Configurazione dell'autorizzazione Amazon Cognito tra account per un'API REST tramite la console API Gateway - Amazon API Gateway

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'autorizzazione Amazon Cognito tra account per un'API REST tramite la console API Gateway

Ora puoi anche utilizzare un pool di utenti Amazon Cognito di un altro AWS account come autorizzatore API. Il pool di utenti di Amazon Cognito può utilizzare strategie di autenticazione con token di connessione come OAuth o SAML. In questo modo, è più semplice gestire e condividere a livello centralizzato l'autorizzazione di un pool di utenti di Amazon Cognito centrale tra più API di API Gateway.

In questa sezione, viene illustrato come configurare un pool di utenti di Amazon Cognito tra account tramite la console Amazon API Gateway.

Queste istruzioni presuppongono che tu abbia già un'API API Gateway in un AWS account e un pool di utenti Amazon Cognito in un altro account.

Crea un autorizzatore Amazon Cognito per più account per un'API REST

Accedi alla console Gateway Amazon API con l'account contenente la tua API e quindi procedi come descritto di seguito:

  1. Crea una nuova API oppure selezionane una esistente in API Gateway.

  2. Nel riquadro di navigazione principale, scegli Autorizzazioni.

  3. Scegli Create Authorizer (Crea autorizzazioni).

  4. Per configurare la nuova autorizzazione per usare un pool di utenti, esegui queste operazioni:

    1. In Nome del provider di autorizzazioni, immetti un nome.

    2. In Tipo di autorizzazione, seleziona Cognito.

    3. Per Gruppo di utenti di Cognito, copia e incolla l'ARN completo del pool di utenti nel secondo account.

      Nota

      Nella console Amazon Cognito, puoi trovare l'ARN del pool di utenti nel campo Pool ARN (ARN pool) del riquadro General Settings (Impostazioni generali).

    4. In Origine token, immetti Authorization come nome di intestazione da passare al token di identità o di accesso restituito da Amazon Cognito quando un utente accede correttamente.

    5. (Facoltativo) Immetti un'espressione regolare nel campo Convalida del token per convalidare il campo aud (Audience, Destinatari) del token di identità prima che la richiesta venga autorizzata con Amazon Cognito. Si noti che quando si utilizza un token di accesso questa convalida rifiuta la richiesta poiché il token di accesso non contiene il campo aud.

    6. Scegli Create Authorizer (Crea autorizzazioni).