Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden der eigenen Domäne für die gehostete Benutzeroberfläche
Nach dem Einrichten eines App-Clients können Sie Ihren Benutzerpool mit einer benutzerdefinierten Domäne für die in Amazon Cognito gehostete Benutzeroberfläche und Auth-API-Endpunkte konfigurieren. Mit einer benutzerdefinierten Domäne ermöglichen Sie den Benutzern, Ihre eigene Webadresse für die Anmeldung bei Ihrer Anwendung zu verwenden.
Themen
Hinzufügen einer benutzerdefinierten Domäne zu einem Benutzerpool
Zum Hinzufügen einer benutzerdefinierten Domäne zum Benutzerpool legen Sie den Domänennamen in der Amazon-Cognito-Konsole fest und stellen ein Zertifikat bereit, das Sie mit AWS Certificate Manager (ACM) verwalten. Wenn Sie die Domäne hinzugefügt haben, stellt Amazon Cognito ein Aliasziel zur Verfügung, das Sie zur DNS-Konfiguration hinzufügen.
Voraussetzungen
Bevor Sie anfangen, benötigen Sie:
-
Einen Benutzerpool mit einem App-Client. Weitere Informationen finden Sie unter Erste Schritte mit Benutzerpools.
-
Eine Web-Domäne, die Sie besitzen. Die übergeordnete Domain muss über einen gültigen A-Eintrag im DNS verfügen. Sie können diesem Datensatz einen beliebigen Wert zuweisen. Die übergeordnete Domain kann die Wurzel der Domain oder eine untergeordnete Domain sein, die in der Domainhierarchie eine Stufe höher ist. Wenn Ihre benutzerdefinierte Domain beispielsweise auth.xyz.example.com lautet, muss Amazon Cognito in der Lage sein, xyz.example.com in eine IP-Adresse aufzulösen. Damit versehentliche Auswirkungen auf die Kundeninfrastruktur verhindert werden, unterstützt Amazon Cognito die Verwendung von Top-Level-Domänen (TLDs) für benutzerdefinierte Domänen nicht. Weitere Informationen finden Sie unter Domänennamen
. -
Die Möglichkeit zum Erstellen einer Unterdomäne für die benutzerdefinierte Domäne. Wir empfehlen die Verwendung von auth als die Subdomäne. Zum Beispiel:
auth.example.com
.Anmerkung
Möglicherweise müssen Sie ein neues Zertifikat für die Subdomäne Ihrer benutzerdefinierten Domäne beschaffen, wenn Sie kein Platzhalterzertifikat (Wildcard Certificate
) haben. -
Ein von ACM verwaltetes Secure-Sockets-Layer-(SSL)-Zertifikat.
Anmerkung
Sie müssen die AWS Region in der ACM-Konsole auf USA Ost (Nord-Virginia) ändern, bevor Sie ein Zertifikat anfordern oder importieren können.
-
Eine Anwendung, die es Ihrem Benutzerpool-Autorisierungsserver ermöglicht, Cookies zu Benutzersitzungen hinzuzufügen. Amazon Cognito setzt mehrere erforderliche Cookies für die gehostete Benutzeroberfläche. Dies sind beispielsweise
cognito
,cognito-fl
undXSRF-TOKEN
. Obwohl jedes einzelne Cookie den Größenbeschränkungen des Browsers entspricht, können Änderungen an Ihrer Benutzerpool-Konfiguration dazu führen, dass gehostete UI-Cookies an Größe zunehmen. Ein Zwischendienst wie ein Application Load Balancer (ALB) vor Ihrer benutzerdefinierten Domain kann eine maximale Header-Größe oder Gesamtcookie-Größe erzwingen. Wenn Ihre Anwendung auch ihre eigenen Cookies setzt, können die Sitzungen Ihrer Benutzer diese Grenzwerte überschreiten. Um Konflikte mit Größenbeschränkungen zu vermeiden, empfehlen wir, dass Ihre Anwendung keine Cookies in der gehosteten UI-Subdomain setzt. -
Erlaubnis zur Aktualisierung von CloudFront Amazon-Distributionen. Fügen Sie hierzu die folgende IAM-Richtlinienanweisung einem Benutzer in Ihrem AWS-Konto an:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCloudFrontUpdateDistribution", "Effect": "Allow", "Action": [ "cloudfront:updateDistribution" ], "Resource": [ "*" ] } ] }
Weitere Informationen zur Autorisierung von Aktionen finden Sie unter Verwenden identitätsbasierter Richtlinien (IAM-Richtlinien) für. CloudFront CloudFront
Amazon Cognito verwendet zunächst Ihre IAM-Berechtigungen, um die CloudFront Verteilung zu konfigurieren, aber die Verteilung wird von verwaltet. AWS Sie können die Konfiguration der CloudFront Distribution, die Amazon Cognito Ihrem Benutzerpool zugeordnet hat, nicht ändern. Sie können also beispielsweise nicht die unterstützten TLS-Versionen in der Sicherheitsrichtlinie aktualisieren.
Schritt 1: Eingeben des benutzerdefinierten Domänennamens
Sie können dem Benutzerpool Ihre Domäne mithilfe der Amazon-Cognito-Konsole oder der API hinzufügen.
Schritt 2: Hinzufügen eines Alias-Ziels und einer Subdomäne
In diesem Schritt richten Sie einen Alias über Ihren Domain Name Server (DNS)-Serviceanbieter ein, der auf das Alias-Ziel aus dem vorherigen Schritt zurück verweist. Wenn Sie Amazon Route 53 für die DNS-Adresse Auflösung verwenden, wählen Sie den Abschnitt Hinzufügen eines Alias-Ziels und einer Subdomäne mit Route 53.
-
Wenn Sie nicht Route 53 für die DNS-Adressauflösung verwenden, müssen Sie die Konfigurationstools Ihres DNS-Serviceanbieters verwenden, um das Alias-Ziel aus dem vorherigen Schritt zum DNS-Datensatz Ihrer Domäne hinzuzufügen. Ihre DNS-Anbieter muss außerdem die Subdomäne für Ihre benutzerdefinierte Domäne einrichten.
-
Melden Sie sich bei der Route-53-Konsole
an. Geben Sie bei Aufforderung Ihre AWS -Anmeldeinformationen ein. -
Wenn Sie keine gehostete Zone in Route 53 haben, erstellen Sie eine mit einem Stamm, der Ihrer benutzerdefinierten Domain übergeordnet ist. Weitere Informationen finden Sie unter
-
Wählen Sie Create Hosted Zone.
-
Geben Sie beispielsweise die übergeordnete Domäne
auth.example.com
Ihrer benutzerdefinierten Domain ein oder beispielsweisemyapp.auth.example.com
aus der Liste Domänenname. -
Geben Sie eine Beschreibung für Ihre gehostete Zone ein.
-
Wählen Sie einen Typ einer gehosteten Zone aus Public hosted zone (Öffentliche gehostete Zone), damit öffentliche Clients die benutzerdefinierte Domäne auflösen können. Die Auswahl von Private hosted zone (Private gehostete Zone) wird nicht unterstützt.
-
Wenden Sie Tags wie gewünscht an.
-
Wählen Sie Erstellte gehostete Zone.
Anmerkung
Sie können auch eine neue gehostete Zone für Ihre benutzerdefinierte Domäne und einen Delegationssatz in der übergeordneten gehosteten Zone erstellen, der Abfragen an die gehostete Zone der Subdomäne weiterleitet. Andernfalls erstellen Sie einen A-Eintrag. Diese Methode bietet mehr Flexibilität und Sicherheit bei Ihren gehosteten Zonen. Weitere Informationen finden Sie unter Creating a subdomain for a domain hosted through Amazon Route 53
(Erstellen einer Subdomäne für eine über Amazon Route 53 gehostete Domäne).
-
-
Wählen Sie auf der Seite Hosted Zones (Gehostete Zonen) den Namen Ihrer gehosteten Zone aus.
-
Fügen Sie einen DNS-Eintrag für die übergeordnete Domain Ihrer benutzerdefinierten Domain hinzu, falls Sie noch keinen haben. Fügen Sie einen
A
DNS-Eintrag für die übergeordnete Domain hinzu und wählen Sie Einträge erstellen. Im Folgenden finden Sie ein Beispieldatensatz für die Domäneauth.example.com
.auth.example.com.
60 IN A198.51.100.1
Anmerkung
Amazon Cognito überprüft, dass es einen DNS-Datensatz für die übergeordnete Domäne Ihrer benutzerdefinierten Domäne gibt, um sich vor versehentlichem Hijacking von Produktionsdomänen zu schützen. Wenn Sie keinen DNS-Datensatz für die übergeordnete Domäne haben, gibt Amazon Cognito einen Fehler zurück, wenn Sie versuchen, die benutzerdefinierte Domäne festzulegen. Ein SOA-Eintrag (Start of Authority) ist kein ausreichender DNS-Eintrag für die Überprüfung der übergeordneten Domain.
-
Fügen Sie einen DNS-Eintrag für Ihre benutzerdefinierte Domain hinzu. Ihr Eintrag muss beispielsweise auf das Alias-Ziel der benutzerdefinierten Domain verweisen
123example.cloudfront.net
. Wählen Sie erneut Create record (Datensatz erstellen) aus. -
Geben Sie einen Datensatznamen ein, der zum Namen Ihrer benutzerdefinierten Domäne passt, beispielsweise
myapp
zum Erstellen eines Datensatzes fürmyapp.auth.example.com
. -
Aktivieren Sie die Option Alias.
-
Wählen Sie unter Route traffic to (Datenverkehr weiterleiten an) die Option Alias to Cloudfront distribution (Alias an Cloudfront Distribution) aus. Geben Sie das von Amazon Cognito bereitgestellte Alias-Ziel ein, nachdem Sie die benutzerdefinierte Domäne erstellt haben.
-
Wählen Sie Create records (Datensätze erstellen) aus.
Anmerkung
Es kann etwa 60 Sekunden dauern, bis Ihre neuen Datensätze auf alle Route-53-DNS-Server übertragen werden. Sie können die Route GetChange53-API-Methode verwenden, um zu überprüfen, ob Ihre Änderungen übernommen wurden.
Schritt 3: Überprüfen Ihrer Anmeldeseite
-
Stellen Sie sicher, dass die Anmeldeseite Ihrer benutzerdefinierten Domäne erreichbar ist.
Melden Sie sich bei Ihrer benutzerdefinierten Domäne und Subdomäne an, indem Sie diese Adresse in Ihren Browser eingeben. Dies ist eine Beispiel-URL der benutzerdefinierten Domäne
example.com
mit der Subdomäneauth
:https://
myapp
.auth
.example.com
/login?response_type=code&client_id=<your_app_client_id>
&redirect_uri=<your_callback_url>
Ändern des SSL-Zertifikats für die benutzerdefinierte Domäne
Falls erforderlich, können Sie mit Amazon Cognito das Zertifikat ändern, das Sie für Ihre benutzerdefinierte Domäne übernommen haben.
Im Falle der routinemäßigen Zertifikaterneuerung mit ACM ist dies in der Regel nicht notwendig. Wenn Sie das vorhandene Zertifikat in ACM erneuern, bleibt der ARN für Ihr Zertifikat gleich und die benutzerdefinierte Domäne verwendet automatisch das neue Zertifikat.
Wenn Sie jedoch das vorhandene Zertifikat durch ein neues ersetzen, gibt ACM dem neuen Zertifikat einen neuen ARN. Sie müssen diesen ARN an Amazon Cognito übermitteln, um das neue Zertifikat für den benutzerdefinierten Domänennamen zu übernehmen.
Nachdem Sie Ihr neues Zertifikat bereitgestellt haben, dauert es max. eine Stunde, bis Amazon Cognito das Zertifikat an die benutzerdefinierte Domäne verteilt hat.
Bevor Sie beginnen
Bevor Sie das Zertifikat in Amazon Cognito ändern können, müssen Sie es ACM hinzufügen. Weitere Informationen finden Sie unter Erste Schritte im AWS Certificate Manager -Benutzerhandbuch.
Wenn Sie Ihr Zertifikat zu ACM hinzufügen, müssen Sie als AWS -Region USA Ost (Nord-Virginia) auswählen.
Sie können das Zertifikat mit der Amazon-Cognito-Konsole oder der API ändern.