Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Groupes d’identités Amazon Cognito
Une réserve d'identités Amazon Cognito est un annuaire d'identités fédérées que vous pouvez échanger contre des informations d'identification AWS . Les pools d'identités génèrent des AWS informations d'identification temporaires pour les utilisateurs de votre application, qu'ils soient connectés ou que vous ne les ayez pas encore identifiés. Avec les rôles et les politiques AWS Identity and Access Management (IAM), vous pouvez choisir le niveau d'autorisation que vous souhaitez accorder à vos utilisateurs. Les utilisateurs peuvent commencer en tant qu'invités et récupérer les ressources que vous conservez dans les AWS services. Ils peuvent ensuite se connecter auprès d'un fournisseur d'identité tiers pour débloquer l'accès aux ressources que vous mettez à la disposition des membres enregistrés. Le fournisseur d'identité tiers peut être un fournisseur OAuth 2.0 grand public (social) tel qu'Apple ou Google, un fournisseur d'identité SAML ou OIDC personnalisé, ou un schéma d'authentification personnalisé, également appelé fournisseur de développement, de votre propre conception.
Fonctionnalités des réserves d’identités Amazon Cognito
- Signer des demandes pour AWS services
-
Signez des demandes d'API AWS services comme Amazon Simple Storage Service (Amazon S3) et Amazon DynamoDB. Analysez l'activité des utilisateurs avec des services tels qu'Amazon Pinpoint et Amazon. CloudWatch
- Filtrer les demandes avec des politiques basées sur les ressources
-
Exercez un contrôle précis sur l'accès des utilisateurs à vos ressources. Transformez les champs standard utilisateur en balises de session IAM et créez des politiques IAM qui accordent l'accès aux ressources à divers sous-ensembles de vos utilisateurs.
- Attribuer un accès invité
-
Pour vos utilisateurs qui ne se sont pas encore connectés, configurez votre réserve d'identités pour générer des informations d'identification AWS avec une étendue d'accès restreinte. Authentifiez les utilisateurs via un fournisseur d'authentification unique pour améliorer leur accès.
- Attribuer des rôles IAM en fonction des caractéristiques de l'utilisateur
-
Attribuez un rôle IAM unique à tous vos utilisateurs authentifiés ou choisissez le rôle en fonction des champs standard de chaque utilisateur.
- Accepter divers fournisseurs d'identité
-
Échangez un identifiant ou un jeton d'accès, un jeton de groupe d'utilisateurs, une assertion SAML ou un jeton OAuth du fournisseur social contre des informations d'identification. AWS
- Valider vos propres identités
-
Procédez à votre propre validation utilisateur et utilisez vos AWS informations d'identification de développeur pour délivrer des informations d'identification à vos utilisateurs.
Vous disposez peut-être déjà d'un groupe d'utilisateurs Amazon Cognito qui fournit des services d'authentification et d'autorisation à votre application. Vous pouvez configurer votre groupe d'utilisateurs en tant que fournisseur d'identité (IdP) pour votre réserve d'identités. Lorsque vous le faites, vos utilisateurs peuvent s'authentifier via votre groupe d'utilisateurs IdPs, regrouper leurs demandes dans un jeton d'identité OIDC commun et échanger ce jeton contre des informations d' AWS identification. Votre utilisateur peut ensuite présenter ses informations d'identification dans une demande signée adressée à vos AWS services.
Vous pouvez également présenter des champs standard authentifiés provenant de l'un de vos fournisseurs d'identité directement dans votre réserve d'identités. Amazon Cognito personnalise les demandes des utilisateurs émanant des fournisseurs SAML, OAuth et OIDC sous forme de demande d'API pour des informations d'identification à court terme. AssumeRoleWithWebIdentity
Les groupes d'utilisateurs Amazon Cognito sont comme des fournisseurs d'identité OIDC pour vos applications compatibles SSO. Les réserves d'identités font office de fournisseur d'identité AWS pour toute application dont les dépendances de ressources fonctionnent le mieux avec une autorisation IAM.
Les groupes d'identités Amazon Cognito prennent en charge les fournisseurs d'identité suivants :
-
Fournisseurs publics : Configuration de Login with Amazon en tant qu'IdP de pool d'identités, Configuration de Facebook en tant qu'IdP de pool d'identités, Configuration de Google en tant qu'IdP de pool d'identités, Configuration de la connexion avec Apple en tant qu'IdP du pool d'identités, Twitter.
-
Configuration d'un OIDC fournisseur en tant qu'IdP de pool d'identités
-
Configuration d'un SAML fournisseur en tant qu'IdP du pool d'identités
-
Identités authentifiées par le développeur (réserves d'identités)
Pour plus d'informations sur la disponibilité régionale des groupes d'identités Amazon Cognito, consultez Disponibilité des services AWS par région
Pour plus d'informations sur les groupes d'identités Amazon Cognito, consultez les rubriques suivantes.
Rubriques
- Utilisation des groupes d'identités (identités fédérées)
- Concepts de groupes d'identités
- Bonnes pratiques de sécurité pour les groupes d'identités Amazon Cognito
- Utilisation d'attributs pour le contrôle d'accès
- Utilisation du contrôle d'accès basé sur les rôles
- Obtention des informations d'identification
- Accès aux AWS services
- Fournisseurs d'identité externes aux groupes d'identités
- Identités authentifiées par le développeur (réserves d'identités)
- Basculement d'utilisateurs non authentifiés à des utilisateurs authentifiés (groupes d'identités)
