亚马逊 Cognito 条款

Amazon Cognito 为网络和移动应用程序提供凭证。它借鉴并建立在身份和访问管理中常见的术语之上。有许多通用身份和访问条款指南可供选择。部分示例包括：

知识IDPro体系中的@@ 术语
AWS 身份服务
词汇表来自 NIST CSRC

以下列表描述了亚马逊 Cognito 独有的术语或在亚马逊 Cognito 中具有特定上下文的术语。

主题

常规
用户池
身份池

常规

此列表中的术语并不是 Amazon Cognito 所特有的，在身份和访问管理从业者中得到了广泛认可。以下不是术语的详尽列表，而是本指南中有关其特定 Amazon Cognito 上下文的指南。

App: 通常是移动应用程序。在本指南中，应用程序通常是连接到 Amazon Cognito 的 Web 应用程序或移动应用程序的简写。
基于属性的访问控制 () ABAC: 一种模型，在这种模型中，应用程序根据用户的属性（例如其职称或部门）来确定对资源的访问权限。要强制执行的 Amazon Cognito 工具ABAC包括用户池中的 ID 令牌和身份池中的委托人标签。
授权服务器: 生成网络令牌的基于 JSON Web 的系统。Amazon Cognito 用户池联合终端节点是用户池中两种身份验证和授权方法的授权服务器组件。另一种方法是用户池API。
机密应用程序、服务器端应用程序: 用户远程连接的应用程序，其代码位于应用程序服务器上，并且可以访问机密。这通常是一个 Web 应用程序。
Identity provider (IdP) (身份提供商 (IdP)): 一种存储和验证用户身份的服务。Amazon Cognito 可以向外部提供商请求身份验证，并成为应用程序的 IdP。
JSON网络令牌 (JWT): 一种JSON格式的文档，其中包含有关经过身份验证的用户的声明。ID 令牌对用户进行身份验证，访问令牌授权用户，刷新令牌更新凭证。Amazon Cognito从外部提供商那里接收令牌，并向应用程序发放令牌或. AWS STS
多因素身份验证 () MFA: 要求用户在提供用户名和密码后提供额外的身份验证。Amazon Cognito 用户池为本地用户提供了一些MFA功能。
OAuth2.0（社交）提供商: 提供JWT访问和刷新令牌的用户池或身份池的 IdP。在用户进行身份验证后，Amazon Cognito 用户池会自动与社交提供商进行互动。
OpenID Connect () OIDC 提供商: 用户池或身份池的 IdP，用于扩展OAuth规范以提供 ID 令牌。在用户进行身份验证后，Amazon Cognito 用户池会自动与OIDC提供商进行交互。
公共应用程序: 一种在设备上自包含的应用程序，其代码存储在本地，并且无法访问密钥。这通常是一个移动应用程序。
资源服务器: API具有访问控制功能。Amazon Cognito 用户池还使用资源服务器来描述用于定义与交互的配置的组件。API
基于角色的访问控制 () RBAC: 一种根据用户的职能名称授予访问权限的模型。Amazon Cognito 身份池在实现RBAC时会区分不同的角色IAM。
服务提供商 (SP)、依赖方 (RP): 依赖 IdP 来断言用户值得信赖的应用程序。Amazon Cognito 充当外部的 SP，对于基于应用程序的 IdP IdPs，则充当 IdP。SPs
SAMLprovider: 用户池或身份池的 IdP，用于生成经过数字签名的断言文档，您的用户会将其传递给 Amazon Cognito。
通用唯一标识符 (UUID): 应用于对象的 128 位标签。Amazon Cognito UUIDs 在每个用户池或身份池中都是唯一的，但不符合特定的UUID格式。
用户目录: 向其他系统提供该信息的用户及其属性的集合。Amazon Cognito 用户池是用户目录，也是用于合并来自外部用户目录的用户的工具。

用户池

当您在本指南中看到以下列表中的术语时，它们指的是用户池的特定功能或配置。

Amazon Cognito 用户池 API: 一组身份验证和授权API操作，您可以使用将其添加到您的应用程序中 AWS SDK。API可以登录本地用户和关联用户。
自适应身份验证: 一种高级安全功能，可检测潜在的恶意活动并为用户配置文件应用额外的安全保护。
高级安全功能: 一个可选组件，用于添加用户安全工具。
应用程序客户端: 一种组件，用于将用户池的设置定义为一个应用程序的 IdP。
回调URL，重定向 URI: 应用程序客户端中的设置和对用户池联合终端节点的请求中的参数。回调URL是您的应用程序中经过身份验证的用户的初始目的地。
已泄露的凭证: 一种高级安全功能，可检测攻击者可能知道的用户密码，并对用户配置文件应用额外的安全保护。
确认: 确定已满足允许新用户登录的先决条件的过程。确认通常通过电子邮件地址或电话号码验证完成。
自定义身份验证: 使用 Lambda 触发器扩展身份验证流程，用于定义其他用户质询和响应。
设备认证: 一种身份验证过程，取MFA而代之的是使用可信设备 ID 的登录。
外部提供商、第三方提供商: 与用户池有信任关系的 IdP。
联合用户: 用户池中由外部提供商进行身份验证的用户。
联邦终端节点: 用户池网域上的一组网页，用于托管与之交互的 IdPs 服务和应用程序。
托管 UI: 用户池域上的一组交互式网页，用于托管用户身份验证服务。
Lambda 触发器: 其中一种函数 AWS Lambda ，用户池可以在用户身份验证过程的关键时刻自动调用。您可以使用 Lambda 触发器自定义身份验证结果。
本地用户: 用户池用户目录中的用户配置文件，不是通过向外部提供商进行身份验证而创建的。
关联用户: 来自外部提供商的用户，其身份与本地用户合并。
代币自定义: 令牌生成前 Lambda 触发器的结果，该触发器在运行时修改用户的 ID 或访问令牌。
用户池、亚马逊 Cognito 身份提供商cognito-idp、Amazon Cognito 用户池: 一种 AWS 资源，为与之配合使用的应用程序提供身份验证和授权服务OIDC IdPs。
用户池域: 您添加到用户池中的网站名称。该域是托管 UI 和联合终端节点的基础URL。
验证: 确认用户拥有电子邮件地址或电话号码的过程。用户池向输入了新电子邮件地址或电话号码的用户发送验证码。当他们向 Amazon Cognito 提交代码时，他们将验证自己对消息目标的所有权，并且可以从用户池中接收其他消息。另请参阅确认。
用户个人资料、用户账户: 用户目录中用户的条目。所有用户的用户池中都有个人资料。

身份池

当您在本指南中看到以下列表中的术语时，它们指的是身份池的特定功能或配置。

访问控制属性: 在身份池中实现基于属性的访问控制。身份池将用户属性作为标签应用于用户证书。
基本（经典）身份验证: 一种身份验证过程，您可以在其中自定义对用户凭证的请求。
已经过开发人员验证的身份: 使用开发者凭证授权身份池用户凭证的身份池用户凭证的身份验证过程。
开发者证书: 身份池管理员的IAMAPI密钥。
增强的身份验证: 一种身份验证流程，它根据您在身份池中定义的逻辑选择IAM角色并应用主体标签。
求同: UUID一种将应用程序用户及其用户凭据链接到其在与身份池存在信任关系的外部用户目录中的个人资料。
身份池、亚马逊 Cognito 联合身份、亚马逊 Cognito 身份、cognito-identity: 一种 AWS 资源，为使用临时 AWS 证书的应用程序提供身份验证和授权服务。
未经验证的身份: 尚未使用身份池 IdP 登录的用户。您可以允许用户在进行身份验证之前为单个IAM角色生成有限的用户证书。
用户凭证: 用户在身份池身份验证后收到的临时 AWS API密钥。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

身份验证的工作原理

与 AWS SDKs