Bewährte Methoden für Mehrmandantenfähigkeit mit benutzerdefinierten Attributen - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für Mehrmandantenfähigkeit mit benutzerdefinierten Attributen

Amazon Cognito unterstützt benutzerdefinierte Attribute mit Namen, die Sie wählen. Ein Szenario, in dem benutzerdefinierte Attribute nützlich sind, ist, wenn sie die Tenance von Benutzern in einem gemeinsam genutzten Benutzerpool unterscheiden. Wenn Sie Benutzern einen Wert für ein Attribut wie zuweisencustom:tenantID, kann Ihre App den Zugriff auf mandantenspezifische Ressourcen entsprechend zuweisen. Ein benutzerdefiniertes Attribut, das eine Mandanten-ID definiert, sollte für den App-Client unveränderlich oder schreibgeschützt sein.

Das folgende Diagramm zeigt Mandanten, die sich einen App-Client und einen Benutzerpool teilen, wobei benutzerdefinierte Attribute im Benutzerpool den Mandanten angeben, zu dem sie gehören.

Ein Diagramm eines many-to-one Mehrmandantenmodells, bei dem jeder Benutzer sein eigenes Mandantenbenutzerattribut in einem gemeinsam genutzten Benutzerpool hat.

Wenn benutzerdefinierte Attribute das Mandantenverhältnis bestimmen, können Sie eine einzelne Anwendung verteilen oder sich anmelden. URL Nachdem sich Ihr Benutzer angemeldet hat, kann Ihre App den custom:tenantID Antrag bearbeiten und festlegen, welche Inhalte geladen werden sollen, welches Branding angewendet werden soll und welche Funktionen angezeigt werden sollen. Für erweiterte Entscheidungen zur Zugriffskontrolle anhand von Benutzerattributen richten Sie Ihren Benutzerpool als Identitätsanbieter in Amazon Verified Permissions ein und generieren Sie Zugriffsentscheidungen anhand der Inhalte von ID- oder Zugriffstoken.

Wann sollte Mehrmandantenfähigkeit mit benutzerdefinierten Attributen implementiert werden

Wenn das Mietverhältnis oberflächlich ist. Ein Mandantenattribut kann zu Branding- und Layoutergebnissen beitragen. Wenn Sie eine deutliche Isolierung zwischen Mandanten erreichen möchten, sind benutzerdefinierte Attribute nicht die beste Wahl. Jeder Unterschied zwischen Mandanten, die auf Benutzerpool- oder App-Client-Ebene konfiguriert werden müssen, wie z. B. MFA das Branding der gehosteten Benutzeroberfläche, erfordert, dass Sie Unterscheidungen zwischen Mandanten auf eine Weise vornehmen, die benutzerdefinierte Attribute nicht bieten. Bei Identitätspools können Sie sogar die IAM Rolle Ihrer Benutzer anhand des Anspruchs auf benutzerdefinierte Attribute in ihrem ID-Token auswählen.

Grad des Aufwands

Da die Mehrmandantenfähigkeit mit benutzerdefinierten Attributen die Pflicht, mandantenbasierte Autorisierungsentscheidungen zu treffen, auf Ihre App überträgt, ist der Aufwand in der Regel hoch. Wenn Sie sich bereits mit einer Client-Konfiguration, die OIDC Anträge analysiert, oder mit Amazon Verified Permissions auskennen, ist dieser Ansatz möglicherweise mit dem geringsten Aufwand verbunden.