mereka berinteraksi dengan IdPs, aplikasi, dan administrator, tetapi tidak dengan pengguna.
Topik halaman penuh setelah halaman ini memiliki detail tentang titik akhir penyedia OAuth 2.0 dan OIDC yang tersedia saat Anda menambahkan domain ke kumpulan pengguna Anda. Bagan berikut adalah daftar semua titik akhir federasi.
Contoh domain kumpulan pengguna adalah:
-
Domain awalan:
mydomain.auth.us-east-1.amazoncognito.com -
Domain kustom:
auth.example.com
| URL Titik Akhir | Deskripsi | Bagaimana itu diakses |
|---|---|---|
https:///Your user pool
domainoauth2/authorize |
Mengarahkan pengguna ke login terkelola atau masuk dengan IDP mereka. | Dipanggil di browser pelanggan untuk memulai otentikasi pengguna. Lihat Otorisasi titik akhir. |
https:///Your user pool
domainoauth2/token |
Mengembalikan token berdasarkan kode otorisasi atau permintaan kredensyal klien. | Diminta oleh aplikasi untuk mengambil token. Lihat Titik akhir token. |
https:///Your user pool
domainoauth2/userInfo |
Mengembalikan atribut pengguna berdasarkan cakupan OAuth 2.0 dan identitas pengguna dalam token akses. | Diminta oleh aplikasi untuk mengambil profil pengguna. Lihat Titik akhir UserInfo. |
https:///Your user pool
domainoauth2/revoke |
Mencabut token penyegaran dan token akses terkait. | Diminta oleh aplikasi untuk mencabut token. Lihat Cabut titik akhir. |
https://cognito-idp.Region.amazonaws.com/ your
user pool ID /.well- -konfigurasi known/openid |
Direktori arsitektur OIDC dari kumpulan pengguna Anda. 1 | Diminta oleh aplikasi untuk menemukan metadata penerbit kumpulan pengguna. |
https://cognito-idp.Region.amazonaws.com/ /.well- .json your
user pool ID known/jwks |
Kunci publik yang dapat Anda gunakan untuk memvalidasi token Amazon Cognito. 2 | Diminta oleh aplikasi untuk memverifikasi JWT. |
https:///Your user pool
domainoauth2/idpresponse |
Penyedia identitas sosial harus mengarahkan pengguna Anda ke titik akhir ini dengan kode otorisasi. Amazon Cognito menukarkan kode untuk token saat mengautentikasi pengguna federasi Anda. | Dialihkan dari OIDC iDP sign-in sebagai URL callback klien iDP. |
https:///Your user pool
domainsaml2/idpresponse |
URL Assertion Consumer Response (ACS) untuk integrasi dengan penyedia identitas SAMP 2.0. | Dialihkan dari SAMP 2.0 iDP sebagai URL ACS, atau titik originasi untuk login. IdP-initiated 3 |
https:///Your user pool
domainsaml2/logout |
URL Single Logout (SLO) untuk integrasi dengan penyedia identitas SAMP 2.0. | Dialihkan dari SAMP 2.0 iDP sebagai URL logout tunggal (SLO). Hanya menerima pengikatan POST. |
1 openid-configuration Dokumen dapat diperbarui kapan saja dengan informasi tambahan yang membuat titik akhir sesuai dengan spesifikasi OIDC dan OAuth2.
2 File jwks.json JSON dapat diperbarui kapan saja dengan kunci penandatanganan token publik baru.
3 Untuk informasi selengkapnya tentang login IdP-initiated SAMP, lihat. Menerapkan IdP-initiated login SAMP
Untuk informasi selengkapnya tentang standar OpenID Connect dan OAuth, lihat OpenID Connect
Kumpulan pengguna Amazon Cognito sebagai penerbit OIDC
Kumpulan pengguna Amazon Cognito berfungsi sebagai penyedia identitas OpenID Connect (OIDC), berfungsi sebagai penerbit yang dapat digunakan pustaka aplikasi untuk federasi OIDC. Pustaka aplikasi untuk federasi OIDC dapat mereferensikan dua jalur berbeda seperti yang dibahas di bawah ini sebagai titik akhir penemuan otomatis. Endpoint ini menyediakan akses ke JSON Web Key Set (JWKS) /.well-known/jwks.json at dan metadata penemuan OIDC di, di mana aplikasi dapat menemukan titik akhir otorisasi/.well-known/openid-configuration, token, dan UserInfo.
Aplikasi yang mendukung autodiscovery OIDC dapat secara otomatis mengkonfigurasi diri mereka sendiri dengan menanyakan titik akhir yang terkenal ini. Untuk aplikasi yang tidak mendukung autodiscovery, Anda dapat melakukan hardcode aplikasi Anda dengan endpoint OIDC tertentu yang tercantum di bagian sebelumnya.
Jenis penerbit kumpulan pengguna
- Penerbit asli
-
Konfigurasi penerbit default saat ini untuk kumpulan pengguna. URL penerbit di-host di Wilayah kumpulan pengguna dan menyediakan titik akhir OIDC khusus untuk Wilayah tersebut.
Emiten asli mengambil format
https://cognito-idp..us-east-1.amazonaws.com/us-east-1_EXAMPLE - Penerbit yang diperbarui
-
Direkomendasikan untuk semua kumpulan pengguna, termasuk untuk replikasi Multi-wilayah. Emiten yang diperbarui memiliki konten JWKS yang sama di beberapa Wilayah, menghasilkan peningkatan ketahanan dan efisiensi.
Penerbit yang diperbarui mengambil format
https://issuer-cognito-idp., di manaus-east-1.amazonaws.com/us-east-1_EXAMPLERegionyang utama Wilayah AWS dari kumpulan pengguna Anda.