AWS Layanan Modernisasi Mainframe (Managed Runtime Environment experience) tidak lagi terbuka untuk pelanggan baru. Untuk kemampuan yang mirip dengan Layanan Modernisasi AWS Mainframe (pengalaman Lingkungan Runtime Terkelola), jelajahi Layanan Modernisasi AWS Mainframe (Pengalaman yang Dikelola Sendiri). Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat Perubahan [AWS ketersediaan Modernisasi Mainframe](https://docs.aws.amazon.com/m2/latest/userguide/mainframe-modernization-availability-change.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konfigurasikan OAuth2 otentikasi Gapwalk dengan Amazon Cognito
Topik ini menjelaskan cara mengonfigurasi OAuth2 otentikasi untuk aplikasi Gapwalk menggunakan Amazon Cognito sebagai penyedia identitas (iDP).
## Prasyarat
Dalam tutorial ini kita akan menggunakan Amazon Cognito sebagai IDP dan PlanetDemo sebagai proyek modern.
Anda dapat menggunakan penyedia identitas eksternal lainnya. ClientRegistration Informasi harus diperoleh dari IDP Anda dan diperlukan untuk otentikasi Gapwalk. Untuk informasi selengkapnya, lihat [Panduan Developer Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/) .
** ClientRegistration Informasi:**
id klien
ID dari ClientRegistration. Dalam contoh kita itu akan terjadi PlanetsDemo.
rahasia klien
Rahasia klien Anda.
titik akhir otorisasi
URI titik akhir otorisasi untuk server otorisasi.
titik akhir token
URI titik akhir token untuk server otorisasi.
titik akhir jwks
URI digunakan untuk mendapatkan JSON Web Key (JWK) yang berisi kunci untuk memvalidasi tanda tangan web JSON yang dikeluarkan oleh server otorisasi.
pengalihan URI
URI tempat server otorisasi mengalihkan pengguna akhir jika akses diberikan.
## Pengaturan Amazon Cognito
Pertama kita akan membuat dan mengonfigurasi kumpulan pengguna dan pengguna Amazon Cognito yang akan kita gunakan dengan aplikasi Gapwalk yang digunakan untuk tujuan pengujian.
**catatan**
Jika Anda menggunakan IDP lain, Anda dapat melewati langkah ini.
**Buat kumpulan pengguna**
1. Buka Amazon Cognito di Konsol Manajemen AWS dan autentikasi menggunakan kredensil Anda. AWS
1. Pilih **Kolam Pengguna**.
1. Pilih **Buat kolam pengguna**.
1. Di **Konfigurasikan pengalaman masuk**, pertahankan jenis penyedia default kumpulan **pengguna Cognito**. **Anda dapat memilih satu atau beberapa **opsi masuk kumpulan pengguna Cognito**; untuk saat ini, pilih **Nama pengguna**, lalu pilih Berikutnya.**
1. **Di **Konfigurasikan persyaratan keamanan**, pertahankan default dan nonaktifkan **otentikasi multi-faktor dengan** memilih Tidak ada **MFA**, lalu pilih Berikutnya.**
1. Sebagai langkah keamanan, nonaktifkan **Aktifkan pendaftaran mandiri**, lalu pilih **Berikutnya**.
1. **Pilih **Kirim email dengan Cognito**, lalu pilih Berikutnya.**
1. Di **Integrasikan aplikasi Anda**, tentukan nama untuk kumpulan pengguna Anda. Di **halaman otentikasi yang di-host**, pilih **Gunakan UI yang Dihosting Cognito**.
1. Untuk mempermudah, di **Domain**, pilih **Gunakan domain Cognito** dan masukkan awalan domain; misalnya,. `https://planetsdemo` Aplikasi demo harus ditambahkan sebagai klien.
1. Di **klien aplikasi awal**, pilih **Klien rahasia**. Masukkan nama klien aplikasi, seperti**planetsdemo**, lalu pilih **Hasilkan rahasia klien**.
1. Di URL **callback yang diizinkan, masukkan URL** untuk mengarahkan pengguna setelah otentikasi. URL harus diakhiri dengan `/login/oauth2/code/cognito` Misalnya, untuk aplikasi kami dan aplikasi backend Gapwalk dan BAC:
```
http://localhost:8080/bac
http://localhost:8080/bac/login/oauth2/code/cognito
http://localhost:8080/gapwalk-application
http://localhost:8080/gapwalk-application/login/oauth2/code/cognito
http://localhost:8080/planetsdemo
http://localhost:8080/planetsdemo/login/oauth2/code/cognito
```
Anda dapat mengedit URL nanti.
1. Di **Login yang diizinkan**, URLs masukkan URL halaman keluar yang Anda inginkan untuk dialihkan oleh Amazon Cognito saat aplikasi Anda mengeluarkan pengguna. Misalnya, untuk aplikasi backend Gapwalk dan BAC:
```
http://localhost:8080/bac/logout
http://localhost:8080/gapwalk-application/logout
http://localhost:8080/planetsdemo/logout
```
Anda dapat mengedit URL nanti.
1. Simpan nilai default di **pengaturan klien aplikasi lanjutan** dan bagian **izin baca dan tulis Atribut**.
1. Pilih **Berikutnya**.
1. Di **Tinjau dan buat**, verifikasi pilihan Anda, lalu pilih **Buat kumpulan pengguna**.
Untuk informasi selengkapnya, lihat [Membuat kumpulan pengguna](https://docs.aws.amazon.com/cognito/latest/developerguide/tutorial-create-user-pool.html).
**Pembuatan pengguna**
Karena pendaftaran mandiri dinonaktifkan, buat pengguna Amazon Cognito. Arahkan ke Amazon Cognito di. Konsol Manajemen AWS Pilih kumpulan pengguna yang Anda buat, lalu di **Pengguna** pilih **Buat pengguna**.
Di **Informasi pengguna**, pilih **Kirim undangan email**, masukkan nama pengguna dan alamat email, lalu pilih **Buat kata sandi**. Pilih **Create user** (Buat pengguna).
**Pembuatan peran**
Di tab **Grup**, buat 3 grup (SUPER\_ADMIN, ADMIN, dan USER), dan kaitkan pengguna Anda ke satu atau beberapa grup ini. Peran ini kemudian dipetakan ke ROLE\_SUPER\_ADMIN, ROLE\_ADMIN dan ROLE\_USER oleh aplikasi Gapwalk untuk memungkinkan untuk mengakses beberapa panggilan API REST terbatas.
Aplikasi ini mengimplementasikan scope-to-role pemetaan hierarkis yang bekerja dengan beberapa OAuth2 penyedia identitas. Ketika token JWT yang dikeluarkan oleh Cognito digunakan untuk otorisasi server sumber daya, cakupan yang ditentukan dalam token secara otomatis dipetakan ke peran yang sesuai.
## Integrasikan Amazon Cognito ke dalam aplikasi Gapwalk
Sekarang setelah kumpulan pengguna dan pengguna Amazon Cognito Anda siap, buka `application-main.yml` file aplikasi modern Anda dan tambahkan kode berikut:
```
gapwalk-application.security: enabled
gapwalk-application.security.identity: oauth
gapwalk-application.security.issuerUri: https://cognito-idp..amazonaws.com/
gapwalk-application.security.domainName:
spring:
security:
oauth2:
client:
registration:
cognito:
client-id:
client-name:
client-secret:
provider: cognito
authorization-grant-type: authorization_code
scope: openid
redirect-uri: ""
provider:
cognito:
issuer-uri: ${gapwalk-application.security.issuerUri}
authorization-uri: ${gapwalk-application.security.domainName}/oauth2/authorize
jwk-set-uri: ${gapwalk-application.security.issuerUri}/.well-known/jwks.json
token-uri: ${gapwalk-application.security.domainName}/oauth2/token
user-name-attribute: username
resourceserver:
jwt:
jwk-set-uri: ${gapwalk-application.security.issuerUri}/.well-known/jwks.json
```
Ganti placeholder berikut seperti yang dijelaskan:
1. Buka Amazon Cognito di Konsol Manajemen AWS dan autentikasi menggunakan kredensil Anda. AWS
1. Pilih **Kumpulan Pengguna** dan pilih kumpulan pengguna yang Anda buat. Anda dapat menemukan **ID kumpulan pengguna** Anda{{pool-id}}.
1. Pilih **Integrasi aplikasi** di mana Anda dapat menemukan{{your-cognito-domain}}, lalu buka **Klien aplikasi dan analitik** dan pilih aplikasi Anda.
1. Di **App client: YourApp** Anda dapat menemukan{{client-name}},{{client-id}}, dan {{client-secret}} (**Tampilkan rahasia klien**).
1. {{region-id}}sesuai dengan ID AWS Wilayah tempat Anda membuat pengguna dan kumpulan pengguna Amazon Cognito. Contoh:`eu-west-3`.
1. Untuk {{redirect-uri}} memasukkan URI yang Anda tentukan untuk **URL callback Diizinkan**. Dalam contoh kita itu`http://localhost:8080/planetsdemo/login/oauth2/code/cognito`.
Anda sekarang dapat menerapkan aplikasi Gapwalk Anda dan menggunakan pengguna yang dibuat sebelumnya untuk masuk ke aplikasi Anda.