Hinzufügen von Social Sign-in zu einem Benutzerpool (optional) - Amazon Cognito
Registrieren mit einem Social-Identity-AnbieterHinzufügen eines Social-Identity-Anbieters zu Ihrem BenutzerpoolTesten der Konfiguration Ihres Social-Identity-Anbieters

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hinzufügen von Social Sign-in zu einem Benutzerpool (optional)

Sie können Ihren App-Benutzern ermöglichen, sich über einen Social Identity-Anbieter (IdP) wie beispielsweise Facebook, Google, Amazon oder Apple anzumelden. Unabhängig davon, ob Ihre Benutzer sich direkt oder über einen Drittanbieter anmelden, haben alle Benutzer ein Benutzerprofil im Benutzerpool. Überspringen Sie diesen Schritt, wenn keine Anmeldung über einen Social-Anmeldungsidentitätsanbieter hinzufügen möchten.

Registrieren mit einem Social-Identity-Anbieter

Bevor Sie einen soziale IdP mit Amazon Cognito anlegen, müssen Sie Ihre Anwendung bei dem sozialen IdP registrieren, um eine Kunden-ID und einen geheimen Client-Schlüssel zu erhalten.

  1. Erstellen Sie ein Entwickler-Konto bei Facebook.

  2. Melden Sie sich mit Ihren Facebook-Anmeldeinformationen an.

  3. Wählen Sie im Menü My Apps (Meine Apps) den Eintrag Create New App (Neue App erstellen).

    Wenn du noch keine Facebook-App hast, wird dir eine andere Option angezeigt. Wählen Sie Create app (App erstellen).

  4. Wählen Sie auf der Seite zum Erstellen einer App einen Anwendungsfall für Ihre App aus und klicken Sie dann auf Next (Weiter).

  5. Geben Sie einen Namen für Ihre Facebook-App ein und wählen Sie dann Create App (App erstellen) aus.

  6. Wählen Sie in der linken Navigationsleiste App Settings (App-Einstellungen) und klicken Sie dann auf Basic (Grundlegend).

  7. Notieren Sie die App ID und das App Secret (Geheimer Schlüssel für die App). Sie brauchen diese Informationen im nächsten Abschnitt.

  8. Wählen Sie unten auf der Seite + Add Platform (+ Plattform hinzufügen).

  9. Wählen Sie auf dem Bildschirm „Plattform auswählen“ Ihre Plattformen aus und klicken Sie dann auf Weiter.

  10. Wählen Sie Save Changes.

  11. Geben Sie für App Domains (App-Domänen) Ihre Benutzerpool-Domäne ein.

    https://your_user_pool_domain

  12. Wählen Sie Save Changes.

  13. Wählen Sie in der Navigationsleiste „Produkte“ und anschließend „Über Facebook-Anmeldung konfigurieren“ aus.

  14. Wählen Sie im Menü Facebook Login (Facebook-Anmeldung) unter Configure (Konfigurieren) die Option Settings (Einstellungen) aus.

    Geben Sie Ihre Umleitungs-URL in Valid OAuth Redirect URIs (Gültige Umleitungs-URIs für OAuth) ein. Die Weiterleitungs-URL besteht aus Ihrer Benutzerpool-Domain mit dem /oauth2/idpresponse Endpunkt.

    https://your_user_pool_domain/oauth2/idpresponse

  15. Wählen Sie Save Changes.

  1. Erstellen Sie ein Entwickler-Konto bei Amazon.

  2. Melden Sie sich mit Ihren Amazon-Anmeldeinformationen an.

  3. Sie müssen ein Amazon Sicherheitsprofil erstellen, um die Amazon-Client-ID und den geheimen Client-Schlüssel zu erhalten.

    Wählen Sie in der Navigationsleiste oben auf der Seite Apps und Dienste aus und wählen Sie dann Login with Amazon aus.

  4. Wählen Sie Create a Security Profile (Ein Sicherheitsprofil erstellen) aus.

  5. Geben Sie einen Security Profile Name (Sicherheitsprofilnamen), eine Security Profile Description (Sicherheitsprofilbeschreibung) und eine Consent Privacy Notice URL (URL zur Zustimmung zum Datenschutzhinweis) ein.

  6. Wählen Sie Save (Speichern) aus.

  7. Wählen Sie Client ID (Client-ID) und Client Secret (Clientschlüssel), um die Client-ID und den Clientschlüssel anzuzeigen. Sie brauchen diese Informationen im nächsten Abschnitt.

  8. Bewegen Sie den Mauszeiger über das Zahnrad, wählen Sie Web Settings (Web-Einstellungen) und dann Edit (Bearbeiten) aus.

  9. Geben Sie Ihre Benutzerpool-Domäne in Allowed Origins (Autorisierte Quellen) ein.

    https://<your-user-pool-domain>

  10. Geben Sie Ihre Benutzerpool-Domäne mit dem /oauth2/idpresponse-Endpunkt in Allowed Return URLs (Zulässige Rückgabe-URLs) ein.

    https://<your-user-pool-domain>/oauth2/idpresponse

  11. Wählen Sie Save (Speichern) aus.

Weitere Informationen über OAuth 2.0 auf der Google-Cloud-Plattform finden Sie unter Erfahren Sie mehr über Authentifizierung und Autorisierung in der Dokumentation zu Google Workspace für Entwickler.

  1. Erstellen Sie ein Entwickler-Konto bei Google.

  2. Melden Sie sich bei der Konsole für Google Cloud Platform an.

  3. Klicken Sie in der oberen Navigationsleiste auf Select a project (Projekt auswählen). Wenn Sie bereits ein Projekt auf der Google-Plattform haben, zeigt dieses Menü stattdessen Ihr Standardprojekt an.

  4. Wählen Sie NEW PROJECT (NEUES PROJEKT) aus.

  5. Geben Sie einen Namen für Ihr Projekt ein und wählen Sie dann CREATE (ERSTELLEN) aus.

  6. Wählen Sie in der linken Navigationsleiste APIs and Services und anschließend Oauth-Zustimmungsbildschirm aus.

  7. Geben Sie die App-Informationen, eine App-Domain, autorisierte Domains und Kontaktinformationen für Entwickler ein. Ihre autorisierten Domains müssen amazoncognito.com den Stamm Ihrer benutzerdefinierten Domain enthalten. Zum Beispiel: example.com. Wählen Sie SAVE AND CONTINUE (SPEICHERN UND FORTFAHREN) aus.

  8. 1. Wählen Sie unter Bereiche die Option Bereiche hinzufügen oder entfernen und wählen Sie dann mindestens die folgenden OAuth-Bereiche aus.

    1. .../auth/userinfo.email

    2. .../auth/userinfo.profile

    3. openid

  9. Wählen Sie unter Test users (Testbenutzer) die Option Add users (Benutzer hinzufügen) aus. Geben Sie Ihre E-Mail-Adresse und alle anderen autorisierten Testbenutzer ein und wählen Sie dann SPEICHERN UND FORTFAHREN.

  10. Erweitern Sie die linke Navigationsleiste erneut, wählen Sie APIs and Services und dann Credentials aus.

  11. Wählen Sie CREATE CREDENTIALS und wählen Sie dann OAuth-Client-ID aus.

  12. Wählen Sie einen Application type (Anwendungstyp) aus und geben Sie Ihrem Client im Feld Name (Name) einen Namen.

  13. Wählen Sie unter Autorisierte JavaScript Ursprünge die Option URI HINZUFÜGEN aus. Geben Sie Ihre Benutzerpool-Domäne ein.

    https://<your-user-pool-domain>

  14. Wählen Sie unter Authorized redirect URIs (Autorisierte Umleitungs-URIs) die Option ADD URI (URI HINZUFÜGEN) aus. Geben Sie den Pfad zum Endpunkt /oauth2/idpresponse Ihrer Benutzerpool-Domäne ein.

    https://<your-user-pool-domain>/oauth2/idpresponse

  15. Wählen Sie CREATE (Erstellen) aus.

  16. Bewahren Sie die Werte sicher auf, die Google unter Ihre Client-ID und Ihr Client-Schlüssel anzeigt. Stellen Sie diese Werte Amazon Cognito zur Verfügung, wenn Sie einen Google-IDP hinzufügen.

Weitere Informationen zur Einrichtung von „Mit Apple anmelden“ finden Sie unter Konfigurieren Ihrer Umgebung für „Mit Apple anmelden“ in der Apple-Dokumentation für Entwickler.

  1. Erstellen Sie ein Entwickler-Konto bei Apple.

  2. Melden Sie sich mit Ihren Apple-Anmeldeinformationen an.

  3. Wählen Sie in der linken Navigationsleiste Certificates, Identifiers & Profiles (Zertifikate, IDs und Profile) aus.

  4. Wählen Sie in der linken Navigationsleiste Kennungen aus.

  5. Wählen Sie auf der Seite Kennungen das Symbol + aus.

  6. Wählen Sie auf der Seite Neue Kennung registrieren die Option App-IDs und dann Weiter aus.

  7. Wählen Sie auf der Seite Typ auswählen die Option App und dann Weiter aus.

  8. Machen Sie auf der Seite Registrieren einer App-ID das Folgende:

    1. Geben Sie unter Description (Beschreibung) eine Beschreibung ein.

    2. Geben Sie unter App ID Prefix (App-ID-Präfix) eine Bundle ID (Bündel-ID) ein. Notieren Sie sich den Wert unter App ID Prefix (App-ID-Präfix). Sie benötigen diesen Wert, nachdem Sie Apple als Identitätsanbieter in Schritt 2: Hinzufügen eines Social-Identity-Anbieters zu Ihrem Benutzerpool ausgewählt haben.

    3. Wählen Sie unter Funktionen die Option Mit Apple anmelden und dann Bearbeiten aus.

    4. Wählen Sie auf der Seite Sign in with Apple: App ID Configuration (Mit Apple anmelden: App-ID-Konfiguration) aus, ob Sie die App entweder als primär oder mit anderen App-IDs gruppiert einrichten möchten. Klicken Sie dann auf Save (Speichern).

    5. Klicken Sie auf Continue.

  9. Wählen Sie auf der Seite App-ID bestätigen die Option Registrieren aus.

  10. Wählen Sie auf der Seite Kennungen das Symbol + aus.

  11. Wählen Sie auf der Seite Neue Kennung registrieren die Option Services-IDs und dann Weiter aus.

  12. Machen Sie auf der Seite Registrieren einer Service-ID das Folgende:

    1. Geben Sie unter Description (Beschreibung) eine Beschreibung ein.

    2. Geben Sie unter Identifier (ID) eine ID ein. Notieren Sie sich diese Dienste-ID, da Sie diesen Wert benötigen, nachdem Sie Apple als Identitätsanbieter in ausgewählt habenSchritt 2: Hinzufügen eines Social-Identity-Anbieters zu Ihrem Benutzerpool.

    3. Wählen Sie Weiter und dann Registrieren aus.

  13. Wähle auf der Seite „Identifikatoren“ die Services-ID aus, die du gerade erstellt hast.

    1. Wählen Sie Mit Apple anmelden und dann Konfigurieren aus.

    2. Wählen Sie auf der Seite Web Authentication Configuration (Konfiguration der Web-Authentifizierung) die App-ID, die Sie zuvor erstellt haben, als Primary App ID (Primäre App-ID) aus.

    3. Wählen Sie neben Website URLs (Website-URLs) das Symbol + aus.

    4. Geben Sie unter Domains and subdomains (Domänen und Subdomänen) Ihre Benutzerpool-Domäne ohne das Präfix https:// ein.

      <your-user-pool-domain>

    5. Geben Sie unter Return URLs (URLs zurückgeben) den Pfad zum Endpunkt /oauth2/idpresponse Ihrer Benutzerpool-Domäne ein.

      https://<your-user-pool-domain>/oauth2/idpresponse

    6. Wählen Sie Weiter und dann Fertig. Sie müssen die Domäne nicht verifizieren.

    7. Wählen Sie Continue (Weiter) und anschließend Save (Speichern) aus.

  14. Wählen Sie in der linken Navigationsleiste die Option Schlüssel aus.

  15. Klicken Sie auf der Seite Schlüssel auf das Symbol +.

  16. Machen Sie auf der Seite Registrieren eines neuen Schlüssels das Folgende:

    1. Geben Sie unter Key Name (Schlüsselname) einen Schlüsselnamen ein.

    2. Wählen Sie Mit Apple anmelden und dann Konfigurieren aus.

    3. Wählen Sie auf der Seite „Schlüssel konfigurieren“ die App-ID, die Sie zuvor erstellt haben, als primäre App-ID aus. Wählen Sie Speichern.

    4. Wählen Sie Weiter und dann Registrieren aus.

  17. Wählen Sie auf der Seite „Ihren Schlüssel herunterladen“ die Option Herunterladen aus, um den privaten Schlüssel herunterzuladen, notieren Sie sich die angezeigte Schlüssel-ID und wählen Sie dann Fertig aus. Sie benötigen diesen privaten Schlüssel und den auf dieser Seite angezeigten Wert für die Schlüssel-ID, nachdem Sie Apple als Identitätsanbieter in Schritt 2: Hinzufügen eines Social-Identity-Anbieters zu Ihrem Benutzerpool ausgewählt haben.

Hinzufügen eines Social-Identity-Anbieters zu Ihrem Benutzerpool

In diesem Abschnitt konfigurieren Sie einen sozialen IdP unter Verwendung der Client-ID und des Client-Geheimnisses aus dem vorherigen Abschnitt im Benutzerpool.

Um einen Anbieter für soziale Identitäten für einen Benutzerpool zu konfigurieren, verwenden Sie AWS Management Console

  1. Melden Sie sich bei der Amazon-Cognito-Konsole an. Möglicherweise werden Sie zur Eingabe Ihrer AWS Anmeldeinformationen aufgefordert.

  2. Wählen Sie User Pools (Benutzerpools) aus.

  3. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder erstellen Sie einen neuen Benutzerpool.

  4. Wählen Sie die Registerkarte Sign-in experience (Anmeldeerlebnis) aus. Suchen Sie nach Federated sign-in (Verbundanmeldung) und wählen Sie Add an identity provider (Identitätsanbieter hinzufügen) aus.

  5. Wählen Sie einen Social-Identity-Anbieter aus: Facebook, Google, Login with Amazon oder Mit Apple anmelden.

  6. Wählen Sie basierend auf Ihrer Wahl des Social-Identity-Anbieters aus den folgenden Schritten:

    • Google und Login with Amazon — Geben Sie die App-Client-ID und das App-Client-Geheimnis ein, die im vorherigen Abschnitt generiert wurden.

    • Facebook — Geben Sie die App-Client-ID und das App-Client-Geheimnis ein, die im vorherigen Abschnitt generiert wurden, und wählen Sie dann eine API-Version aus (z. B. Version 2.12). Wir empfehlen, die neueste mögliche Version zu wählen — jede Facebook-API hat einen Lebenszyklus und ein Verfallsdatum. Facebook-Bereiche und Attribute können zwischen API-Versionen variieren. Wir empfehlen, Ihre Social-Identity-Anmeldung mit Facebook zu testen, um sicherzustellen, dass der Verband wie vorgesehen funktioniert.

    • Mit Apple anmelden — Gib die Service-ID, die Team-ID, die Schlüssel-ID und den privaten Schlüssel ein, die im vorherigen Abschnitt generiert wurden.

  7. Geben Sie die Namen der autorisierten Bereiche ein, die Sie verwenden möchten. Bereiche definieren, auf welche Benutzerattribute (wie z. B. name und email) mit Ihrer App zugreifen möchten. Für Facebook müssen diese durch Kommata voneinander getrennt werden. Für Google und "Login with Amazon (Anmelden mit Amazon)" müssen die Werte mit Leerzeichen getrennt werden. Aktivieren Sie für "Sign in with Apple (Mit Apple anmelden)" die Kontrollkästchen der Bereiche, auf die Sie Zugriff benötigen.

    Anbieter sozialer Identitäten Beispiel-Bereiche
    Facebook public_profile, email
    Google profile email openid
    Login with Amazon profile postal_code
    Mit Apple anmelden email name

    Der App-Benutzer wird aufgefordert, der Bereitstellung dieser Attribute für die App zuzustimmen. Weitere Informationen zu den jeweiligen Bereichen enthält die Dokumentation von Google, Facebook, Login with Amazon oder Mit Apple anmelden.

    Bei Verwendung von „Mit Apple anmelden“ werden Bereiche in den folgenden Benutzerszenarien unter Umständen nicht zurückgegeben:

    • Ein Endbenutzer stößt nach dem Verlassen der Anmeldeseite von Apple auf Fehler (diese können auf interne Fehler in Amazon Cognito oder auf vom Entwickler geschriebene Daten zurückzuführen sein).

    • Die Service-ID-ID wird in allen Benutzerpools und/oder anderen Authentifizierungsdiensten verwendet.

    • Ein Entwickler fügt zusätzliche Bereiche hinzu, nachdem sich der Benutzer angemeldet hat. Benutzer rufen neue Informationen nur ab, wenn sie sich authentifizieren und ihre Token aktualisieren.

    • Ein Entwickler löscht den Benutzer und der Benutzer meldet sich dann erneut an, ohne die App aus seinem Apple-ID-Profil zu entfernen.

  8. Ordnen Sie Ihrem Benutzerpool Attribute von Ihrem Identitätsanbieter zu. Weitere Informationen finden Sie unter Wissenswertes über Mappings.

  9. Wählen Sie Create (Erstellen) aus.

  10. Wählen Sie auf der Registerkarte App client integration (App-Client-Integration) einen der App-Clients aus der Liste aus und klicken Sie anschließend auf Edit hosted UI settings (Einstellungen für gehostete UI bearbeiten). Fügen Sie unter Identity providers (Identitätsanbieter) den neuen Social-Identity-Anbieter zum App-Client hinzu.

  11. Wählen Sie Save Changes.

Testen der Konfiguration Ihres Social-Identity-Anbieters

Unter Verwendung der Elemente aus den vorherigen zwei Abschnitten können Sie eine Anmelde-URL erstellen. Verwenden Sie sie zum Testen der Konfiguration Ihres sozialen IdP.


https://mydomain.us-east-1.amazoncognito.com/login?response_type=code&client_id=1example23456789&redirect_uri=https://www.example.com

Sie finden Ihre Domäne auf der Konsolenseite Domain name (Domänenname) für den Benutzerpool. Die Client-ID befindet sich auf der Registerkarte App client settings (App-Client-Einstellungen). Verwenden Sie Ihre Callback-URL für den redirect_uri-Parameter. Dies ist die URL der Seite, auf die Ihre Benutzer nach einer erfolgreichen Authentifizierung umgeleitet werden.

Anmerkung

Amazon Cognito bricht Authentifizierungsanfragen ab, die nicht innerhalb von 5 Minuten abgeschlossen werden, und leitet den Benutzer an die gehostete Benutzeroberfläche um. Für die Seite wird eine Something went wrong-Fehlermeldung angezeigt.