View a markdown version of this page

Penyedia identitas dan titik akhir pihak yang mengandalkan - Amazon Cognito

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penyedia identitas dan titik akhir pihak yang mengandalkan

Titik akhir Federasi adalah titik akhir kumpulan pengguna yang melayani tujuan untuk salah satu standar otentikasi yang digunakan oleh kumpulan pengguna. Mereka termasuk URL SAMP ACS, titik akhir penemuan OIDC, dan titik akhir layanan untuk peran kumpulan pengguna baik sebagai penyedia identitas dan pihak yang mengandalkan. Titik akhir Federasi memulai alur otentikasi, menerima bukti otentikasi dari IdPs, dan mengeluarkan token ke klien. Mereka berinteraksi dengan IdPs, aplikasi, dan administrator, tetapi tidak dengan pengguna.

Topik halaman penuh setelah halaman ini memiliki detail tentang titik akhir penyedia OAuth 2.0 dan OIDC yang tersedia saat Anda menambahkan domain ke kumpulan pengguna Anda. Bagan berikut adalah daftar semua titik akhir federasi.

Contoh domain kumpulan pengguna adalah:

  1. Domain awalan: mydomain.auth.us-east-1.amazoncognito.com

  2. Domain kustom: auth.example.com

Titik akhir federasi kumpulan pengguna
URL Titik Akhir Deskripsi Bagaimana itu diakses
https:///Your user pool domainoauth2/authorize Mengarahkan pengguna ke login terkelola atau masuk dengan IDP mereka. Dipanggil di browser pelanggan untuk memulai otentikasi pengguna. Lihat Otorisasi titik akhir.
https:///Your user pool domainoauth2/token Mengembalikan token berdasarkan kode otorisasi atau permintaan kredensyal klien. Diminta oleh aplikasi untuk mengambil token. Lihat Titik akhir token.
https:///Your user pool domainoauth2/userInfo Mengembalikan atribut pengguna berdasarkan cakupan OAuth 2.0 dan identitas pengguna dalam token akses. Diminta oleh aplikasi untuk mengambil profil pengguna. Lihat Titik akhir UserInfo.
https:///Your user pool domainoauth2/revoke Mencabut token penyegaran dan token akses terkait. Diminta oleh aplikasi untuk mencabut token. Lihat Cabut titik akhir.
https://cognito-idp.Region.amazonaws.com/ your user pool ID /.well- -konfigurasi known/openid Direktori arsitektur OIDC dari kumpulan pengguna Anda. 1 Diminta oleh aplikasi untuk menemukan metadata penerbit kumpulan pengguna.
https://cognito-idp.Region.amazonaws.com/ /.well- .json your user pool ID known/jwks Kunci publik yang dapat Anda gunakan untuk memvalidasi token Amazon Cognito. 2 Diminta oleh aplikasi untuk memverifikasi JWT.
https:///Your user pool domainoauth2/idpresponse Penyedia identitas sosial harus mengarahkan pengguna Anda ke titik akhir ini dengan kode otorisasi. Amazon Cognito menukarkan kode untuk token saat mengautentikasi pengguna federasi Anda. Dialihkan dari OIDC iDP sign-in sebagai URL callback klien iDP.
https:///Your user pool domainsaml2/idpresponse URL Assertion Consumer Response (ACS) untuk integrasi dengan penyedia identitas SAMP 2.0. Dialihkan dari SAMP 2.0 iDP sebagai URL ACS, atau titik originasi untuk login. IdP-initiated 3
https:///Your user pool domainsaml2/logout URL Single Logout (SLO) untuk integrasi dengan penyedia identitas SAMP 2.0. Dialihkan dari SAMP 2.0 iDP sebagai URL logout tunggal (SLO). Hanya menerima pengikatan POST.

1 openid-configuration Dokumen dapat diperbarui kapan saja dengan informasi tambahan yang membuat titik akhir sesuai dengan spesifikasi OIDC dan OAuth2.

2 File jwks.json JSON dapat diperbarui kapan saja dengan kunci penandatanganan token publik baru.

3 Untuk informasi selengkapnya tentang login IdP-initiated SAMP, lihat. Menerapkan IdP-initiated login SAMP

Untuk informasi selengkapnya tentang standar OpenID Connect dan OAuth, lihat OpenID Connect 1.0 dan OAuth 2.0.

Kumpulan pengguna Amazon Cognito sebagai penerbit OIDC

Kumpulan pengguna Amazon Cognito berfungsi sebagai penyedia identitas OpenID Connect (OIDC), berfungsi sebagai penerbit yang dapat digunakan pustaka aplikasi untuk federasi OIDC. Pustaka aplikasi untuk federasi OIDC dapat mereferensikan dua jalur berbeda seperti yang dibahas di bawah ini sebagai titik akhir penemuan otomatis. Endpoint ini menyediakan akses ke JSON Web Key Set (JWKS) /.well-known/jwks.json at dan metadata penemuan OIDC di, di mana aplikasi dapat menemukan titik akhir otorisasi/.well-known/openid-configuration, token, dan UserInfo.

Aplikasi yang mendukung autodiscovery OIDC dapat secara otomatis mengkonfigurasi diri mereka sendiri dengan menanyakan titik akhir yang terkenal ini. Untuk aplikasi yang tidak mendukung autodiscovery, Anda dapat melakukan hardcode aplikasi Anda dengan endpoint OIDC tertentu yang tercantum di bagian sebelumnya.

Jenis penerbit kumpulan pengguna
Penerbit asli

Konfigurasi penerbit default saat ini untuk kumpulan pengguna. URL penerbit di-host di Wilayah kumpulan pengguna dan menyediakan titik akhir OIDC khusus untuk Wilayah tersebut.

Emiten asli mengambil formathttps://cognito-idp.us-east-1.amazonaws.com/us-east-1_EXAMPLE.

Penerbit yang diperbarui

Direkomendasikan untuk semua kumpulan pengguna, termasuk untuk replikasi Multi-wilayah. Emiten yang diperbarui memiliki konten JWKS yang sama di beberapa Wilayah, menghasilkan peningkatan ketahanan dan efisiensi.

Penerbit yang diperbarui mengambil formathttps://issuer-cognito-idp.us-east-1.amazonaws.com/us-east-1_EXAMPLE, di mana Region yang utama Wilayah AWS dari kumpulan pengguna Anda.