Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Groupes d’identités Amazon Cognito
Une réserve d'identités Amazon Cognito est un annuaire d'identités fédérées que vous pouvez échanger contre des informations d'identification AWS . Les pools d'identités génèrent des AWS informations d'identification temporaires pour les utilisateurs de votre application, qu'ils soient connectés ou que vous ne les ayez pas encore identifiés. Avec les rôles et les politiques AWS Identity and Access Management (IAM), vous pouvez choisir le niveau d'autorisation que vous souhaitez accorder à vos utilisateurs. Les utilisateurs peuvent commencer en tant qu'invités et récupérer les ressources que vous conservez dans les Services AWS. Ils peuvent ensuite se connecter auprès d'un fournisseur d'identité tiers pour débloquer l'accès aux ressources que vous mettez à la disposition des membres enregistrés. Le fournisseur d'identité tiers peut être un fournisseur (social) OAuth 2.0 grand public tel qu'Apple ou Google, un fournisseur personnalisé SAML ou OIDC d'identité, ou un système d'authentification personnalisé, également appelé fournisseur de développement, conçu par vos soins.
Fonctionnalités des réserves d’identités Amazon Cognito
- Signer des demandes pour Services AWS
-
Signez des API demandes Services AWS comme Amazon Simple Storage Service (Amazon S3) et Amazon DynamoDB. Analysez l'activité des utilisateurs avec des services tels qu'Amazon Pinpoint et Amazon. CloudWatch
- Filtrer les demandes avec des politiques basées sur les ressources
-
Exercez un contrôle précis sur l'accès des utilisateurs à vos ressources. Transformez les demandes des utilisateurs en balises de IAM session et élaborez des IAM politiques qui accordent l'accès aux ressources à des sous-ensembles distincts de vos utilisateurs.
- Attribuer un accès invité
-
Pour vos utilisateurs qui ne se sont pas encore connectés, configurez votre réserve d'identités pour générer des informations d'identification AWS avec une étendue d'accès restreinte. Authentifiez les utilisateurs via un fournisseur d'authentification unique pour améliorer leur accès.
- Attribuez IAM des rôles en fonction des caractéristiques de l'utilisateur
-
Attribuez un IAM rôle unique à tous vos utilisateurs authentifiés ou choisissez le rôle en fonction des revendications de chaque utilisateur.
- Accepter divers fournisseurs d'identité
-
Échangez un identifiant ou un jeton d'accès, un jeton de groupe d'utilisateurs, une SAML assertion ou un OAuth jeton de fournisseur social contre des AWS informations d'identification.
- Valider vos propres identités
-
Procédez à votre propre validation utilisateur et utilisez vos AWS informations d'identification de développeur pour délivrer des informations d'identification à vos utilisateurs.
Vous disposez peut-être déjà d'un groupe d'utilisateurs Amazon Cognito qui fournit des services d'authentification et d'autorisation à votre application. Vous pouvez configurer votre groupe d'utilisateurs en tant que fournisseur d'identité (IdP) pour votre réserve d'identités. Lorsque vous le faites, vos utilisateurs peuvent s'authentifier par le biais de votre groupe d'utilisateurs IdPs, regrouper leurs demandes dans un jeton d'OIDCidentité commun et échanger ce jeton contre des AWS informations d'identification. Votre utilisateur peut ensuite présenter ses informations d'identification dans une demande signée adressée à vos Services AWS.
Vous pouvez également présenter des champs standard authentifiés provenant de l'un de vos fournisseurs d'identité directement dans votre réserve d'identités. Amazon Cognito personnalise les demandes des utilisateurs émanant de SAMLOAuth, et des OIDC fournisseurs sous la forme d'une AssumeRoleWithWebIdentityAPIdemande d'informations d'identification à court terme.
Les groupes d'utilisateurs Amazon Cognito sont comme des fournisseurs OIDC d'identité pour vos applications SSO compatibles. Les pools d'identités agissent comme un fournisseur AWSd'identité pour toute application dont les dépendances de ressources fonctionnent le mieux avec une IAM autorisation.
Les groupes d'identités Amazon Cognito prennent en charge les fournisseurs d'identité suivants :
-
Fournisseurs publics : Configuration de Login with Amazon en tant qu'IdP de pool d'identités, Configuration de Facebook en tant qu'IdP de pool d'identités, Configuration de Google en tant qu'IdP de pool d'identités, Configuration de la connexion avec Apple en tant qu'IdP du pool d'identités, Twitter.
-
Configuration d'un OIDC fournisseur en tant qu'IdP de pool d'identités
-
Configuration d'un SAML fournisseur en tant qu'IdP du pool d'identités
Pour plus d'informations sur la disponibilité régionale des groupes d'identités Amazon Cognito, consultez Disponibilité des services AWS par région
Pour plus d'informations sur les groupes d'identités Amazon Cognito, consultez les rubriques suivantes.
Rubriques
- Présentation de la console des pools d'identités
- Flux d'authentification des groupes d'identités
- IAMrôles
- Bonnes pratiques de sécurité pour les groupes d'identités Amazon Cognito
- Utilisation d'attributs pour le contrôle d'accès
- Utilisation du contrôle d'accès basé sur les rôles
- Obtention des informations d'identification
- Accès à l' Services AWS aide d'informations d'identification temporaires
- Groupes d'identités (fournisseurs d'identité tiers)
- Identités authentifiées par le développeur
- Passer d'utilisateurs non authentifiés à des utilisateurs authentifiés