À propos de la fédération d'identité web
Supposons que vous vouliez créer une application mobile qui accède à des ressources AWS telles qu'un jeu qui s'exécute sur un appareil mobile et enregistre les informations relatives aux joueurs et aux scores à l'aide d'Amazon S3 et de DynamoDB.
Lors de la création de cette application, vous envoyez aux services AWS des demandes qui doivent être signées à l'aide d'une clé d'accès AWS. Toutefois, nous vous recommandons fortement de ne pas intégrer ou distribuer d'informations d'identification AWS à long terme avec des applications qu'un utilisateur télécharge sur un appareil, y compris à partir d'un magasin chiffré. Il est préférable de créer l'application de façon à ce que celle-ci demande des informations d'identification de sécurité AWS temporaires de manière dynamique, si nécessaire, à l'aide de la fédération d'identité web. Les informations d'identification temporaires sont mappées à un rôle AWS qui dispose uniquement des autorisations nécessaires pour exécuter les tâches requises par l'application mobile.
Lors de l'utilisation de la fédération d'identité web, il n'est pas nécessaire de créer de code de connexion personnalisé ni de gérer vos propres identités utilisateur. Au lieu de cela, les utilisateurs de votre application peuvent se connecter à l'aide d'un fournisseur d'identité externe (IdP) connu tel que Login with Amazon, Facebook, Google, ou tout autre IdP compatible avec OpenID Connect (OIDC)
Pour la plupart des scénarios, il est recommandé d'utiliser Amazon Cognito
Si vous n'utilisez pas Amazon Cognito, vous devez écrire le code qui interagit avec un IdP web, tel que Facebook, puis appelle l'API AssumeRoleWithWebIdentity pour échanger le jeton d'authentification fourni par l'IdP afin d'obtenir des informations d'identification de sécurité temporaires AWS. Si vous avez déjà utilisé cette méthode pour des applications existantes, vous pouvez continuer à procéder ainsi.
Rubriques
