使用者集區端點和受管登入參考

Amazon Cognito 有兩種使用者集區身分驗證模型：使用使用者集區 API 和使用 OAuth 2.0 授權伺服器。當您想要在應用程式後端使用 AWS SDK 擷取 OpenID Connect (OIDC) 權杖時，請使用 API。當您想要以 OIDC 提供者身分實作使用者集區時，請使用授權伺服器。授權伺服器新增聯合登入、具有存取權杖範圍的 API 和 M2M 授權，以及受管登入等功能。您可以在使用者集區層級或應用程式用戶端層級，分別單獨使用或搭配使用 API 和 OIDC 模型。本節是 OIDC 模型實作的參考。如需兩個身分驗證模型的詳細資訊，請參閱 了解 API、OIDC 和受管登入頁面身分驗證。

當您將網域指派給使用者集區，Amazon Cognito 會啟用此處列出的公有網頁。您的網域是所有應用程式用戶端的集中存取點。其中包括 受管登入，您的使用者可以在其中註冊和登入 (登入端點)，以及登出 (登出端點)。如需這些資源的詳細資訊，請參閱 使用者集區受管登入。

這些頁面也包括公用網路資源，可讓您的使用者集區與第三方 SAML、OpenID Connect (OIDC) 及 OAuth 2.0 身分提供者 (IdP) 通訊。若要使用聯合身分提供者登入使用者，您的使用者必須起始互動式受管登入登入端點或 OIDC 的請求授權端點。授權端點會將您的使用者重新導向到您的受管登入頁面或 IdP 登入頁面。

您的應用程式也可以透過 Amazon Cognito 使用者集區 API 登入本機使用者。本機使用者僅存在於您的使用者集區目錄中，不會透過外部 IdP 進行聯合。

除了受管登入之外，Amazon Cognito 還與適用於 Android、iOS、JavaScript 等SDKs 整合。開發套件提供工具可使用使用者集區 API 端點和 Amazon Cognito API 服務端點執行使用者集區 API 操作。如需服務端點的詳細資訊，請參閱 Amazon Cognito Identity endpoints and quotas (Amazon Cognito Identity 端點與配額)。