Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Guida introduttiva ai pool di identità di Amazon Cognito
I bacini d'utenza di Amazon Cognito consentono di creare identità univoche e assegnare le autorizzazioni agli utenti. Il tuo pool di identità può importare identità dai seguenti tipi di servizi di autenticazione:
-
Utenti in un bacino d'utenza di Amazon Cognito
-
Utenti che si autenticano con provider di identità esterni come Facebook, Google, Apple o un provider di SAML identità OIDC OR.
-
Utenti autenticati tramite il tuo processo di autenticazione esistente
Dopo che gli utenti si sono autenticati con il proprio provider e hanno presentato l'autorizzazione a un pool di identità, ottengono credenziali temporanee AWS . Le credenziali degli utenti dispongono di autorizzazioni definite dall'utente per l'accesso ad altri utenti. Servizi AWS
Argomenti
Creazione di un pool di identità in Amazon Cognito
Puoi creare un pool di identità tramite la console Amazon Cognito oppure puoi utilizzare AWS Command Line Interface (CLI) o Amazon Cognito. APIs La procedura seguente è una guida generale per creare un nuovo pool di identità nella console. Puoi anche passare direttamente alla console e seguire l'
Per creare un nuovo pool di identità nella console
-
Accedi alla console di Amazon Cognito
e seleziona Pool di identità. -
Scegli Crea pool di identità.
-
In Configurazione dell'attendibilità del pool di identità, scegli di configurare il pool di identità per Accesso autenticato, Accesso guest o entrambi.
-
Se hai scelto Accesso autenticato, seleziona uno o più Tipi di identità che desideri impostare come origine delle identità autenticate nel pool di identità. Se configuri un Provider degli sviluppatori personalizzato, non puoi modificarlo né eliminarlo dopo aver creato il pool di identità.
-
-
In Configura le autorizzazioni, scegli un IAM ruolo predefinito per gli utenti autenticati o ospiti nel tuo pool di identità.
-
Scegli di creare un nuovo IAM ruolo se desideri che Amazon Cognito crei un nuovo ruolo per te con autorizzazioni di base e una relazione di fiducia con il tuo pool di identità. Inserisci il nome di un IAM ruolo per identificare, ad esempio, il tuo nuovo ruolo.
myidentitypool_authenticatedrole
Seleziona Visualizza documento di policy per esaminare le autorizzazioni che Amazon Cognito assegnerà al tuo nuovo ruolo. IAM -
Puoi scegliere di utilizzare un IAM ruolo esistente se hai già un ruolo Account AWS che desideri utilizzare. È necessario configurare la politica di fiducia dei IAM ruoli per includerla
cognito-identity.amazonaws.com
. Configura la policy di attendibilità del ruolo per consentire ad Amazon Cognito di assumere il ruolo solo quando rende evidente che la richiesta ha avuto origine da un utente autenticato nel pool di identità specifico. Per ulteriori informazioni, consulta Attendibilità del ruolo e autorizzazioni.
-
-
In Connect identity providers, inserisci i dettagli dei provider di identità (IdPs) che hai scelto in Configure identity pool trust. È possibile che ti venga chiesto di fornire informazioni sul client OAuth dell'app, scegliere un pool di utenti Amazon Cognito, scegliere un IdP IAM o inserire un identificatore personalizzato per un provider di sviluppo.
-
Scegli le impostazioni del ruolo per ogni IdP. Puoi assegnare agli utenti di tale IdP il ruolo predefinito impostato quando hai configurato il ruolo autenticato oppure puoi selezionare l'opzione Scegli ruolo con regole. Con un IdP del pool di utenti Amazon Cognito, puoi anche scegliere un ruolo con attestazione preferred_role nei token. Per ulteriori informazioni sulla richiesta
cognito:preferred_role
, consultare Assegnazione dei valori di priorità ai gruppi.-
Se scegli l'opzione Scegli ruolo con regole, inserisci la Richiesta dall'autenticazione dell'utente, l'Operatore con cui desideri confrontare la richiesta, il Valore che determina una corrispondenza a questa scelta di ruolo e il Ruolo che desideri assegnare quando l'Assegnazione del ruolo corrisponde. Seleziona Aggiungi un altro per creare una regola aggiuntiva basata su una condizione diversa.
-
Scegli una Risoluzione del ruolo. Quando le richieste dell'utente non corrispondono alle regole, puoi negare le credenziali o emettere credenziali per il Ruolo autenticato.
-
-
Configura Attributi per il controllo degli accessi per ciascun IdP. L'opzione Attributi per il controllo degli accessi associa le richieste dell'utente ai tag principali applicati da Amazon Cognito alla relativa sessione temporanea. Puoi creare IAM politiche per filtrare l'accesso degli utenti in base ai tag che applichi alla loro sessione.
-
Per non applicare alcun tag principale, scegli Inattivo.
-
Per applicare i tag principali in base alle richieste
sub
eaud
, scegli Utilizza mappature predefinite. -
Per creare un tuo schema personalizzato di attributi dei tag principali, scegli Utilizza mappature personalizzate. Quindi, inserisci una Chiave tag che deve essere originata da ciascuna Richiesta che desideri rappresentare in un tag.
-
-
-
In Configura proprietà, inserisci un Nome in Nome del pool di identità.
-
In Autenticazione di base (classica), scegli Attiva flusso di base, se desiderato. Con il flusso di base attivo, puoi ignorare le selezioni di ruolo che hai effettuato per te IdPs e chiamare AssumeRoleWithWebIdentitydirettamente. Per ulteriori informazioni, consulta Flusso di autenticazione dei pool di identità.
-
In Tag, scegli Aggiungi tag se desideri applicare tag al pool di identità.
-
In Esamina e crea, conferma le selezioni effettuate per il nuovo pool di identità. Seleziona Modifica per tornare alla procedura guidata e modificare le eventuali impostazioni. Al termine, seleziona Crea un pool di identità.
Configura un SDK
Per utilizzare i pool di identità di Amazon Cognito, configura AWS Amplify AWS SDK for Java, o il. AWS SDK for .NET Per ulteriori informazioni, consulta i seguenti argomenti.
-
Configurazione del modulo JavaScript nella Guida SDK per gli AWS SDK for JavaScript sviluppatori
-
Documentazione di Amplify
in Amplify Dev Center -
Provider di credenziali Amazon Cognito nella Guida per gli sviluppatori di AWS SDK for .NET
Integrazione dei provider di identità
I pool di identità di Amazon Cognito (identità federate) supportano l'autenticazione degli utenti tramite pool di utenti di Amazon Cognito, provider di identità federati, tra cui Amazon, Facebook, Google, Apple e provider di identità, e identità non autenticate. SAML Questa funzione supporta anche Identità autenticate dagli sviluppatori, che ti consente di registrare e di autenticare gli utenti tramite il tuo processo di autenticazione di back-end.
Per ulteriori informazioni sull'utilizzo di un bacino d'utenza di Amazon Cognito per la creazione della tua directory utente, consulta Bacini d'utenza di Amazon Cognito e Accesso Servizi AWS tramite un pool di identità dopo l'accesso.
Per ulteriori informazioni su come utilizzare provider di identità esterni, consulta Pool di identità, provider di identità di terze parti.
Per ulteriori informazioni su come integrare il tuo processo di autenticazione di back-end, consulta Identità autenticate dagli sviluppatori.
Ottenere le credenziali
I pool di identità di Amazon Cognito forniscono AWS credenziali temporanee per gli utenti ospiti (non autenticati) e per gli utenti che si sono autenticati e hanno ricevuto un token. Con queste AWS credenziali, la tua app può accedere in modo sicuro a un backend interno AWS o esterno tramite AWS Amazon Gateway. API Per informazioni, consulta Ottenere le credenziali.