常見 Amazon Cognito 術語和概念 - Amazon Cognito

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

常見 Amazon Cognito 術語和概念

Amazon Cognito 提供 Web 和行動應用程式的憑證。它從身分和存取管理 中常見的術語中提取和建置。提供許多通用身分和存取術語的指南。部分範例如下:

下列清單說明 Amazon Cognito 獨有的詞彙,或在 Amazon Cognito 中具有特定內容。

一般

此清單中的術語並非 Amazon Cognito 特有,且受到身分和存取管理從業人員的廣泛認可。下列不是完整的術語清單,而是本指南中特定 Amazon Cognito 內容的指南。

應用程式

通常為行動應用程式。在本指南中,應用程式通常是連線至 Amazon Cognito 的 Web 應用程式或行動應用程式的簡稱。

屬性型存取控制 (ABAC)

應用程式根據使用者屬性決定資源存取權的模型,例如其職稱或部門。強制執行的 Amazon Cognito 工具會在使用者集區中ABAC包含 ID 權杖,並在身分集區中包含主體標籤

授權伺服器

產生 Web JSON 權杖 的 Web 型系統。Amazon Cognito 使用者集區聯合端點是使用者集區中兩種身分驗證和授權方法的授權伺服器元件。另一種方法是使用者集區 API

機密應用程式、伺服器端應用程式

使用者遠端連線的應用程式,具有應用程式伺服器上的程式碼,以及對秘密的存取。這通常是 Web 應用程式。

Identity provider (IdP) (身分提供者 (IdP))

存放和驗證使用者身分的服務。Amazon Cognito 可以向外部供應商請求身分驗證,並成為應用程式的 IdP。

JSON Web 權杖 (JWT)

包含已驗證使用者之宣告的JSON格式化文件。ID 權杖驗證使用者、存取權杖授權使用者,以及重新整理權杖更新憑證。Amazon Cognito 會從外部供應商接收權杖,並將權杖發佈至應用程式或 AWS STS。

多重要素驗證 (MFA)

使用者在提供使用者名稱和密碼之後,提供其他身分驗證的要求。Amazon Cognito 使用者集區具有適用於本機使用者 MFA的功能。

OAuth 2.0 (社交) 供應商

提供JWT存取和重新整理權杖的使用者集區或身分集區的 IdP。Amazon Cognito 使用者集區會在使用者驗證後自動與社交提供者互動。

OpenID Connect (OIDC) 供應商

使用者集區或身分集區的 IdP,可延伸OAuth規格以提供 ID 權杖。Amazon Cognito 使用者集區會在使用者驗證後自動與OIDC供應商互動。

公有應用程式

在裝置上獨立存在的應用程式,其程式碼儲存在本機,無法存取秘密。這通常是行動應用程式。

資源伺服器

API 具有存取控制的 。Amazon Cognito 使用者集區也會使用資源伺服器來描述定義與 互動組態的元件API。

角色型存取控制 (RBAC)

根據使用者的功能指定授予存取權的模型。Amazon Cognito 身分集區RBAC實作時,會區分IAM角色。

服務供應商 (SP)、依賴方 (RP)

依賴 IdP 來宣告使用者值得信任的應用程式。Amazon Cognito 充當外部 的 SP IdPs,以及應用程式型 的 IdPSPs。

SAMLprovider

使用者集區或身分集區的 IdP,可產生使用者傳遞至 Amazon Cognito 的數位簽章聲明文件。

通用唯一識別碼 (UUID)

套用至物件的 128 位元標籤。Amazon Cognito 每個使用者集區或身分集區UUIDs都是唯一的,但不符合特定UUID格式。

使用者目錄

將該資訊提供給其他系統的使用者及其屬性集合。Amazon Cognito 使用者集區是使用者目錄,也是從外部使用者目錄整合使用者的工具。

使用者集區

當您在本指南中看到下列清單中的術語時,它們會參考使用者集區的特定功能或組態。

Amazon Cognito 使用者集區 API

您可以使用 新增至應用程式的一組身分驗證和授權API操作 AWS SDK。API 可以登入本機使用者連結的使用者

自適應身分驗證

進階安全性的功能,可偵測潛在的惡意活動,並對使用者設定檔 套用額外的安全性。

進階安全功能

新增工具以維護使用者安全的選用元件。

應用程式用戶端

將使用者集區的設定定義為一個應用程式的 IdP 的元件。

回呼 URL,重新導向 URI

應用程式用戶端中的設定,以及使用者集區聯合端點 請求中的 參數。回呼URL是應用程式 中已驗證使用者的初始目的地。

憑證洩漏

進階安全性功能,可偵測攻擊者可能知道的使用者密碼,並將額外的安全性套用至使用者設定檔

確認

確定已符合先決條件的程序,以允許新使用者登入。確認通常透過電子郵件地址或電話號碼驗證完成。

自訂身分驗證

使用 Lambda 觸發程序的身分驗證程序延伸,該觸發程序會定義其他使用者挑戰和回應。

裝置身分驗證

MFA 以使用受信任裝置的 ID 登入取代的身分驗證程序。

外部供應商、第三方供應商

與使用者集區具有信任關係的 IdP。

聯合身分使用者

使用者集區中由外部供應商 進行身分驗證的使用者。

聯合端點

使用者集區網域上的一組網頁,用於託管與 IdPs 和 應用程式互動的服務。

託管 UI

使用者集區網域上的一組互動式網頁,用於託管服務以進行使用者身分驗證。

Lambda 觸發程序

中的函數 AWS Lambda ,使用者集區可以在使用者身分驗證程序的重點自動叫用。您可以使用 Lambda 觸發程序來自訂身分驗證結果。

本機使用者

使用者集區使用者目錄中的使用者設定檔,並非透過與外部提供者 進行身分驗證建立。

連結的使用者

來自外部供應商的使用者,其身分會與本機使用者 合併。

權杖自訂

權杖產生前 Lambda 觸發的結果,會在執行階段修改使用者的 ID 或存取權杖。

使用者集區、Amazon Cognito 身分提供者、cognito-idp、Amazon Cognito 使用者集區

針對使用 的應用程式提供身分驗證和授權服務 AWS 的資源OIDC IdPs。

使用者集區網域

您新增至使用者集區的網站名稱。網域是託管 UI聯合端點 URL的基礎。

驗證

確認使用者擁有電子郵件地址或電話號碼的程序。使用者集區會將程式碼傳送給已輸入新電子郵件地址或電話號碼的使用者。當他們將程式碼提交至 Amazon Cognito 時,他們會驗證訊息目的地的擁有權,並可以從使用者集區接收其他訊息。此外,請參閱確認

使用者設定檔、使用者帳戶

使用者目錄 中的使用者項目。所有使用者在其使用者集區中都有設定檔。

身分集區

當您在本指南中看到下列清單中的術語時,它們會參考身分集區的特定功能或組態。

存取控制的屬性

在身分集區中實作屬性型存取控制。身分集區會將使用者屬性作為標籤套用至使用者憑證。

基本 (傳統) 身分驗證

您可以在此驗證程序自訂使用者憑證 的請求。

開發人員驗證的身分

使用開發人員憑證 授權身分集區使用者憑證的身分驗證程序。 開發人員憑證

開發人員憑證

身分集區管理員的IAMAPI金鑰。

增強型身分驗證

一種身分驗證流程,可根據您在身分集區中定義的邏輯選取IAM角色並套用主體標籤。

Identity

UUID 將應用程式使用者及其使用者憑證連結至與身分集區具有信任關係之外部使用者目錄中其設定檔的 。

身分集區、Amazon Cognito 聯合身分、Amazon Cognito 身分、 cognito-identity

針對使用臨時 AWS 憑證的應用程式,具有身分驗證和授權服務 AWS 的資源。

未驗證的 身分

尚未使用身分集區 IdP 登入的使用者。您可以允許使用者在驗證之前,為單一IAM角色產生有限的使用者憑證。

使用者憑證

身分集區身分驗證後使用者收到的臨時 AWS API金鑰。