As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Os usuários do seu aplicativo podem fazer login diretamente por meio de um grupo de usuários ou podem se federar por meio de um provedor de identidade (IdP) terceirizado. O grupo de usuários gerencia a sobrecarga de lidar com os tokens que são retornados do login social por meio do Facebook, Google, Amazon e Apple, e do OpenID Connect () e. OIDC SAML IdPs Com a interface de usuário web hospedada incorporada, o Amazon Cognito fornece gerenciamento e gerenciamento de tokens para usuários autenticados de todos. IdPs Dessa forma, os sistemas de backend podem realizar a padronização com base em um conjunto de tokens do grupo de usuários.
Como o login federado funciona em grupos de usuários do Amazon Cognito
O login por meio de um terceiro (federação) está disponível em grupos de usuários do Amazon Cognito. Esse recurso é independente da federação nos grupos de identidades do Amazon Cognito (identidades federadas).
O Amazon Cognito é um diretório de usuários e um provedor de identidade (IdP) OAuth 2.0. Quando você faz login de usuários locais no diretório do Amazon Cognito, seu grupo de usuários é um IdP para sua aplicação. Um usuário local existe exclusivamente em seu diretório de grupo de usuários sem federação por meio de um IdP externo.
Quando você conecta o Amazon Cognito às redes sociais ou ao OpenID Connect (OIDC) IdPs, seu grupo de usuários atua como uma ponte entre vários provedores de serviços e seu aplicativo. SAML Para o IdP, o Amazon Cognito é um provedor de serviços (SP). Você IdPs passa um token de OIDC ID ou uma SAML declaração para o Amazon Cognito. O Amazon Cognito lê as reivindicações sobre seu usuário no token ou na afirmação e mapeia essas reivindicações para um novo perfil de usuário no diretório do grupo de usuários.
Depois, o Amazon Cognito cria um perfil para o usuário federado em seu próprio diretório. O Amazon Cognito adiciona atributos ao seu usuário com base nas declarações do seu IdP e, no caso de provedores de identidade social, em um endpoint OIDC público operado por IdP. userinfo
Os atributos do usuário mudam em seu grupo de usuários quando um atributo do IdP mapeado é alterado. Você também pode adicionar mais atributos independentes dos do IdP.
Depois que o Amazon Cognito cria um perfil para seu usuário federado, ele altera sua função e se apresenta como o IdP para sua aplicação, que agora é o SP. O Amazon Cognito é uma combinação de 2.0 OIDC OAuth IdP. Ele gera tokens de acesso, tokens de ID e tokens de atualização. Para mais informações sobre tokens, consulte Entendendo os tokens JSON da web do pool de usuários (JWTs).
É necessário criar uma aplicação que se integre ao Amazon Cognito para autenticar e autorizar os usuários, sejam eles federados ou locais.
As responsabilidades de uma aplicação como provedor de serviços do Amazon Cognito
- Confirmar e processar as informações nos tokens
-
Na maioria dos cenários, o Amazon Cognito redireciona seu usuário autenticado para um aplicativo URL que ele anexa com um código de autorização. Sua aplicação troca o código por tokens de acesso, ID e atualização. Depois, ela precisa conferir a validade dos tokens e fornecer informações ao usuário com base nas reivindicações contidas nos tokens.
- Responda a eventos de autenticação com solicitações do Amazon Cognito API
-
Seu aplicativo deve se integrar aos grupos de usuários do Amazon Cognito API e aos endpoints de autenticação API. A autenticação API conecta e desconecta seu usuário e gerencia os tokens. Os grupos de usuários API têm uma variedade de operações que gerenciam seu grupo de usuários, seus usuários e a segurança do seu ambiente de autenticação. Sua aplicação precisa saber o que fazer em seguida ao receber uma resposta do Amazon Cognito.
Fatos a saber sobre o login de terceiro dos grupos de usuários do Amazon Cognito
-
Se quiser que seus usuários façam login com provedores federados, você deve escolher um domínio. Isso configura a interface do usuário hospedada pelo Amazon Cognito, a interface e os endpoints hospedados. OIDC Para obter mais informações, consulte Como usar o próprio domínio para a interface do usuário hospedada.
-
Você não pode cadastrar usuários federados com API operações como InitiateAuthe. AdminInitiateAuth Os usuários federados só podem fazer login com o Endpoint de login ou o Autorizar endpoint.
-
O Autorizar endpoint é um endpoint de redirecionamento. Se você fornecer um parâmetro
idp_identifier
ouidentity_provider
na solicitação, ela será redirecionada silenciosamente para o IdP, ignorando a interface de usuário hospedada. Caso contrário, ela será redirecionada para o Endpoint de login da interface de usuário hospedada. -
Quando a interface do usuário hospedada redireciona uma sessão para um IdP federado, o Amazon Cognito inclui o cabeçalho
user-agent
Amazon/Cognito
na solicitação. -
O Amazon Cognito gera o atributo
username
para um perfil de usuário federado usando a combinação de um identificador fixo com o nome de seu IdP. Para gerar um nome de usuário que corresponda aos seus requisitos personalizados, crie um mapeamento para o atributopreferred_username
. Para obter mais informações, consulte Coisas a saber sobre mapeamentos.Exemplo:
MyIDP_bob@example.com
-
O Amazon Cognito registra informações sobre a identidade de seu usuário federado em um atributo e uma reivindicação no token de ID, chamada
identities
. Essa reivindicação contém o provedor do usuário e o ID exclusivo do provedor. Não é possível alterar o atributoidentities
em um perfil de usuário diretamente. Para obter mais informações sobre como vincular um usuário federado, consulte Vincular usuários federados a um perfil de usuário existente. -
Quando você atualiza seu IdP em um UpdateIdentityProviderAPISe você solicitar, suas alterações podem levar até um minuto para aparecer na interface hospedada.
-
O Amazon Cognito suporta até 20 HTTP redirecionamentos entre ele e seu IdP.
-
Quando o usuário faz login com a interface do usuário hospedada, o navegador armazena um cookie de sessão de login criptografado que registra o cliente e o provedor com os quais ele fez login. Se ele tentar fazer login novamente com os mesmos parâmetros, a interface do usuário hospedada reutilizará qualquer sessão existente não expirada, e o usuário se autenticará sem fornecer as credenciais novamente. Se o usuário fizer login novamente com um IdP diferente, incluindo uma mudança para ou do login do grupo de usuários local, ele deverá fornecer credenciais e gerar uma sessão de login.
Você pode atribuir qualquer parte do seu grupo de usuários IdPs a qualquer cliente de aplicativo, e os usuários só podem entrar com um IdP que você atribuiu ao cliente do aplicativo.
Tópicos
- Como configurar provedores de identidade para seu grupo de usuários
- Usando provedores de identidade social com um grupo de usuários
- Usando provedores de SAML identidade com um grupo de usuários
- Usando provedores de OIDC identidade com um grupo de usuários
- Mapeamento de atributos de IdP para perfis e tokens
- Vincular usuários federados a um perfil de usuário existente