Guida introduttiva ai pool di identità di Amazon Cognito - Amazon Cognito
Creazione di un pool di identità in Amazon CognitoConfigurazione di un SDKIntegrazione dei provider di identitàOttenere le credenziali

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Guida introduttiva ai pool di identità di Amazon Cognito

I bacini d'utenza di Amazon Cognito consentono di creare identità univoche e assegnare le autorizzazioni agli utenti. Il tuo pool di identità può includere:

  • Utenti in un bacino d'utenza di Amazon Cognito

  • Utenti che eseguono l'autenticazione con un provider di identità esterno come Facebook, Google, Apple o un provider di identità OIDC o SAML.

  • Utenti autenticati tramite il tuo processo di autenticazione esistente

Con un pool di identità, puoi ottenere AWS credenziali temporanee con autorizzazioni da te definite per accedere direttamente ad altre risorse Servizi AWS o per accedere tramite Amazon API Gateway.

Creazione di un pool di identità in Amazon Cognito

Puoi creare un bacino d'utenza tramite la console di Amazon Cognito oppure puoi utilizzare l' AWS Command Line Interface (CLI) o le API di Amazon Cognito.

Per creare un nuovo pool di identità nella console

  1. Accedi alla console di Amazon Cognito e seleziona Pool di identità.

  2. Scegli Crea pool di identità.

  3. In Configurazione dell'attendibilità del pool di identità, scegli di configurare il pool di identità per Accesso autenticato, Accesso guest o entrambi.

    1. Se hai scelto Accesso autenticato, seleziona uno o più Tipi di identità che desideri impostare come origine delle identità autenticate nel pool di identità. Se configuri un Provider degli sviluppatori personalizzato, non puoi modificarlo né eliminarlo dopo aver creato il pool di identità.

  4. In Configura le autorizzazioni, scegli un ruolo IAM predefinito per gli utenti autenticati o guest nel pool di identità.

    1. Scegli Crea un nuovo ruolo IAM se desideri che Amazon Cognito crei automaticamente un nuovo ruolo con autorizzazioni di base e una relazione di affidabilità con il pool di identità. Inserisci un Nome ruolo IAM per identificare il nuovo ruolo, ad esempio myidentitypool_authenticatedrole. Seleziona Visualizza il documento di policy per esaminare le autorizzazioni che verranno assegnate da Amazon Cognito al nuovo ruolo IAM.

    2. Puoi scegliere di utilizzare un ruolo IAM esistente se hai già un ruolo Account AWS che desideri utilizzare. Devi configurare la policy di attendibilità del ruolo IAM per includere cognito-identity.amazonaws.com. Configura la  policy di attendibilità del ruolo per consentire ad Amazon Cognito di assumere il ruolo solo quando rende evidente che la richiesta ha avuto origine da un utente autenticato nel pool di identità specifico. Per ulteriori informazioni, consulta Attendibilità del ruolo e autorizzazioni.

  5. In Connect identity providers, inserisci i dettagli dei provider di identità (IdPs) che hai scelto in Configure identity pool trust. È possibile che ti venga chiesto di fornire informazioni sul client dell'app OAuth, scegliere un pool di utenti Amazon Cognito, scegliere un IdP IAM o inserire un identificatore personalizzato per un provider degli sviluppatori.

    1. Scegli le impostazioni del ruolo per ogni IdP. Puoi assegnare agli utenti di tale IdP il ruolo predefinito impostato quando hai configurato il ruolo autenticato oppure puoi selezionare l'opzione Scegli ruolo con regole. Con un IdP del pool di utenti Amazon Cognito, puoi anche scegliere un ruolo con attestazione preferred_role nei token. Per ulteriori informazioni sulla richiesta cognito:preferred_role, consultare Assegnazione dei valori di priorità ai gruppi.

      1. Se scegli l'opzione Scegli ruolo con regole, inserisci la Richiesta dall'autenticazione dell'utente, l'Operatore con cui desideri confrontare la richiesta, il Valore che determina una corrispondenza a questa scelta di ruolo e il Ruolo che desideri assegnare quando l'Assegnazione del ruolo corrisponde. Seleziona Aggiungi un altro per creare una regola aggiuntiva basata su una condizione diversa.

      2. Scegli una Risoluzione del ruolo. Quando le richieste dell'utente non corrispondono alle regole, puoi negare le credenziali o emettere credenziali per il Ruolo autenticato.

    2. Configura Attributi per il controllo degli accessi per ciascun IdP. L'opzione Attributi per il controllo degli accessi associa le richieste dell'utente ai tag principali applicati da Amazon Cognito alla relativa sessione temporanea. Puoi creare policy IAM per filtrare l'accesso utente in base ai tag applicati alla relativa sessione.

      1. Per non applicare alcun tag principale, scegli Inattivo.

      2. Per applicare i tag principali in base alle richieste sub e aud, scegli Utilizza mappature predefinite.

      3. Per creare un tuo schema personalizzato di attributi dei tag principali, scegli Utilizza mappature personalizzate. Quindi, inserisci una Chiave tag che deve essere originata da ciascuna Richiesta che desideri rappresentare in un tag.

  6. In Configura proprietà, inserisci un Nome in Nome del pool di identità.

  7. In Autenticazione di base (classica), scegli Attiva flusso di base, se desiderato. Con il flusso di base attivo, puoi ignorare le selezioni di ruolo che hai effettuato per te IdPs e chiamare AssumeRoleWithWebIdentitydirettamente. Per ulteriori informazioni, consulta Flusso di autenticazione dei pool di identità (identità federate).

  8. In Tag, scegli Aggiungi tag se desideri applicare tag al pool di identità.

  9. In Esamina e crea, conferma le selezioni effettuate per il nuovo pool di identità. Seleziona Modifica per tornare alla procedura guidata e modificare le eventuali impostazioni. Al termine, seleziona Crea un pool di identità.

Configurazione di un SDK

Per utilizzare i pool di identità di Amazon Cognito, configura AWS Amplify AWS SDK for Java, o il. AWS SDK for .NET Per ulteriori informazioni, consulta i seguenti argomenti.

Integrazione dei provider di identità

In pool di identità di Amazon Cognito (identità federate) supportano l'autenticazione degli utenti tramite i pool di utenti Amazon Cognito, i provider di identità federate (inclusi i provider di identità Amazon, Facebook, Google e SAML) e le identità non autenticate. Questa funzione supporta anche Identità autenticate dagli sviluppatori (pool di identità), che ti consente di registrare e di autenticare gli utenti tramite il tuo processo di autenticazione di back-end.

Per ulteriori informazioni sull'utilizzo di un bacino d'utenza di Amazon Cognito per la creazione della tua directory utente, consulta Bacini d'utenza di Amazon Cognito e Accesso Servizi AWS tramite un pool di identità dopo l'accesso.

Per ulteriori informazioni su come utilizzare provider di identità esterni, consulta Provider di identità esterni con pool di identità.

Per ulteriori informazioni su come integrare il tuo processo di autenticazione di back-end, consulta Identità autenticate dagli sviluppatori (pool di identità).

Ottenere le credenziali

I pool di identità di Amazon Cognito forniscono AWS credenziali temporanee per gli utenti ospiti (non autenticati) e per gli utenti che si sono autenticati e hanno ricevuto un token. Con queste AWS credenziali, la tua app può accedere in modo sicuro a un backend interno AWS o esterno AWS tramite Amazon API Gateway. Per informazioni, consulta Ottenere le credenziali.