Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione di un dominio di bacino d'utenza
La configurazione di un dominio è una parte facoltativa della configurazione di un pool di utenti. Un dominio con pool di utenti ospita funzionalità per l'autenticazione degli utenti, la federazione con provider di terze parti e i flussi OpenID Connect (OIDC). Dispone di accesso gestito, un'interfaccia predefinita per operazioni chiave come la registrazione, l'accesso e il recupero della password. Ospita anche gli endpoint OpenID Connect (OIDC) standard come authorize, UserInfo e token, per l'autorizzazione machine-to-machine (M2M) e altri flussi di autenticazione e autorizzazione OIDC e 2.0. OAuth
Gli utenti si autenticano con pagine di accesso gestite nel dominio associato al pool di utenti. Hai due opzioni per configurare questo dominio: puoi utilizzare il dominio ospitato predefinito di Amazon Cognito oppure puoi configurare un dominio personalizzato di tua proprietà.
L'opzione di dominio personalizzato offre più opzioni di flessibilità, sicurezza e controllo. Ad esempio, un dominio familiare di proprietà dell'organizzazione può incoraggiare la fiducia degli utenti e rendere più intuitiva la procedura di accesso. Tuttavia, l'approccio personalizzato al dominio richiede alcuni costi aggiuntivi, come la gestione del certificato SSL e della configurazione DNS.
Gli endpoint di rilevamento OIDC, /.well-known/openid-configuration per endpoint URLs e /.well-known/jwks.json per le chiavi di firma dei token, non sono ospitati nel tuo dominio. Per ulteriori informazioni, consulta Endpoint del provider di identità e del relying party.
Capire come configurare e gestire il dominio per il pool di utenti è un passo importante per integrare l'autenticazione nell'applicazione. L'accesso con l'API dei pool di utenti e un AWS SDK può essere un'alternativa alla configurazione di un dominio. Il modello basato su API fornisce i token direttamente in una risposta API, ma per le implementazioni che utilizzano le funzionalità estese dei pool di utenti come IdP OIDC, è necessario configurare un dominio. Per ulteriori informazioni sui modelli di autenticazione disponibili nei pool di utenti, vedere. Comprendere l'API, l'OIDC e l'autenticazione delle pagine di accesso gestite
Argomenti
Cose da sapere sui domini dei pool di utenti
I domini dei pool di utenti sono un punto di servizio per le parti che si affidano a OIDC nelle applicazioni e per gli elementi dell'interfaccia utente. Considerate i seguenti dettagli quando pianificate l'implementazione di un dominio per il vostro pool di utenti.
Termini riservati
Non puoi utilizzare il testo aws o cognito il nome di un dominio con prefisso Amazon Cognito. amazon
Gli endpoint Discovery si trovano su un dominio diverso
Gli endpoint .well-known/openid-configuration di rilevamento del pool di utenti .well-known/jwks.json non fanno parte del dominio personalizzato o con prefisso del pool di utenti. Il percorso verso questi endpoint è il seguente.
-
https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/openid-configuration -
https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/jwks.json
Ora effettiva delle modifiche al dominio
Amazon Cognito può impiegare fino a un minuto per avviare o aggiornare la versione di branding di un dominio con prefisso. La propagazione delle modifiche a un dominio personalizzato può richiedere fino a cinque minuti. La propagazione dei nuovi domini personalizzati può richiedere fino a un'ora.
Domini personalizzati e con prefisso contemporaneamente
Puoi configurare un pool di utenti con un dominio personalizzato e un dominio con prefisso di proprietà di. AWS Poiché gli endpoint di rilevamento del pool di utenti sono ospitati in un dominio diverso, servono solo il dominio personalizzato. Ad esempio, openid-configuration fornirai un unico valore per "authorization_endpoint" di"https://auth.example.com/oauth2/authorize".
Quando in un pool di utenti sono presenti sia domini personalizzati che domini con prefisso, puoi utilizzare il dominio personalizzato con tutte le funzionalità di un provider OIDC. Il dominio con prefisso in un pool di utenti con questa configurazione non dispone di dispositivi di rilevamento o token-signing-key endpoint e deve essere utilizzato di conseguenza.
Domini personalizzati preferiti come ID del relying party per la passkey
Quando si configura l'autenticazione del pool di utenti con passkey, è necessario impostare un ID relying party (RP). Se disponi di un dominio personalizzato e di un dominio con prefisso, puoi impostare l'ID RP solo come dominio personalizzato. Per impostare un dominio con prefisso come ID RP nella console Amazon Cognito, elimina il dominio personalizzato o inserisci il nome di dominio completo (FQDN) del dominio con prefisso come dominio di terze parti.
Non utilizzare domini personalizzati a diversi livelli della gerarchia dei domini
Puoi configurare pool di utenti separati per avere domini personalizzati nello stesso dominio di primo livello (TLD), ad esempio auth.example.com e auth2.example.com. Il cookie della sessione di accesso gestito è valido per un dominio personalizzato e per tutti i sottodomini, ad esempio *.auth.example.com. Per questo motivo, nessun utente delle tue applicazioni deve accedere all'accesso gestito per qualsiasi dominio e sottodominio principale. Se i domini personalizzati utilizzano lo stesso TLD, mantienili allo stesso livello di sottodominio.
Supponiamo che tu abbia un pool di utenti con il dominio personalizzato auth.example.com. Quindi crei un altro pool di utenti e assegni il dominio personalizzato uk.auth.example.com. . Un utente accede con auth.example.com. e riceve un cookie che il browser presenta a qualsiasi sito Web nel percorso wildcard *.auth.example.com. Quindi provano ad accedere a uk.auth.example.com. . Passano un cookie non valido al dominio del pool di utenti e ricevono un errore anziché una richiesta di accesso. Al contrario, un utente con un cookie per *.auth.example.com non ha problemi ad avviare una sessione di accesso su auth2.example.com.
Versione di branding
Quando crei un dominio, imposti una versione di branding. Le tue opzioni sono la nuova esperienza di accesso gestito e la classica esperienza di interfaccia utente ospitata. Questa scelta si applica a tutti i client di app che ospitano servizi nel tuo dominio.
