Authentifizierung über einen Benutzerpool Zugriff auf Ihre serverseitigen Ressourcen Zugriff auf Ressourcen mit API Gateway und Lambda Greifen Sie mit einem Benutzerpool und einem Identitätspool auf AWS Dienste zu Authentifizierung über einen Drittanbieter und Zugriff auf AWS -Services über einen Identitätspool Greifen Sie mit Amazon Cognito auf AWS AppSync Ressourcen zu

Häufige Amazon-Cognito-Szenarien

In diesem Thema werden sechs typische Szenarien für die Verwendung von Amazon Cognito beschrieben.

Die zwei Hauptkomponenten von Amazon Cognito sind Benutzerpools und Identitäten-Pools. Benutzerpools sind Benutzerverzeichnisse, die Registrierungs- und Anmeldungsoptionen für Ihre Web- und mobilen Anwendungs-Nutzer bereitstellen. Identitätspools stellen temporäre AWS Anmeldeinformationen bereit, um Ihren Benutzern Zugriff auf andere zu gewähren AWS-Services.

Ein Benutzerpool ist ein Benutzerverzeichnis in Amazon Cognito. Ihre App-Benutzer können sich entweder direkt über einen Benutzerpool anmelden oder sich über einen externen Identitätsanbieter (IdP) zusammenschließen. Der Benutzerpool verwaltet den Aufwand für die Verwaltung der Token, die bei der Anmeldung in sozialen Netzwerken über Facebook, Google, Amazon und Apple sowie von OpenID Connect (OIDC) und SAML zurückgegeben werden. IdPs Ganz gleich, ob sich Ihre Benutzer direkt oder über einen Drittanbieter anmelden, alle Mitglieder Ihres Benutzerpools haben ein Verzeichnisprofil, auf das Sie über ein SDK zugreifen können.

Mit einem Identitätspool können Ihre Benutzer temporäre AWS Anmeldeinformationen für den Zugriff auf AWS Dienste wie Amazon S3 und DynamoDB abrufen. Identitätspools unterstützen anonyme Gastbenutzer sowie den Zusammenschluss über Drittanbieter. IdPs

Themen

Authentifizierung über einen Benutzerpool
Zugriff auf Ihre serverseitigen Ressourcen mit einem Benutzerpool
Zugriff auf Ressourcen mit API Gateway und Lambda mit einem Benutzerpool
Greifen Sie mit einem Benutzerpool und einem Identitätspool auf AWS Dienste zu
Authentifizierung über einen Drittanbieter und Zugriff auf AWS -Services über einen Identitätspool
Greifen Sie mit Amazon Cognito auf AWS AppSync Ressourcen zu

Authentifizierung über einen Benutzerpool

Sie können Ihren Benutzern ermöglichen, sich mit einem Benutzerpool zu authentifizieren. Ihre App-Benutzer können sich entweder direkt über einen Benutzerpool anmelden oder sich über einen externen Identitätsanbieter (IdP) zusammenschließen. Der Benutzerpool verwaltet den Aufwand für die Verwaltung der Token, die bei der Anmeldung in sozialen Netzwerken über Facebook, Google, Amazon und Apple sowie von OpenID Connect (OIDC) und SAML zurückgegeben werden. IdPs

Nach einer erfolgreichen Authentifizierung erhält Ihre Web- oder mobilen Anwendungs-Nutzerpool-Token von Amazon Cognito. Sie können diese Token verwenden, um AWS Anmeldeinformationen abzurufen, mit denen Ihre App auf andere AWS Dienste zugreifen kann, oder Sie können sie verwenden, um den Zugriff auf Ihre serverseitigen Ressourcen oder auf das Amazon API Gateway zu kontrollieren.

Weitere Informationen erhalten Sie unter Ablauf der Authentifizierung in Benutzerpools und Verwenden von Token mit Benutzerpools.

Zugriff auf Ihre serverseitigen Ressourcen mit einem Benutzerpool

Nach einer erfolgreichen Benutzerpool-Anmeldung erhält Ihre Web- oder Mobil-App-Benutzerpool-Token von Amazon Cognito. Sie können mithilfe dieser Token den Zugriff auf Ihre serverseitigen Ressourcen kontrollieren. Sie können auch Benutzerpoolgruppen erstellen, um Berechtigungen zu verwalten und verschiedene Arten von Benutzern darzustellen. Weitere Informationen über die Verwendung von Gruppen zum Steuern des Zugriffs auf Ihre Ressourcen finden Sie unter Hinzufügen von Gruppen zu einem Benutzerpool.

Zugriff auf Ihre serverseitigen Ressourcen über einen Benutzerpool

Nachdem eine Domäne für Ihren Benutzerpool konfiguriert wurde, stellt Amazon Cognito eine gehostete Web-Benutzeroberfläche bereit, die Ihnen das Hinzufügen von Registrierungs- und Anmeldeseiten für Ihre App erlaubt. Mit dieser OAuth-2.0-Grundlage können Sie einen eigenen Ressourcenserver erstellen, damit Ihre Benutzer auf geschützte Ressourcen zugreifen können. Weitere Informationen finden Sie unter Geltungsbereiche, M2M und API Autorisierung mit Ressourcenservern.

Weitere Informationen über die Benutzerpool-Authentifizierung finden Sie unter Ablauf der Authentifizierung in Benutzerpools und Verwenden von Token mit Benutzerpools.

Zugriff auf Ressourcen mit API Gateway und Lambda mit einem Benutzerpool

Sie können Benutzern ermöglichen, über API Gateway auf Ihre API zuzugreifen. API Gateway validiert die Tokens aus einer erfolgreichen Benutzerpool-Authentifizierung und gewährt damit Ihren Benutzern den Zugriff auf Ressourcen, darunter Lambda-Funktionen oder Ihre eigene API.

Sie können Gruppen in einem Benutzerpool verwenden, um Berechtigungen für API Gateway zu steuern, indem Sie die Gruppenmitgliedschaft mit IAM-Rollen abgleichen. Die Gruppen, bei denen ein Benutzer ein Mitglied ist, werden in das ID-Token eingeschlossen, das von einem Benutzerpool zur Verfügung gestellt, wenn sich Ihr App-Benutzer anmeldet. Weitere Informationen zu Benutzerpoolgruppen finden Sie unter Hinzufügen von Gruppen zu einem Benutzerpool.

Sie können Ihre Benutzerpool-Tokens mit einer Anfrage an API Gateway übermitteln, damit diese von einer Amazon-Cognito-Authorizer-Lambda-Funktion verifiziert werden. Weitere Informationen zu API Gateway finden Sie unter Verwenden von API Gateway mit Amazon-Cognito-Benutzerpools.

Zugriff auf API Gateway über einen Benutzerpool

Greifen Sie mit einem Benutzerpool und einem Identitätspool auf AWS Dienste zu

Nach einer erfolgreichen Benutzerpool-Authentifizierung erhält Ihre App Benutzerpool-Token von Amazon Cognito. Sie können sie gegen temporären Zugriff auf andere AWS Dienste mit einem Identitätspool eintauschen. Weitere Informationen finden Sie unter Zugriff AWS-Services über einen Identitätspool nach der Anmeldung und Erste Schritte mit Amazon Cognito Cognito-Identitätspools.

Greifen Sie über einen Benutzerpool mit einem Identitätspool auf AWS Anmeldeinformationen zu

Authentifizierung über einen Drittanbieter und Zugriff auf AWS -Services über einen Identitätspool

Sie können Ihren Benutzern den Zugriff auf AWS Dienste über einen Identitätspool ermöglichen. Ein Identitäten-Pool erfordert ein IdP-Token von einem Benutzer, der von einem externen Identitätsanbieter authentifiziert wurde (bzw. nichts, wenn es sich um einen anonymen Gast handelt). Im Gegenzug gewährt der Identitätspool temporäre AWS Anmeldeinformationen, mit denen Sie auf andere AWS Dienste zugreifen können. Weitere Informationen finden Sie unter Erste Schritte mit Amazon Cognito Cognito-Identitätspools.

Greifen Sie über einen externen Identitätsanbieter mit einem Identitätspool auf AWS Anmeldeinformationen zu

Greifen Sie mit Amazon Cognito auf AWS AppSync Ressourcen zu

Sie können Ihren Benutzern Zugriff auf AWS AppSync Ressourcen mit Tokens aus einer erfolgreichen Amazon Cognito Cognito-Benutzerpool-Authentifizierung gewähren. Weitere Informationen finden Sie unter AMAZON_COGNITO_USER_POOLS-Autorisierung im AWS AppSync -Entwicklerhandbuch.

Sie können Anfragen an die AWS AppSync GraphQL-API auch mit den IAM-Anmeldeinformationen signieren, die Sie von einem Identitätspool erhalten. Weitere Informationen finden Sie unter AWS_IAM-Autorisierung.

Greifen Sie über einen Benutzerpool oder einen Identitätspool auf AWS AppSync Ressourcen zu

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Sicherheitsempfehlungen für Mehrmandantenfähigkeit

Amazon-Cognito-Benutzerpools