Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Como adicionar acesso a grupo de usuários por meio de terceiros

Modo de foco
Como adicionar acesso a grupo de usuários por meio de terceiros - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Os usuários do seu aplicativo podem fazer login diretamente por meio de um grupo de usuários ou podem se federar por meio de um provedor de identidade (IdP) terceirizado. O grupo de usuários gerencia a sobrecarga de lidar com os tokens que são retornados do login social por meio do Facebook, Google, Amazon e Apple, e do OpenID Connect () e. OIDC SAML IdPs Com a interface de usuário web hospedada incorporada, o Amazon Cognito fornece gerenciamento e gerenciamento de tokens para usuários autenticados de todos. IdPs Dessa forma, os sistemas de backend podem realizar a padronização com base em um conjunto de tokens do grupo de usuários.

Como o login federado funciona em grupos de usuários do Amazon Cognito

O login por meio de um terceiro (federação) está disponível em grupos de usuários do Amazon Cognito. Esse recurso é independente da federação nos grupos de identidades do Amazon Cognito (identidades federadas).

Visão geral de autenticação com login em redes sociais

O Amazon Cognito é um diretório de usuários e um provedor de identidade (IdP) OAuth 2.0. Quando você faz login de usuários locais no diretório do Amazon Cognito, seu grupo de usuários é um IdP para sua aplicação. Um usuário local existe exclusivamente em seu diretório de grupo de usuários sem federação por meio de um IdP externo.

Quando você conecta o Amazon Cognito às redes sociais ou ao OpenID Connect (OIDC) IdPs, seu grupo de usuários atua como uma ponte entre vários provedores de serviços e seu aplicativo. SAML Para o IdP, o Amazon Cognito é um provedor de serviços (SP). Você IdPs passa um token de OIDC ID ou uma SAML declaração para o Amazon Cognito. O Amazon Cognito lê as reivindicações sobre seu usuário no token ou na afirmação e mapeia essas reivindicações para um novo perfil de usuário no diretório do grupo de usuários.

Depois, o Amazon Cognito cria um perfil para o usuário federado em seu próprio diretório. O Amazon Cognito adiciona atributos ao seu usuário com base nas declarações do seu IdP e, no caso de provedores de identidade social, em um endpoint OIDC público operado por IdP. userinfo Os atributos do usuário mudam em seu grupo de usuários quando um atributo do IdP mapeado é alterado. Você também pode adicionar mais atributos independentes dos do IdP.

Depois que o Amazon Cognito cria um perfil para seu usuário federado, ele altera sua função e se apresenta como o IdP para sua aplicação, que agora é o SP. O Amazon Cognito é uma combinação de 2.0 OIDC OAuth IdP. Ele gera tokens de acesso, tokens de ID e tokens de atualização. Para mais informações sobre tokens, consulte Entendendo os tokens JSON da web do pool de usuários (JWTs).

É necessário criar uma aplicação que se integre ao Amazon Cognito para autenticar e autorizar os usuários, sejam eles federados ou locais.

As responsabilidades de uma aplicação como provedor de serviços do Amazon Cognito

Confirmar e processar as informações nos tokens

Na maioria dos cenários, o Amazon Cognito redireciona seu usuário autenticado para um aplicativo URL que ele anexa com um código de autorização. Sua aplicação troca o código por tokens de acesso, ID e atualização. Depois, ela precisa conferir a validade dos tokens e fornecer informações ao usuário com base nas reivindicações contidas nos tokens.

Responda a eventos de autenticação com solicitações do Amazon Cognito API

Seu aplicativo deve se integrar aos grupos de usuários do Amazon Cognito API e aos endpoints de autenticação API. A autenticação API conecta e desconecta seu usuário e gerencia os tokens. Os grupos de usuários API têm uma variedade de operações que gerenciam seu grupo de usuários, seus usuários e a segurança do seu ambiente de autenticação. Sua aplicação precisa saber o que fazer em seguida ao receber uma resposta do Amazon Cognito.

Fatos a saber sobre o login de terceiro dos grupos de usuários do Amazon Cognito

  • Se quiser que seus usuários façam login com provedores federados, você deve escolher um domínio. Isso configura a interface do usuário hospedada pelo Amazon Cognito, a interface e os endpoints hospedados. OIDC Para obter mais informações, consulte Como usar o próprio domínio para a interface do usuário hospedada.

  • Você não pode cadastrar usuários federados com API operações como InitiateAuthe. AdminInitiateAuth Os usuários federados só podem fazer login com o Endpoint de login ou o Autorizar endpoint.

  • O Autorizar endpoint é um endpoint de redirecionamento. Se você fornecer um parâmetro idp_identifier ou identity_provider na solicitação, ela será redirecionada silenciosamente para o IdP, ignorando a interface de usuário hospedada. Caso contrário, ela será redirecionada para o Endpoint de login da interface de usuário hospedada.

  • Quando a interface do usuário hospedada redireciona uma sessão para um IdP federado, o Amazon Cognito inclui o cabeçalho user-agent Amazon/Cognito na solicitação.

  • O Amazon Cognito gera o atributo username para um perfil de usuário federado usando a combinação de um identificador fixo com o nome de seu IdP. Para gerar um nome de usuário que corresponda aos seus requisitos personalizados, crie um mapeamento para o atributo preferred_username. Para obter mais informações, consulte Coisas a saber sobre mapeamentos.

    Exemplo: MyIDP_bob@example.com

  • O Amazon Cognito registra informações sobre a identidade de seu usuário federado em um atributo e uma reivindicação no token de ID, chamada identities. Essa reivindicação contém o provedor do usuário e o ID exclusivo do provedor. Não é possível alterar o atributo identities em um perfil de usuário diretamente. Para obter mais informações sobre como vincular um usuário federado, consulte Vincular usuários federados a um perfil de usuário existente.

  • Quando você atualiza seu IdP em um UpdateIdentityProviderAPISe você solicitar, suas alterações podem levar até um minuto para aparecer na interface hospedada.

  • O Amazon Cognito suporta até 20 HTTP redirecionamentos entre ele e seu IdP.

  • Quando o usuário faz login com a interface do usuário hospedada, o navegador armazena um cookie de sessão de login criptografado que registra o cliente e o provedor com os quais ele fez login. Se ele tentar fazer login novamente com os mesmos parâmetros, a interface do usuário hospedada reutilizará qualquer sessão existente não expirada, e o usuário se autenticará sem fornecer as credenciais novamente. Se o usuário fizer login novamente com um IdP diferente, incluindo uma mudança para ou do login do grupo de usuários local, ele deverá fornecer credenciais e gerar uma sessão de login.

    Você pode atribuir qualquer parte do seu grupo de usuários IdPs a qualquer cliente de aplicativo, e os usuários só podem entrar com um IdP que você atribuiu ao cliente do aplicativo.

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.