Agregar inicio de sesión de grupo de usuarios a través de un tercero - Amazon Cognito

Agregar inicio de sesión de grupo de usuarios a través de un tercero

Los usuarios de la aplicación pueden iniciar sesión directamente mediante un grupo de usuarios o federarse a través de un proveedor de identidades (IdP) externo. El grupo de usuarios administra la sobrecarga que supone controlar los tokens que se devuelven del el inicio de sesión social mediante Facebook, Google, Amazon y Apple, y desde los IdP OpenID Connect (OIDC) y SAML. Con la IU web alojada e incorporada, Amazon Cognito permite controlar y administrar los tokens de los usuarios autenticados por todos los proveedores de identidad. De esta forma, los sistemas backend pueden estandarizar un conjunto de tokens para los grupos de usuarios.

Cómo funciona el inicio de sesión federado en los grupos de usuarios de Amazon Cognito

El inicio de sesión a través de un tercero (federación) está disponible en los grupos de usuarios de Amazon Cognito. Esta característica es independiente de la federación a través de grupos de identidades de Amazon Cognito (identidades federadas).


                Información general sobre la autenticación con inicio de sesión por redes sociales

Amazon Cognito es un directorio de usuarios y un proveedor de identidades (IdP) de OAuth 2.0. Cuando registre usuarios nativos en el directorio de Amazon Cognito, el grupo de usuarios es un IdP de la aplicación. Los usuarios nativos son aquellos que se registran o que el administrador crea directamente en el grupo de usuarios.

Cuando conecta Amazon Cognito a IdP de redes sociales, SAML u OpenID Connect (OIDC), su grupo de usuarios actúa como puente entre varios proveedores de servicios y su aplicación. Para su IdP, Amazon Cognito es un proveedor de servicios (SP). Sus IdP transfieren un token de ID OIDC o una afirmación SAML a Amazon Cognito. Amazon Cognito lee las afirmaciones sobre su usuario en el token o afirmación y las asigna a un nuevo perfil de usuario del directorio del grupo de usuarios.

A continuación, Amazon Cognito crea un perfil de usuario para el usuario federado en su propio directorio. Amazon Cognito agrega atributos a su usuario en función de las notificaciones de su IdP de identidad y, en el caso de OIDC y proveedores de identidad social, un punto de conexión userinfo operado por IDP. Los atributos de usuario cambian en el grupo de usuarios cuando cambia un atributo de IdP asignado. También puede agregar más atributos independientes de los del IdP.

Una vez que Amazon Cognito crea un perfil para el usuario federado, cambia su función y se presenta como IdP de su aplicación, que ahora es el SP. Amazon Cognito es una combinación de proveedor de identidad de OAuth 2.0 de OIDC. Genera tokens de acceso, tokens de ID y tokens de actualización. Para obtener más información acerca de los tokens, consulte Uso de tokens con grupos de usuarios.

Debe diseñar una aplicación que se integre con Amazon Cognito para autenticar y autorizar a sus usuarios, federados o nativos.

Responsabilidades de una aplicación como Amazon Cognito SP

Verificar y procesar la información de los tokens

En la mayoría de los casos, Amazon Cognito redirige al usuario autenticado a una URL de aplicación que agrega con un código de autorización. Su aplicación intercambia el código para tokens de acceso, ID y actualización. Entonces, debe comprobar la validez de los tokens y enviar información a su usuario en función de las afirmaciones de los tokens.

Responder a eventos de autenticación con solicitudes de API de Amazon Cognito

La aplicación debe integrarse con la API de grupos de usuarios de Amazon Cognito y lospuntos de conexión de la API de autenticación. La API de autenticación inicia y cierra sesión para el usuario y administra tokens. La API de grupos de usuarios tiene diversas operaciones que administran el grupo de usuarios, los usuarios y la seguridad del entorno de autenticación. La aplicación debe saber qué hacer a continuación cuando reciba una respuesta de Amazon Cognito.

Información que debe saber sobre los grupos de usuarios de Amazon Cognito: inicio de sesión de terceros