Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon Cognito unterstützt benutzerdefinierte Attribute mit Namen, die Sie wählen. Ein Szenario, in dem benutzerdefinierte Attribute nützlich sind, ist, wenn sie die Tenance von Benutzern in einem gemeinsam genutzten Benutzerpool unterscheiden. Wenn Sie Benutzern einen Wert für ein Attribut wie zuweisencustom:tenantID, kann Ihre App den Zugriff auf mandantenspezifische Ressourcen entsprechend zuweisen. Ein benutzerdefiniertes Attribut, das eine Mandanten-ID definiert, sollte für den App-Client unveränderlich oder schreibgeschützt sein.
Das folgende Diagramm zeigt Mandanten, die sich einen App-Client und einen Benutzerpool teilen, wobei benutzerdefinierte Attribute im Benutzerpool den Mandanten angeben, zu dem sie gehören.
Wenn benutzerdefinierte Attribute die Mandantenfähigkeit bestimmen, können Sie eine einzelne Anwendungs- oder Anmelde-URL verteilen. Nachdem sich Ihr Benutzer angemeldet hat, kann Ihre App den custom:tenantID Antrag bearbeiten und festlegen, welche Inhalte geladen werden sollen, welches Branding angewendet werden soll und welche Funktionen angezeigt werden sollen. Für erweiterte Entscheidungen zur Zugriffskontrolle anhand von Benutzerattributen richten Sie Ihren Benutzerpool als Identitätsanbieter in Amazon Verified Permissions ein und generieren Sie Zugriffsentscheidungen anhand der Inhalte von ID- oder Zugriffstoken.
Wann sollte Mehrmandantenfähigkeit mit benutzerdefinierten Attributen implementiert werden
Wenn das Mietverhältnis oberflächlich ist. Ein Mandantenattribut kann zu Branding- und Layoutergebnissen beitragen. Wenn Sie eine deutliche Isolierung zwischen Mandanten erreichen möchten, sind benutzerdefinierte Attribute nicht die beste Wahl. Jeder Unterschied zwischen Mandanten, die auf Benutzerpool- oder App-Client-Ebene konfiguriert werden müssen, wie MFA oder Branding für gehostete Benutzeroberflächen, erfordert, dass Sie Unterscheidungen zwischen Mandanten auf eine Weise erstellen, die benutzerdefinierte Attribute nicht bieten. Bei Identitätspools können Sie sogar die IAM-Rolle Ihrer Benutzer aus dem Anspruch auf benutzerdefinierte Attribute in ihrem ID-Token auswählen.
Grad des Aufwands
Da die Mehrmandantenfähigkeit mit benutzerdefinierten Attributen die Pflicht, mandantenbasierte Autorisierungsentscheidungen zu treffen, auf Ihre App überträgt, ist der Aufwand in der Regel hoch. Wenn Sie sich bereits mit einer Client-Konfiguration auskennen, die OIDC-Anträge analysiert, oder mit Amazon Verified Permissions, ist dieser Ansatz möglicherweise mit dem geringsten Aufwand verbunden.
