Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Häufige Amazon-Cognito-Szenarien
In diesem Thema werden sechs typische Szenarien für die Verwendung von Amazon Cognito beschrieben.
Die zwei Hauptkomponenten von Amazon Cognito sind Benutzerpools und Identitäten-Pools. Benutzerpools sind Benutzerverzeichnisse, die Registrierungs- und Anmeldungsoptionen für Ihre Web- und mobilen Anwendungs-Nutzer bereitstellen. Identitäten-Pools stellen AWS-Anmeldeinformationen bereit, um Benutzern den Zugriff auf andere AWS-Services zu ermöglichen.
Ein Benutzerpool ist ein Benutzerverzeichnis in Amazon Cognito. Ihre App-Benutzer können sich entweder direkt über einen Benutzerpool anmelden oder sich über einen externen Identitätsanbieter (IdP) verbinden. Der Benutzerpool verwaltet den Aufwand für die Verarbeitung der Token, die von der sozialen Anmeldung über Facebook, Google, Amazon und Apple sowie von OpenID Connect (OIDC) und SAML-IdPs zurückgegeben werden. Ganz gleich, ob sich Ihre Benutzer direkt oder über einen Drittanbieter anmelden, alle Mitglieder Ihres Benutzerpools haben ein Verzeichnisprofil, auf das Sie über ein SDK zugreifen können.
Mit einem Identitäten-Pool können Ihre Benutzer temporäre AWS-Anmeldeinformationen für den Zugriff auf AWS-Services wie etwa Amazon S3 und DynamoDB. erhalten. Identitäten-Pools unterstützen anonyme Gastbenutzer sowie einen Verbund durch Drittanbieter-IdPs.
Themen
- Authentifizierung über einen Benutzerpool
- Zugriff auf Ihre serverseitigen Ressourcen mit einem Benutzerpool
- Zugriff auf Ressourcen mit API Gateway und Lambda mit einem Benutzerpool
- Zugriff auf AWS-Services mit einem Benutzerpool und einem Identitätspool
- Authentifizierung über einen Drittanbieter und Zugriff auf AWS-Services über einen Identitätspool
- Zugriff auf AWS AppSync-Ressourcen mit Amazon Cognito
Authentifizierung über einen Benutzerpool
Sie können Ihren Benutzern ermöglichen, sich mit einem Benutzerpool zu authentifizieren. Ihre App-Benutzer können sich entweder direkt über einen Benutzerpool anmelden oder sich über einen externen Identitätsanbieter (IdP) verbinden. Der Benutzerpool verwaltet den Aufwand für die Verarbeitung der Token, die von der sozialen Anmeldung über Facebook, Google, Amazon und Apple sowie von OpenID Connect (OIDC) und SAML-IdPs zurückgegeben werden.
Nach einer erfolgreichen Authentifizierung erhält Ihre Web- oder mobilen Anwendungs-Nutzerpool-Token von Amazon Cognito. Sie können mit diesen Token AWS-Anmeldeinformationen abrufen, mit denen Ihre App auf andere AWS-Services zugreifen kann, oder Sie können damit den Zugriff auf Ihre serverseitigen Ressourcen oder auf Amazon API Gateway kontrollieren.
Weitere Informationen erhalten Sie unter Ablauf der Authentifizierung in Benutzerpools und Verwenden von Token mit Benutzerpools.
Zugriff auf Ihre serverseitigen Ressourcen mit einem Benutzerpool
Nach einer erfolgreichen Benutzerpool-Anmeldung erhält Ihre Web- oder Mobil-App-Benutzerpool-Token von Amazon Cognito. Sie können mithilfe dieser Token den Zugriff auf Ihre serverseitigen Ressourcen kontrollieren. Sie können auch Benutzerpoolgruppen erstellen, um Berechtigungen zu verwalten und verschiedene Arten von Benutzern darzustellen. Weitere Informationen über die Verwendung von Gruppen zum Steuern des Zugriffs auf Ihre Ressourcen finden Sie unter Hinzufügen von Gruppen zu einem Benutzerpool.
Nachdem eine Domäne für Ihren Benutzerpool konfiguriert wurde, stellt Amazon Cognito eine gehostete Web-Benutzeroberfläche bereit, die Ihnen das Hinzufügen von Registrierungs- und Anmeldeseiten für Ihre App erlaubt. Mit dieser OAuth-2.0-Grundlage können Sie einen eigenen Ressourcenserver erstellen, damit Ihre Benutzer auf geschützte Ressourcen zugreifen können. Weitere Informationen finden Sie unter OAuth-2.0-Bereiche und API-Autorisierung mit Ressourcenservern.
Weitere Informationen über die Benutzerpool-Authentifizierung finden Sie unter Ablauf der Authentifizierung in Benutzerpools und Verwenden von Token mit Benutzerpools.
Zugriff auf Ressourcen mit API Gateway und Lambda mit einem Benutzerpool
Sie können Benutzern ermöglichen, über API Gateway auf Ihre API zuzugreifen. API Gateway validiert die Tokens aus einer erfolgreichen Benutzerpool-Authentifizierung und gewährt damit Ihren Benutzern den Zugriff auf Ressourcen, darunter Lambda-Funktionen oder Ihre eigene API.
Sie können Gruppen in einem Benutzerpool verwenden, um Berechtigungen für API Gateway zu steuern, indem Sie die Gruppenmitgliedschaft mit IAM-Rollen abgleichen. Die Gruppen, bei denen ein Benutzer ein Mitglied ist, werden in das ID-Token eingeschlossen, das von einem Benutzerpool zur Verfügung gestellt, wenn sich Ihr App-Benutzer anmeldet. Weitere Informationen zu Benutzerpoolgruppen finden Sie unter Hinzufügen von Gruppen zu einem Benutzerpool.
Sie können Ihre Benutzerpool-Tokens mit einer Anfrage an API Gateway übermitteln, damit diese von einer Amazon-Cognito-Authorizer-Lambda-Funktion verifiziert werden. Weitere Informationen zu API Gateway finden Sie unter Verwenden von API Gateway mit Amazon-Cognito-Benutzerpools.
Zugriff auf AWS-Services mit einem Benutzerpool und einem Identitätspool
Nach einer erfolgreichen Benutzerpool-Authentifizierung erhält Ihre App Benutzerpool-Token von Amazon Cognito. Sie können sie gegen temporären Zugriff auf andere AWS-Services mit einem Identitäten-Pool austauschen. Weitere Informationen erhalten Sie unter Zugriff auf AWS -Services über einen Identitäten-Pool nach der Anmeldung und Erste Schritte mit Amazon-Cognito-Identitätspools (Verbundidentitäten).
Authentifizierung über einen Drittanbieter und Zugriff auf AWS-Services über einen Identitätspool
Sie können Ihren Benutzern den Zugriff auf AWS-Services über einen Identitäten-Pool ermöglichen. Ein Identitäten-Pool erfordert ein IdP-Token von einem Benutzer, der von einem externen Identitätsanbieter authentifiziert wurde (bzw. nichts, wenn es sich um einen anonymen Gast handelt). Im Gegenzug gewährt der Identitäten-Pool temporäre AWS-Anmeldeinformationen, mit denen Sie auf andere AWS-Services zugreifen können. Weitere Informationen finden Sie unter Erste Schritte mit Amazon-Cognito-Identitätspools (Verbundidentitäten).
Zugriff auf AWS AppSync-Ressourcen mit Amazon Cognito
Sie können Ihren Benutzern mit den Tokens aus einer erfolgreichen Amazon-Cognito-Benutzerpool-Authentifizierung den Zugriff auf AWS AppSync-Ressourcen gewähren. Weitere Informationen finden Sie unter AMAZON_COGNITO_USER_POOLS-Autorisierung im AWS AppSync-Entwicklerhandbuch.
Sie können Anfragen an die AWS AppSync-GraphQL-API auch mit den IAM-Anmeldeinformationen signieren, die Sie aus einem Identitätspool erhalten. Weitere Informationen finden Sie unter AWS_IAM-Autorisierung.
