View a markdown version of this page

Provedor de identidades e endpoints de terceiros confiáveis - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Provedor de identidades e endpoints de terceiros confiáveis

Os endpoints de federação são endpoints de grupos de usuários que servem ao propósito de um dos padrões de autenticação usados pelos grupos de usuários. Eles incluem URLs de ACS SAML, endpoints de descoberta do OIDC e endpoints de serviço para funções de grupos de usuários, tanto como provedor de identidades quanto como parte confiável. Os endpoints da federação iniciam fluxos de autenticação, recebem comprovantes de IdPs autenticação e emitem tokens para os clientes. Eles interagem com IdPs aplicativos e administradores, mas não com usuários.

Os tópicos de página inteira após esta página têm detalhes sobre endpoints de provedores OAuth 2.0 e OIDC que ficam disponíveis quando você adiciona um domínio ao grupo de usuários. O gráfico a seguir é uma lista de todos os endpoints de federação.

Exemplos de domínios de grupos de usuários são:

  1. Domínio de prefixo: mydomain.auth.us-east-1.amazoncognito.com

  2. Domínio personalizado: auth.example.com

Endpoints de federação do grupo de usuários
URL do endpoint Description Como é acessado
https://Your user pool domain/oauth2/authorize Redireciona um usuário para o login gerenciado ou para fazer login com seu IdP. Invocado no navegador do cliente para iniciar a autenticação do usuário. Consulte Autorizar endpoint.
https://Your user pool domain/oauth2/token Retorna tokens com base em um código de autorização ou solicitação de credenciais do cliente. Solicitado pela aplicação para recuperar tokens. Consulte Endpoint de token.
https://Your user pool domain/oauth2/userInfo Retorna atributos do usuário com base nos escopos do OAuth 2.0 e na identidade do usuário em um token de acesso. Solicitado pela aplicação para recuperar o perfil do usuário. Consulte endpoint userinfo.
https://Your user pool domain/oauth2/revoke Revoga um token de atualização e os tokens de acesso associados. Solicitado pela aplicação para revogar um token. Consulte Revogar endpoint.
https://cognito-idp.Regionyour user pool ID.amazonaws.com/ /.well- -configuração known/openid Um diretório da arquitetura OIDC do seu grupo de usuários. 1 Solicitado pela aplicação para localizar metadados do emissor do grupo de usuários.
https://cognito-idp.Region.amazonaws.com/ /.well- .json your user pool ID known/jwks Chaves públicas que você pode usar para validar os tokens do Amazon Cognito. 2 Solicitado pela aplicação para verificar os JWTs.
https://Your user pool domain/oauth2/idpresponse Os provedores de identidades sociais precisam redirecionar seus usuários para esse endpoint com um código de autorização. O Amazon Cognito resgata o código para um token quando autentica seu usuário federado. Redirecionado do login do IdP OIDC como URL de retorno de chamada do cliente IdP.
https://Your user pool domain/saml2/idpresponse O URL do Serviço do Consumidor de Declaração (ACS) para integração com provedores de identidades SAML 2.0. Redirecionado do SAML 2.0 IdP como o URL do ACS ou o ponto de origem para login. IdP-initiated 3
https://Your user pool domain/saml2/logout O URL de Logout único (SLO) para integração com provedores de identidades SAML 2.0. Redirecionado do IdP SAML 2.0 como URL de logout único (SLO). Aceita somente a vinculação POST.

1 O documento openid-configuration poderá ser atualizado a qualquer momento com informações adicionais que mantenham o endpoint em conformidade com as especificações OIDC e OAuth2.

2 O arquivo JSON jwks.json pode ser atualizado a qualquer momento com novas chaves públicas de assinatura de token.

3 Para obter mais informações sobre o login com IdP-initiated SAML, consulte. Implemente o login com IdP-initiated SAML

Para ter mais informações sobre os padrões OpenID Connect e OAuth, consulte OpenID Connect 1.0 e OAuth 2.0.

Grupos de usuários do Amazon Cognito como emissor do OIDC

Os grupos de usuários do Amazon Cognito funcionam como provedores de identidade do OpenID Connect (OIDC), servindo como um emissor que as bibliotecas de aplicativos podem usar para a federação do OIDC. As bibliotecas de aplicativos para federação OIDC podem referenciar os dois caminhos diferentes, conforme discutido abaixo, como um endpoint de descoberta automática. Esse endpoint fornece acesso ao JSON Web Key Set (JWKS) /.well-known/jwks.json e aos metadados de descoberta do OIDC em/.well-known/openid-configuration, onde os aplicativos podem descobrir os endpoints de autorização, token e UserInfo.

Os aplicativos que oferecem suporte à descoberta automática do OIDC podem se configurar automaticamente consultando esses endpoints conhecidos. Para aplicativos que não oferecem suporte à descoberta automática, você pode codificar seu aplicativo com os endpoints específicos do OIDC listados na seção anterior.

Tipos de emissores do grupo de usuários
Emissor original

A configuração padrão atual do emissor para grupos de usuários. O URL do emissor é hospedado na região do grupo de usuários e fornece endpoints OIDC específicos para essa região.

Os emissores originais adotam o formatohttps://cognito-idp.us-east-1.amazonaws.com/us-east-1_EXAMPLE.

Emissor atualizado

Recomendado para todos os grupos de usuários, inclusive para replicação em várias regiões. Os emissores atualizados hospedam o mesmo conteúdo do JWKS em várias regiões, resultando em maior resiliência e eficiência.

Os emissores atualizados usam o formatohttps://issuer-cognito-idp.us-east-1.amazonaws.com/us-east-1_EXAMPLE, onde Region é o principal Região da AWS do seu grupo de usuários.