Agregar inicio de sesión de grupo de usuarios a través de un tercero - Amazon Cognito
Cómo funciona el inicio de sesión federado en los grupos de usuarios de Amazon CognitoLas responsabilidades de una aplicación como proveedor de servicios con Amazon CognitoInformación que debe saber sobre los grupos de usuarios de Amazon Cognito: inicio de sesión de terceros

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Agregar inicio de sesión de grupo de usuarios a través de un tercero

Los usuarios de la aplicación pueden iniciar sesión directamente mediante un grupo de usuarios o federarse a través de un proveedor de identidades (IdP) externo. El grupo de usuarios gestiona la sobrecarga de gestión de los tokens que se devuelven al iniciar sesión en redes sociales a través de Facebook, Google, Amazon y Apple, y desde OpenID Connect (OIDC) y SAML. IdPs Con la interfaz de usuario web alojada integrada, Amazon Cognito permite gestionar y gestionar los tokens de todos los usuarios autenticados. IdPs De esta forma, los sistemas backend pueden estandarizar un conjunto de tokens para los grupos de usuarios.

Cómo funciona el inicio de sesión federado en los grupos de usuarios de Amazon Cognito

El inicio de sesión a través de un tercero (federación) está disponible en los grupos de usuarios de Amazon Cognito. Esta característica es independiente de la federación a través de grupos de identidades de Amazon Cognito (identidades federadas).

Información general sobre la autenticación con inicio de sesión por redes sociales

Amazon Cognito es un directorio de usuarios y un proveedor de identidades (IdP) de OAuth 2.0. Cuando registre usuarios locales en el directorio de Amazon Cognito, el grupo de usuarios es un IdP de la aplicación. Un usuario local existe exclusivamente en el directorio del grupo de usuarios sin federación a través de un IdP externo.

Cuando conecta Amazon Cognito a las redes sociales, SAML u OpenID Connect (OIDC IdPs), su grupo de usuarios actúa como un puente entre varios proveedores de servicios y su aplicación. Para su IdP, Amazon Cognito es un proveedor de servicios (SP). Debe IdPs pasar un token de ID de OIDC o una afirmación de SAML a Amazon Cognito. Amazon Cognito lee las afirmaciones sobre su usuario en el token o afirmación y las asigna a un nuevo perfil de usuario del directorio del grupo de usuarios.

A continuación, Amazon Cognito crea un perfil de usuario para el usuario federado en su propio directorio. Amazon Cognito agrega atributos a su usuario en función de las notificaciones de su IdP de identidad y, en el caso de OIDC y proveedores de identidad social, un punto de conexión userinfo operado por IDP. Los atributos de usuario cambian en el grupo de usuarios cuando cambia un atributo de IdP asignado. También puede agregar más atributos independientes de los del IdP.

Una vez que Amazon Cognito crea un perfil para el usuario federado, cambia su función y se presenta como IdP de su aplicación, que ahora es el SP. Amazon Cognito es una combinación de proveedor de identidad de OAuth 2.0 de OIDC. Genera tokens de acceso, tokens de ID y tokens de actualización. Para obtener más información acerca de los tokens, consulte Uso de tokens con grupos de usuarios.

Debe diseñar una aplicación que se integre con Amazon Cognito para autenticar y autorizar a los usuarios, federados o locales.

Las responsabilidades de una aplicación como proveedor de servicios con Amazon Cognito

Verificar y procesar la información de los tokens

En la mayoría de los casos, Amazon Cognito redirige al usuario autenticado a una URL de aplicación que agrega con un código de autorización. Su aplicación intercambia el código para tokens de acceso, ID y actualización. Entonces, debe comprobar la validez de los tokens y enviar información a su usuario en función de las afirmaciones de los tokens.

Responder a eventos de autenticación con solicitudes de API de Amazon Cognito

La aplicación debe integrarse con la API de grupos de usuarios de Amazon Cognito y lospuntos de conexión de la API de autenticación. La API de autenticación inicia y cierra sesión para el usuario y administra tokens. La API de grupos de usuarios tiene diversas operaciones que administran el grupo de usuarios, los usuarios y la seguridad del entorno de autenticación. La aplicación debe saber qué hacer a continuación cuando reciba una respuesta de Amazon Cognito.

Información que debe saber sobre los grupos de usuarios de Amazon Cognito: inicio de sesión de terceros

  • Si desea que los usuarios inicien sesión con proveedores federados, debe elegir un dominio. Esto configura la interfaz de usuario alojada de Amazon Cognito y los puntos de conexión de interfaz de usuario y puntos de conexión de OIDC. Para obtener más información, consulte Uso de un dominio propio con la IU alojada.

  • No puede iniciar sesión con usuarios federados con operaciones de API como y. InitiateAuthAdminInitiateAuth Los usuarios federados solo pueden iniciar sesión con el Punto de conexión Login o el Autorizar punto de conexión.

  • El Autorizar punto de conexión es un punto de conexión de redirección. Si proporciona un parámetro idp_identifier o identity_provider en su solicitud, se redirige silenciosamente a su IdP, omitiendo la interfaz de usuario alojada. De lo contrario, se redirige al Punto de conexión Login de la interfaz de usuario alojada. Para ver un ejemplo, consulte Escenario de ejemplo: marcar aplicaciones de Amazon Cognito en un panel empresarial.

  • Cuando la IU alojada redirige una sesión a un IdP federado, Amazon Cognito incluye el encabezado de user-agent Amazon/Cognito en la solicitud.

  • Amazon Cognito deriva el atributo username de un perfil de usuario federado a partir de una combinación de un identificador fijo y el nombre de su IdP. Para generar un nombre de usuario que coincida con sus requisitos personalizados, cree una asignación al atributo preferred_username. Para obtener más información, consulte Cuestiones que debe saber acerca de los mapeos.

    Ejemplo: MyIDP_bob@example.com

  • Amazon Cognito registra información sobre la identidad de su usuario federado en un atributo y una notificación en el token de ID, llamada identities. Esta notificación contiene el proveedor de su usuario y su ID exclusivo del proveedor. No se puede cambiar el atributo identities en un perfil de usuario directamente. Para obtener más información acerca de cómo vincular un usuario federado, consulte Vinculación de usuarios federados a un perfil de usuario existente.

  • Cuando actualice su IdP en una solicitud de API UpdateIdentityProvider, los cambios pueden tardar hasta un minuto en aparecer en la interfaz de usuario alojada.

  • Amazon Cognito admite hasta 20 redireccionamientos HTTP entre él y su IdP.

  • Cuando el usuario inicia sesión con la interfaz de usuario alojada, el navegador almacena una cookie de inicio de sesión cifrada que registra el cliente y el proveedor con los que ha iniciado sesión. Si intentan iniciar sesión de nuevo con los mismos parámetros, la interfaz de usuario alojada reutiliza cualquier sesión existente que no haya caducado y el usuario se autentica sin volver a proporcionar las credenciales. Si el usuario vuelve a iniciar sesión con un IdP diferente, incluido un cambio hacia o desde el inicio de sesión del grupo de usuarios local, debe proporcionar las credenciales y generar una nueva sesión de inicio de sesión.

    Puedes asignar cualquier parte de tu grupo de usuarios IdPs a cualquier cliente de aplicaciones, y los usuarios solo pueden iniciar sesión con un IdP que hayas asignado a su cliente de aplicaciones.

Temas