Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di provider di identità social con un pool di utenti
Gli utenti di app Web e per dispositivi mobili possono accedere tramite provider di identità social (IdP) come Facebook, Google, Amazon e Apple. Con l'interfaccia utente Web ospitata integrata, Amazon Cognito fornisce la gestione dei token per gli utenti autenticati. In questo modo, i sistemi back-end possono standardizzare un set di token del bacino d'utenza. È necessario abilitare l'interfaccia utente ospitata per l'integrazione con i provider di identità social supportati. Quando Amazon Cognito crea la tua interfaccia utente ospitata, crea endpoint OAuth 2.0 che Amazon Cognito e i tuoi OIDC social utilizzano per lo scambio di informazioni. IdPs Per ulteriori informazioni, consulta il riferimento per l'autenticazione API dei pool di utenti di Amazon Cognito.
Puoi aggiungere un IdP social in AWS Management Console, oppure puoi usare Amazon AWS CLI Cognito. API
Nota
L'accesso tramite terze parti (federazione) è disponibile per i bacini d'utenza Amazon Cognito. Questa funzione è indipendente dalla federazione tramite pool di identità di Amazon Cognito (identità federate).
Argomenti
Prerequisiti
Prima di iniziare, è necessario:
-
Un bacino d'utenza con un client di applicazioni e dominio per il bacino d'utenza. Per ulteriori informazioni, consulta Creazione di un bacino d'utenza.
-
Un provider di identità social.
Fase 1: registrazione con un IdP social
Prima di creare un IdP social con Amazon Cognito, è necessario registrare l'applicazione con l'IdP social in modo da ricevere un ID client e un segreto client.
-
Creazione di un account sviluppatore con Facebook
. -
Accedi
con le tue credenziali di Facebook. -
Nel menu My Apps (Le mie app), scegli Create New App (Crea nuova app).
-
Inserisci un nome per l'app Facebook, quindi scegli Create App ID (Crea ID dell'app).
-
Nella barra di navigazione a sinistra, scegli Settings (Impostazioni) e successivamente Basic (Di base).
-
Prendi nota di ID app e Segreto app. Li utilizzerai nella sezione successiva.
-
Nella parte inferiore della pagina, scegli +Add Platform (+Aggiungi piattaforma).
-
Scegli Website (Sito Web).
-
In Sito Web, inserisci il percorso della pagina di accesso della tua app in Site. URL
https://
mydomain.us-east-1.amazoncognito.com
/login?response_type=code&client_id=1example23456789
&redirect_uri=https://www.example.com
-
Scegli Save changes (Salva modifiche).
-
Inserisci il percorso della directory principale del dominio del bacino d'utenza in App Domains (Domini app).
https://
mydomain.us-east-1.amazoncognito.com
-
Scegli Save changes (Salva modifiche).
-
Nella barra di navigazione, scegli Add Products (Aggiungi prodotti) e successivamente Set up (Imposta) per il prodotto Facebook Login (Accedi con Facebook).
-
Nella barra di navigazione, scegli Facebook Login (Accedi con Facebook) e successivamente Settings (Impostazioni).
Inserisci il percorso dell'
/oauth2/idpresponse
endpoint per il dominio del pool di utenti in Valid OAuth Redirect. URIshttps://
mydomain.us-east-1.amazoncognito.com
/oauth2/idpresponse -
Scegli Save changes (Salva modifiche).
-
Creazione di un account sviluppatore con Amazon
. -
Accedi
con le tue credenziali di Amazon. -
È necessario creare un profilo di sicurezza Amazon per ricevere l'ID client di Amazon e il segreto client.
Nella barra di navigazione disponibile nella parte superiore della pagina, scegli Apps and Services (App e servizi) e successivamente Login with Amazon (Accedi con Amazon).
-
Scegli Create a Security Profile (Crea un profilo di sicurezza).
-
Inserisci un nome del profilo di sicurezza, una descrizione del profilo di sicurezza e un'informativa sulla privacy di consenso. URL
-
Scegli Save (Salva).
-
Scegli Client ID (ID client) e Client Secret (Segreto client) per mostrare i dati relativi. Li utilizzerai nella sezione successiva.
-
Passa il mouse sull'icona a forma di ingranaggio e scegli Web Settings (Impostazioni Web), quindi Scegli Edit (Modifica).
-
Inserisci il dominio del bacino d'utenza nel campo Allowed Origins (origini consentite).
https://
mydomain.us-east-1.amazoncognito.com
-
Inserisci il dominio del pool di utenti con l'
/oauth2/idpresponse
endpoint in Allowed Return URLs.https://
mydomain.us-east-1.amazoncognito.com
/oauth2/idpresponse -
Scegli Save Salva.
Per ulteriori informazioni sulla OAuth versione 2.0 nella piattaforma Google Cloud, consulta Informazioni sull'autenticazione e l'autorizzazione
-
Creazione di un account sviluppatore con Google
. -
Accedi alla console Piattaforma Google Cloud
. -
Nella barra di navigazione in alto, scegli Select a project (Seleziona un progetto). Se hai già un progetto nella piattaforma Google, nel menu viene visualizzato il tuo progetto predefinito.
-
Seleziona NEWPROJECT.
-
Inserisci un nome per il prodotto e poi scegli CREATE.
-
Nella barra di navigazione a sinistra, scegli APIsServizi, quindi schermata di consenso Oauth.
-
Inserisci le informazioni sull'app, un App domain (Dominio dell'app), gli Authorized domains (Domini autorizzati) e le Developer contact information (Informazioni di contatto dello sviluppatore). Gli Authorized domains (Domini autorizzati) devono includere
amazoncognito.com
e la radice del dominio personalizzato, ad esempioexample.com
. Scegli. SAVEANDCONTINUE -
1. In Ambiti, scegli Aggiungi o rimuovi ambiti e scegli almeno i seguenti OAuth ambiti.
-
.../auth/userinfo.email
-
.../auth/userinfo.profile
-
openid
-
-
In Test users (Utenti di test), scegli Add users (Aggiungi utenti). Inserisci il tuo indirizzo e-mail e tutti gli altri utenti di test autorizzati, quindi scegli. SAVEANDCONTINUE
-
Espandi nuovamente la barra di navigazione a sinistra APIse scegli Servizi, quindi Credenziali.
-
Scegli CREATECREDENTIALS, quindi ID OAuth cliente.
-
Scegli un Application type (Tipo di applicazione) e assegna un Name (Nome) al client.
-
In JavaScript Origini autorizzate, scegli ADDURI. Immetti il dominio del pool di utenti.
https://
mydomain.us-east-1.amazoncognito.com
-
In Reindirizzamento autorizzato URIs, scegli ADDURI. Inserisci il percorso dell'endpoint
/oauth2/idpresponse
del dominio del pool di utenti.https://
mydomain.us-east-1.amazoncognito.com
/oauth2/idpresponse -
Scegli CREATE.
-
Memorizza in modo sicuro i valori visualizzati da Google in Your client ID (Il tuo ID client) e Your client secret (Il tuo segreto del client). Fornisci questi valori ad Amazon Cognito quando aggiungi un gestore dell'identità digitale (IdP) Google.
Per maggiori up-to-date informazioni sulla configurazione di Sign in with Apple, consulta Configurazione dell'ambiente per l'accesso con Apple
-
Creazione di un account sviluppatore con Apple
. -
Accedi
con le tue credenziali Apple. -
Sulla barra di navigazione a sinistra, scegli Certificates, Identifiers & Profiles (Certificati, identificatori e profili).
-
Nel riquadro di navigazione a sinistra, scegli Identifiers (Identificatori).
-
Nella pagina Identifiers (Identificatori), scegli l'icona +.
-
Nella pagina Registra un nuovo identificatore, scegli App IDs, quindi scegli Continua.
-
Nella pagina Select a type (Seleziona un tipo), scegli App, quindi Continue (Continua).
-
Nella pagina Register an App ID (Registra un'ID app), procedi come indicato di seguito:
-
In Description (Descrizione), inserisci una descrizione.
-
In App ID Prefix (Prefisso ID app), inserisci un Bundle ID ID bundle. Prendi nota del valore alla voce Prefisso ID app. Ne avrai bisogno per configurare Apple come provider di identità in Fase 2: aggiunta di un IdP social al bacino d'utenza.
-
In Funzionalità, scegli Accedi con Apple, quindi scegli Modifica.
-
Nella pagina Accedi con Apple: configurazione dell'ID app, scegli di configurare l'app come principale o raggruppata con altre appIDs, quindi scegli Salva.
-
Scegli Continua.
-
-
Nella pagina Confirm your App ID (Conferma l'ID app), scegli Register (Registra).
-
Nella pagina Identifiers (Identificatori), scegli l'icona +.
-
Nella pagina Registra un nuovo identificatore, scegli Servizi IDs, quindi scegli Continua.
-
Nella pagina Register a Services ID (Registra un ID servizi), procedi nel modo seguente:
-
In Description (Descrizione), digitare una descrizione.
-
In Identifier (Identificatore), digitare un identificatore. Prendi nota dell'ID servizi poiché ne avrai bisogno per configurare Apple come provider di identità in Fase 2: aggiunta di un IdP social al bacino d'utenza.
-
Scegli Continue (Continua), quindi scegli Register (Registra).
-
-
Scegli l'ID servizi appena creato dalla pagina Identificatori.
-
Scegli Sign In with Apple (Accedi con Apple), quindi scegli Configure (Configura).
-
Nella pagina Web Authentication Configuration (Configurazione autenticazione Web), seleziona l'ID dell'app creato in precedenza come Primary App ID (ID app principale).
-
Scegli l'icona + accanto a Sito Web URLs.
-
In Domains and subdomains (Domini e sottodomini), inserisci il dominio del pool di utenti senza prefisso
https://
.mydomain.us-east-1.amazoncognito.com
-
In Return URLs, inserisci il percorso dell'
/oauth2/idpresponse
endpoint del dominio del tuo pool di utenti.https://
mydomain.us-east-1.amazoncognito.com
/oauth2/idpresponse -
Scegli Next (Successivo), quindi Done (Fatto). Non è necessario verificare il dominio.
-
Scegli Continua, quindi Salva.
-
-
Nel riquadro di navigazione a sinistra, scegli Keys (Chiavi).
-
Nella pagina Keys (Chiavi), scegli l'icona +.
-
Nella pagina Register a New Key, (Registra una nuova chiave) procedi nel modo seguente:
-
Alla voce Key Name (nome chiave), digita un nome della chiave.
-
Scegli Accedi con Apple, quindi scegli Configura.
-
Nella pagina Configure Key (Configura chiave) seleziona l'ID dell'app creato in precedenza come Primary App ID (ID app principale). Seleziona Salva.
-
Scegli Continua, quindi scegli Registra.
-
-
Nella pagina Download Your Key (download della chiave), scegli Download per scaricare la chiave privata, quindi prendi nota dell' ID chiave visualizzato, poi scegli Done (Fine). Avrai bisogno di questa chiave privata e del valore di Key ID (ID chiave) visualizzato in questa pagina dopo aver scelto Apple come provider di identità in Fase 2: aggiunta di un IdP social al bacino d'utenza.
Fase 2: aggiunta di un IdP social al bacino d'utenza
Per configurare un pool di utenti (social IdP) con AWS Management Console
-
Passa alla console Amazon Cognito
. Se richiesto, inserisci le tue AWS credenziali. -
Scegli User Pools (Pool di utenti).
-
Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.
-
Scegli la scheda Sign-in experience (Esperienza di accesso). Individua la voce Federated sign-in (Accesso federato), quindi seleziona Add an identity provider (Aggiungi un provider di identità).
-
Scegli un provider di identità social: Facebook, Google, Login with Amazon o Accedi con Apple.
-
Scegli uno dei seguenti passaggi, in base al provider di identità social che hai selezionato:
-
Google e Login with Amazon: inserisci l'ID del client dell'app e il segreto client dell'app generato nella sezione precedente.
-
Facebook: inserisci l'ID client dell'app e il segreto del client dell'app generati nella sezione precedente, quindi scegli una API versione (ad esempio, la versione 2.12). Ti consigliamo di scegliere la versione più recente possibile, poiché ogni Facebook API ha un ciclo di vita e una data di interruzione. Gli ambiti e gli attributi di Facebook possono variare tra le versioni. API Ti consigliamo di testare l'accesso alla tua identità social con Facebook per assicurarti che la federazione funzioni come previsto.
-
Accedi con Apple: inserisci l'ID servizio, l'ID team, l'ID chiave e la chiave privata generati nella sezione precedente.
-
-
Inserisci i nomi degli ambiti autorizzati che intendi utilizzare. Gli ambiti definiscono a quali attributi utente (ad esempio
name
eemail
) intendi accedere con l'app. Per Facebook, devono essere separati da virgole. Per Google e Login with Amazon, devono essere separati da spazi. Per Sign in with Apple, seleziona le caselle di controllo per gli ambiti cui desideri accedere.Provider di identità social Ambiti di esempio Facebook public_profile, email
Google profile email openid
Login with Amazon profile postal_code
Accedi con Apple email name
All'utente dell'app viene richiesto il consenso a fornire questi attributi all'app. Per ulteriori informazioni sugli ambiti dei provider di social, consulta la documentazione di Google, Facebook, Login with Amazon e Accedi con Apple.
Nel caso di Accedi con Apple, di seguito sono riportati scenari utente in cui gli ambiti potrebbero non essere restituiti:
-
Un utente finale rileva degli errori dopo aver chiuso la pagina di accesso di Apple (può derivare da errori interni di Amazon Cognito o da un errore di scrittura dello sviluppatore)
-
L'identificatore dell'ID servizio viene utilizzato tra bacini d'utenza e/o altri servizi di autenticazione
-
Uno sviluppatore aggiunge ambiti dopo che l'utente finale ha effettuato l'accesso in precedenza (non viene recuperata nessuna nuova informazione)
-
Uno sviluppatore elimina l'utente e quindi l'utente effettua nuovamente l'accesso rimuovendo l'app dal profilo dell'ID Apple
-
-
Mappa gli attributi dal provider di identità al bacino d'utenza. Per ulteriori informazioni, vedi Specificazione di mappature degli attributi del provider di identità per il pool di utenti.
-
Scegli Create (Crea).
-
Dalla scheda App client integration (integrazione client dell'app), scegli uno dei client dell'app nella lista e modifica le impostazioni dell'interfaccia utente ospitata. Aggiungi il nuovo provider di identità social al client di app in Identity providers (Provider di identità).
-
Scegli Save changes (Salva modifiche).
Fase 3: test della configurazione dell'IdP social
È possibile creare un accesso URL utilizzando gli elementi delle due sezioni precedenti. Utilizzalo per testare la tua configurazione IdP social.
https://
mydomain.us-east-1.amazoncognito.com
/login?response_type=code&client_id=1example23456789
&redirect_uri=https://www.example.com
Per individuare il dominio, vai alla pagina della console Domain name (Nome dominio) del bacino d'utenza. Il valore di client_id è disponibile nella pagina App client settings Impostazioni client di applicazioni. Utilizzate il callback URL per il parametro redirect_uri. Questa è la URL pagina in cui l'utente verrà reindirizzato dopo un'autenticazione riuscita.
Nota
Amazon Cognito annulla le richieste di autenticazione che non vengono completate entro 5 minuti e reindirizza l'utente all'interfaccia utente ospitata. Viene visualizzato il messaggio di errore Something went wrong
nella pagina.