Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Aggiunta di un accesso al bacino d'utenza tramite terze parti
Gli utenti della tua app possono accedere direttamente tramite un pool di utenti oppure possono federarsi tramite un provider di identità (IdP) di terze parti. Il pool di utenti gestisce il sovraccarico di gestione dei token restituiti dall'accesso social tramite Facebook, Google, Amazon e Apple e da OpenID Connect () e. OIDC SAML IdPs Con l'interfaccia utente web ospitata integrata, Amazon Cognito fornisce la gestione e la gestione dei token per tutti gli utenti autenticati. IdPs In questo modo, i sistemi back-end possono standardizzare un set di token del bacino d'utenza.
Funzionamento dell'accesso federato nei pool di utenti di Amazon Cognito
L'accesso tramite terze parti (federazione) è disponibile per i bacini d'utenza Amazon Cognito. Questa funzione è indipendente dalla federazione tramite pool di identità di Amazon Cognito (identità federate).
Amazon Cognito è una directory di utenti e un provider di identità OAuth (IdP) 2.0. Quando gli utenti locali effettuano l'accesso alla directory Amazon Cognito, il pool di utenti è un IdP dell'app. Un utente locale esiste esclusivamente nella directory del pool di utenti senza federazione tramite un IdP esterno.
Quando connetti Amazon Cognito ai social o OpenID Connect (OIDC) SAML IdPs, il tuo pool di utenti funge da ponte tra più fornitori di servizi e la tua app. Per il gestore dell'identità digitale (IdP) in uso, Amazon Cognito è un fornitore di servizi. IdPs Trasmetti un token OIDC ID o un'SAMLasserzione ad Amazon Cognito. Amazon Cognito legge le asserzioni relative all'utente nel token o nell'asserzione e mappa tali asserzioni su un nuovo profilo utente nella directory del pool di utenti.
Amazon Cognito crea quindi un profilo utente per l'utente federato nella propria directory. Amazon Cognito aggiunge attributi all'utente in base alle dichiarazioni del tuo IdP e, nel caso dei provider di identità social, di un endpoint OIDC pubblico gestito dall'IdP. userinfo
Gli attributi dell'utente cambiano nel pool di utenti quando un attributo del gestore dell'identità digitale (IdP) mappato cambia. Puoi anche aggiungere altri attributi indipendentemente da quelli del gestore dell'identità digitale (IdP).
Dopo che Amazon Cognito ha creato un profilo per l' utente federato, cambia la sua funzione e si presenta come gestore dell'identità digitale (IdP) all'app, che ora è il fornitore di servizi. Amazon Cognito è una combinazione di OAuth IdP OIDC e 2.0. Genera token di accesso, token ID e token di aggiornamento. Per ulteriori informazioni sui token, consulta Comprensione dei token JSON web del pool di utenti () JWTs.
Devi progettare un'app che si integri con Amazon Cognito per autenticare e autorizzare gli utenti, che siano federati o nativi.
Responsabilità di un'app come provider di servizi con Amazon Cognito
- Verifica ed elaborazione delle informazioni nei token
-
Nella maggior parte degli scenari, Amazon Cognito reindirizza l'utente autenticato a un'app a URL cui aggiunge un codice di autorizzazione. L'app scambia il codice per l'accesso, l'ID e l'aggiornamento dei token. Deve quindi verificare la validità dei token e inviare informazioni all'utente in base alle asserzioni contenute nei token.
- Rispondi agli eventi di autenticazione con le richieste di Amazon Cognito API
-
La tua app deve integrarsi con i pool di utenti di Amazon Cognito API e gli endpoint di autenticazione API. L'autenticazione consente API all'utente di entrare e uscire e gestisce i token. I pool di utenti API eseguono una serie di operazioni che gestiscono il pool di utenti, gli utenti e la sicurezza dell'ambiente di autenticazione. L'app deve sapere cosa fare dopo aver ricevuto una risposta da Amazon Cognito.
Informazioni importanti sull'accesso di terze parti ai pool di utenti di Amazon Cognito
-
Se i tuoi utenti accedono con provider federati, devi scegliere un dominio. Questo configura l'interfaccia utente ospitata da Amazon Cognito e l'interfaccia utente e gli endpoint ospitati. OIDC Per ulteriori informazioni, consulta Utilizzo del proprio dominio per l'interfaccia utente ospitata.
-
Non puoi accedere a utenti federati con API operazioni come e. InitiateAuthAdminInitiateAuth Gli utenti federati possono accedere solo con l'Endpoint Login o l'Endpoint Authorize.
-
Endpoint Authorize è un endpoint di reindirizzamento. Se fornisci un parametro
idp_identifier
oidentity_provider
nella tua richiesta, viene reindirizzato automaticamente al tuo IdP, ignorando l'interfaccia utente ospitata. In caso contrario, viene reindirizzato all'interfaccia utente ospitata Endpoint Login. -
Quando l'interfaccia utente ospitata reindirizza una sessione a un provider di identità federato, Amazon Cognito include l'intestazione
user-agent
Amazon/Cognito
nella richiesta. -
Amazon Cognito deriva l'attributo
username
per un profilo utente federato da una combinazione di un identificatore fisso e il nome del gestore dell'identità digitale (IdP). Per generare un nome utente che soddisfi i requisiti personalizzati, crea una mappatura per l'attributopreferred_username
. Per ulteriori informazioni, consulta Cose da sapere sulle mappature.Esempio:
MyIDP_bob@example.com
-
Amazon Cognito registra le informazioni sull'identità dell'utente federato in un attributo e un'asserzione nel token ID, chiamato
identities
. Questa asserzione contiene il gestore dell'utente e il relativo ID univoco del gestore. Non è possibile modificare l'attributoidentities
direttamente in un profilo utente. Per ulteriori informazioni su come collegare un utente federato, consulta Collegamento di utenti federati a un profilo utente esistente. -
Quando aggiorni il tuo IdP in un UpdateIdentityProviderAPIsu richiesta, le modifiche possono richiedere fino a un minuto prima che vengano visualizzate nell'interfaccia utente ospitata.
-
Amazon Cognito supporta fino a 20 HTTP reindirizzamenti tra sé e il tuo IdP.
-
Quando l'utente effettua l'accesso con l'interfaccia utente ospitata, il relativo browser memorizza un cookie di sessione di accesso crittografato che registra il client e il provider con cui è stato effettuato l'accesso. Se tenta di accedere nuovamente con gli stessi parametri, l'interfaccia utente ospitata riutilizza l'eventuale sessione esistente non scaduta e l'utente si autentica senza fornire nuovamente le credenziali. Se l'utente accede nuovamente con un IdP diverso, incluso un passaggio da o verso un accesso al pool di utenti locale, deve fornire le credenziali e generare una nuova sessione di accesso.
Puoi assegnare qualsiasi gruppo di utenti IdPs a qualsiasi client dell'app e gli utenti possono accedere solo con un IdP che hai assegnato al loro client di app.
Argomenti
- Configurazione dei provider di identità per il bacino d'utenza
- Utilizzo di provider di identità social con un pool di utenti
- Utilizzo di provider di SAML identità con un pool di utenti
- Utilizzo di provider di OIDC identità con un pool di utenti
- Mappatura degli attributi IdP su profili e token
- Collegamento di utenti federati a un profilo utente esistente