本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用者集區端點和受管登入參考 Amazon Cognito 有兩種使用者集區身分驗證模型:使用使用者集區 API 和使用 OAuth 2.0 授權伺服器。當您想要在應用程式後端使用 AWS SDK 擷取 OpenID Connect (OIDC) 權杖時,請使用 API。當您想要將使用者集區實作為 OIDC 供應商時,請使用 授權伺服器。授權伺服器新增[聯合登入](cognito-user-pools-identity-federation.md)、[具有存取權杖範圍的 API 和 M2M 授權](cognito-user-pools-define-resource-servers.md),以及[受管登入](cognito-user-pools-managed-login.md)等功能。您可以單獨使用 API 和 OIDC 模型,或在使用者集區層級或[應用程式用戶端](user-pool-settings-client-apps.md)層級設定。本節是 OIDC 模型實作的參考。如需兩個身分驗證模型的詳細資訊,請參閱 [了解 API、OIDC 和受管登入頁面身分驗證](authentication-flows-public-server-side.md#user-pools-API-operations)。 當您將網域指派給使用者集區,Amazon Cognito 會啟用此處列出的公有網頁。您的網域是所有應用程式用戶端的集中存取點。其中包括受管登入,您的使用者可以在其中註冊和登入 ([登入端點](login-endpoint.md)),以及登出 ()[登出端點](logout-endpoint.md)。如需這些資源的詳細資訊,請參閱 [使用者集區受管登入](cognito-user-pools-managed-login.md)。 這些頁面也包括公用網路資源,可讓您的使用者集區與第三方 SAML、OpenID Connect (OIDC) 及 OAuth 2.0 身分提供者 (IdP) 通訊。若要使用聯合身分提供者登入使用者,您的使用者必須起始互動式受管登入[登入端點](login-endpoint.md)或 OIDC 的請求[授權端點](authorization-endpoint.md)。授權端點會將您的使用者重新導向到您的受管登入頁面或 IdP 登入頁面。 您的應用程式也可以透過 [Amazon Cognito 使用者集區 API](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/Welcome.html) 登入本機使用者。本機使用者僅存在於您的使用者集區目錄中,不會透過外部 IdP 進行聯合。 除了受管登入之外,Amazon Cognito 還與適用於 Android、iOS、JavaScript 等SDKs 整合。開發套件提供工具可使用使用者集區 API 端點和 Amazon Cognito API 服務端點執行使用者集區 API 操作。如需服務端點的詳細資訊,請參閱 [Amazon Cognito Identity endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/cognito_identity.html) (Amazon Cognito Identity 端點與配額)。 **警告** 請勿鎖定 Amazon Cognito domains 的終端實體或中繼 Transport Layer Security (TLS) 憑證。 AWS 會管理所有使用者集區端點和字首網域的所有憑證。支援 Amazon Cognito 憑證的信任鏈中的憑證授權單位 (CA) 會動態輪換和更新。當您將應用程式鎖定到中繼或分葉憑證時,當 AWS 輪換憑證時,您的應用程式可能會失敗,恕不另行通知。 請改將應用程式綁定至所有可用的 [Amazon 根憑證](https://www.amazontrust.com/repository/)。如需詳細資訊,請參閱《AWS Certificate Manager 使用者指南》**中[憑證綁定](https://docs.aws.amazon.com/acm/latest/userguide/acm-bestpractices.html#best-practices-pinning)的最佳實務和建議。 **Topics** + [使用者互動式受管登入和傳統託管 UI 端點](managed-login-endpoints.md) + [身分提供者和依賴方端點](federation-endpoints.md) + [OAuth 2.0 授予](federation-endpoints-oauth-grants.md) + [在授權碼授予中使用 PKCE](using-pkce-in-authorization-code.md) + [受管登入和聯合錯誤回應](federation-endpoint-idp-responses.md)