Erste Schritte mit Amazon-Cognito-Identitätspools (Verbundidentitäten) - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Amazon-Cognito-Identitätspools (Verbundidentitäten)

Mit Amazon-Cognito-Identitäten-Pools können Sie eindeutige Identitäten erstellen und Benutzern Berechtigungen zuweisen. Ein Identitätspool kann folgende Elemente enthalten:

  • Benutzer in einem Amazon-Cognito-Benutzerpool

  • Benutzer, die die Authentifizierung mit externen Identitätsanbietern (z. B. Facebook, Google, Apple, OIDC- oder SAML-basierte Identitätsanbieter) durchführen.

  • Benutzer, die sich mit Ihrem eigenen vorhandenen Authentifizierungsablauf authentifizieren

Mit einem Identitäten-Pool können Sie temporäre AWS Anmeldeinformationen mit Berechtigungen erhalten, die Sie für den direkten Zugriff auf andere AWS-Services oder für den Zugriff auf Ressourcen über Amazon API Gateway definieren.

Erstellen eines Identitätspools in Amazon Cognito

Sie können einen Identitätspool über die Amazon-Cognito-Konsole erstellen oder die AWS Command Line Interface (CLI) oder die Amazon-Cognito-APIs verwenden.

So erstellen Sie einen neuen Identitäten-Pool in der Konsole
  1. Melden Sie sich bei der Amazon-Cognito-Konsole an und wählen Sie Identitätspools aus.

  2. Wählen Sie Identitätspool erstellen.

  3. Wählen Sie  unter Identitätspool-Vertrauen konfigurieren aus, ob Sie Ihren Identitätspool für authentifizierten Zugriff, Gastzugriff oder beides einrichten möchten.

    1. Wenn Sie Authentifizierter Zugriff ausgewählt haben, wählen Sie einen oder mehrere Identitätstypen aus, die Sie als Quelle für authentifizierte Identitäten in Ihrem Identitätspool festlegen möchten. Wenn Sie einen benutzerdefinierten Entwickleranbieter konfigurieren, können Sie diesen nicht ändern oder löschen, nachdem Sie Ihren Identitätspool erstellt haben.

  4. Wählen Sie unter Berechtigungen konfigurieren eine Standard-IAM-Rolle für authentifizierte Benutzer oder Gastbenutzer in Ihrem Identitätspool aus.

    1. Wählen Sie Neue IAM-Rolle erstellen, wenn Sie möchten, dass Amazon Cognito für Sie eine neue Rolle mit grundlegenden Berechtigungen und einer Vertrauensbeziehung zu Ihrem Identitätspool erstellt. Geben Sie einen IAM-Rollen-Namen ein, um Ihre neue Rolle zu identifizieren, zum Beispiel myidentitypool_authenticatedrole. Wählen Sie Richtliniendokument anzeigen aus, um die Berechtigungen zu überprüfen, die Amazon Cognito Ihrer neuen IAM-Rolle zuweist.

    2. Sie können eine vorhandene IAM-Rolle verwenden wählen, wenn Sie bereits über eine Rolle in Ihrem verfügen AWS-Konto , die Sie verwenden möchten. Sie müssen Ihre IAM-Rollen-Vertrauensrichtlinie so konfigurieren, dass sie cognito-identity.amazonaws.com beinhaltet. Konfigurieren Sie Ihre Rollen-Vertrauensrichtlinie so, dass Amazon Cognito die Rolle nur übernehmen kann, wenn nachgewiesen wird, dass die Anforderung von einem authentifizierten Benutzer in Ihrem spezifischen Identitätspool stammt. Weitere Informationen finden Sie unter Vertrauensstellungen und Berechtigungen für Rollen.

  5. Geben Sie unter Identitätsanbieter verbinden die Details der Identitätsanbieter (IdPs) ein, die Sie unter Identitätspool-Vertrauen konfigurieren ausgewählt haben. Möglicherweise werden Sie aufgefordert, OAuth-App-Client-Informationen anzugeben, einen Amazon-Cognito-Benutzerpool auszuwählen, einen IAM-IdP auszuwählen oder eine benutzerdefinierte ID für einen Entwickleranbieter einzugeben.

    1. Wählen Sie die Rolleneinstellungen für jeden IdP aus. Sie können Benutzern dieses IdPs die Standardrolle zuweisen, die Sie bei der Konfiguration Ihrer authentifizierten Rolle eingerichtet haben, oder die Rolle mit Regeln wählen. Mit einem Amazon-Cognito-Benutzerpool-IdP können Sie auch eine Rolle mit preferred_role in Token auswählen. Weitere Informationen zur cognito:preferred_role-Anforderung finden Sie unter Zuweisen von Prioritätswerten zu Gruppen.

      1. Wenn Sie Rolle mit Regeln wählen ausgewählt haben, geben Sie die Quell-Anforderung aus der Benutzerauthentifizierung, den Operator, mit dem Sie die Anforderung vergleichen möchten, den Wert, der zu einer Übereinstimmung mit dieser Rollenauswahl führt, und die Rolle ein, die Sie zuweisen möchten, wenn die Rollenzuweisung übereinstimmt. Wählen Sie Weitere hinzufügen aus, um eine zusätzliche Regel zu erstellen, die auf einer anderen Bedingung basiert.

      2. Wählen Sie eine Rollenauflösung. Wenn die Anforderungen Ihres Benutzers nicht Ihren Regeln entsprechen, können Sie Anmeldeinformationen verweigern oder Anmeldeinformationen für Ihre Authentifizierte Rolle ausgeben.

    2. Sie können Attribute für die Zugriffskontrolle für jeden IdP separat konfigurieren. Attribute für die Zugriffskontrolle ordnen Benutzeranforderungen den Prinzipal-Tags zu, die Amazon Cognito auf die temporäre Sitzung anwendet. Sie können IAM-Richtlinien erstellen, um den Benutzerzugriff anhand der Tags zu filtern, die Sie auf die jeweilige Sitzung anwenden.

      1. Um keine Prinzipal-Tags anzuwenden, wählen Sie Inaktiv aus.

      2. Wählen Sie Standardzuordnungen verwenden, um Prinzipal-Tags auf der Grundlage von sub- und aud-Anforderungen anzuwenden.

      3. Um Ihr eigenes benutzerdefiniertes Schema von Attributen für Prinzipal-Tags zu erstellen, wählen Sie Benutzerdefinierte Zuordnungen verwenden. Geben Sie dann einen Tag-Schlüssel ein, den Sie aus jeder Anforderung beziehen möchten, die Sie in einem Tag repräsentieren möchten.

  6. Geben Sie unter Eigenschaften konfigurieren unter Identitätspool-Name einen Namen ein.

  7. Wählen Sie unter Standardauthentifizierung (klassische Authentifizierung) aus, ob Sie den Standardablauf aktivieren möchten. Wenn der grundlegende Flow aktiv ist, können Sie die Rollenauswahl umgehen, die Sie für Ihr IdPs und Ihren AssumeRoleWithWebIdentity direkten Anruf getroffen haben. Weitere Informationen finden Sie unter Identitäten-Pools (Verbundidentitäten) – Authentifizierungsablauf.

  8. Wählen Sie unter Tags die Option Tag hinzufügen aus, wenn Sie Tags auf Ihren Identitätspool anwenden möchten.

  9. Bestätigen Sie unter Überprüfen und erstellen die Auswahl, die Sie für Ihren neuen Identitätspool getroffen haben. Wählen Sie Bearbeiten, um zum Assistenten zurückzukehren und Einstellungen zu ändern. Wählen Sie danach Identitätspool erstellen aus.

Einrichten eines SDK

Um Amazon Cognito-Identitätspools zu verwenden, richten Sie AWS SDK for Java, AWS Amplify die oder die ein AWS SDK for .NET. Weitere Informationen finden Sie unter den folgenden Themen.

Integrieren der Identitätsanbieter

Amazon-Cognito-Identitätspools (Verbundidentitäten) unterstützen die Benutzerauthentifizierung über Amazon-Cognito-Benutzerpools, verbundene Identitätsanbieter wie Amazon-, Facebook-, Google-, Apple- und SAML-Identitätsanbieter, sowie nicht authentifizierte Identitäten. Diese Funktion unterstützt auch Entwicklerauthentifizierte Identitäten (Identitätspools), mit denen Sie Benutzer über Ihren eigenen Backend-Authentifizierungsablauf registrieren und authentifizieren können.

Weitere Informationen zur Verwendung eines Amazon-Cognito-Benutzerpools zum Einrichten eines eigenen Benutzerverzeichnisses finden Sie unter Amazon-Cognito-Benutzerpools und Zugriff auf AWS -Services über einen Identitäten-Pool nach der Anmeldung.

Weitere Informationen zur Verwendung von externen Identitätsanbietern erhalten Sie unter Externe Identitätsanbieter von Identitäten-Pools.

Weitere Informationen zur Integration eines eigenen Backend-Authentifizierungsablaufs finden Sie unter Entwicklerauthentifizierte Identitäten (Identitätspools).

Abrufen von Anmeldeinformationen

Amazon Cognito-Identitätspools stellen temporäre AWS Anmeldeinformationen für Benutzer bereit, die Gäste (nicht authentifiziert) sind, und für Benutzer, die sich authentifiziert und ein Token erhalten haben. Mit diesen AWS Anmeldeinformationen kann Ihre App über Amazon API Gateway sicher auf ein Backend in AWS oder außerhalb AWS von zugreifen. Siehe Abrufen von Anmeldeinformationen.