Scénarios Amazon Cognito courants - Amazon Cognito

Scénarios Amazon Cognito courants

Cette rubrique décrit six scénarios courants d'utilisation d'Amazon Cognito.

Les deux principaux composants d'Amazon Cognito sont les groupes d'utilisateurs et les groupes d'identités. Les groupes d'utilisateurs sont des répertoires d'utilisateurs qui fournissent des options d'inscription et de connexion pour les utilisateurs de votre application web ou mobile. Les groupes d'identités fournissent des informations d'identification AWS pour accorder à vos utilisateurs l'accès à d'autres services AWS.

Un groupe d'utilisateurs est un annuaire d'utilisateurs dans Amazon Cognito. Les utilisateurs de votre application peuvent se connecter directement via un groupe d'utilisateurs, ou se fédérer via un fournisseur d'identité tiers. Le groupe d'utilisateurs gère la surcharge liée au traitement des jetons que renvoient les connexions via les réseaux sociaux Facebook, Google, Amazon et Apple, ainsi que les fournisseurs d'identité OpenID Connect (OIDC) et SAML. Que vos utilisateurs se connectent directement ou via un tiers, tous les membres du groupe d'utilisateurs ont un profil d'annuaire auquel vous pouvez accéder par le biais d'un kit SDK.

Grâce à un groupe d'identités, vos utilisateurs peuvent obtenir des informations d'identification AWS temporaires pour accéder à des services AWS comme Amazon S3 et DynamoDB. Les groupes d'identités prennent en charge les utilisateurs invités anonymes, ainsi que la fédération via des IdP tiers.

S'authentifier avec un groupe d'utilisateurs

Vous pouvez permettre à vos utilisateurs de s'authentifier à l'aide d'un groupe d'utilisateurs. Les utilisateurs de votre application peuvent se connecter directement via un groupe d'utilisateurs, ou se fédérer via un fournisseur d'identité tiers. Le groupe d'utilisateurs gère la surcharge liée au traitement des jetons que renvoient les connexions via les réseaux sociaux Facebook, Google, Amazon et Apple, ainsi que les fournisseurs d'identité OpenID Connect (OIDC) et SAML.

Après une authentification réussie, votre application mobile ou web recevra des jetons de groupe d'utilisateurs d'Amazon Cognito. Vous pouvez utiliser ces jetons pour récupérer des informations d'identification AWS qui permettent à votre application d'accéder à d'autres services AWS, ou vous pouvez choisir de les utiliser pour contrôler l'accès à vos ressources côté serveur ou à Amazon API Gateway.

Pour de plus amples informations, veuillez consulter Flux d'authentification de groupe d'utilisateurs et Utilisation des jetons avec des groupes d'utilisateurs.


        Présentation de l'authentification

Accès à vos ressources côté serveur avec un groupe d'utilisateurs

Après une connexion de groupe d'utilisateurs réussie, votre application mobile ou web recevra des jetons de groupe d'utilisateurs d'Amazon Cognito. Vous pouvez utiliser ces jetons pour contrôler l'accès à vos ressources côté serveur. Vous pouvez également créer des ensembles de groupes d'utilisateurs afin de gérer leurs autorisations et de représenter différents types d'utilisateurs. Pour plus d'informations sur l'utilisation de groupes pour contrôler l'accès à vos ressources, consultez Ajout de groupes à un groupe d'utilisateurs.


        Accès à vos ressources côté serveur via un groupe d'utilisateurs

Une fois que vous avez configuré un domaine pour votre groupe d'utilisateurs, Amazon Cognito approvisionne une interface utilisateur web hébergée qui autorise l'ajout de pages d'inscription et de connexion à votre application. À l'aide de cette base OAuth 2.0 Foundation, vous pouvez créer votre propre serveur de ressources pour permettre à vos utilisateurs d'accéder à des ressources protégées. Pour plus d'informations, consultez Définition des serveurs de ressources de votre groupe d'utilisateurs.

Pour plus d'informations sur l'authentification d'un groupe d'utilisateurs, consultez Flux d'authentification de groupe d'utilisateurs et Utilisation des jetons avec des groupes d'utilisateurs.

Accéder à des ressources avec API Gateway et Lambda avec un groupe d'utilisateurs

Vous pouvez permettre à vos utilisateurs d'accéder à votre API via API Gateway. API Gateway valide les jetons d'une authentification réussie d'un groupe d'utilisateurs, et les utilise pour accorder à vos utilisateurs l'accès à des ressources, dont des fonctions Lambda ou vos propres API.

Vous pouvez utiliser des groupes dans un groupe d'utilisateurs afin de contrôler les autorisations avec API Gateway en mappant l'adhésion de groupe à des rôles IAM. Les groupes dont un utilisateur est un membre sont inclus dans le jeton d'ID fourni par un groupe d'utilisateurs lorsque votre utilisateur d'application se connecte. Pour de plus amples informations sur les groupes d'utilisateurs, veuillez consulter Ajout de groupes à un groupe d'utilisateurs.

Vous pouvez envoyer vos jetons de groupe d'utilisateurs avec une demande à API Gateway pour vérification par une fonction Lambda de mécanisme d'autorisation Amazon Cognito. Pour plus d'informations sur API Gateway, consultez Utilisation d'API Gateway avec des groupes d'utilisateurs Amazon Cognito.


        Accéder à API Gateway via un groupe d'utilisateurs.

Accéder à des services AWS avec un groupe d'utilisateurs et un groupe d'identités.

Après authentification du groupe d'utilisateurs, votre application recevra d'Amazon Cognito des jetons de groupe d'utilisateurs. Vous pouvez les échanger pour un accès temporaire à d'autres services AWS avec un groupe d'identités. Pour de plus amples informations, veuillez consulter Accès à des services AWS à l'aide d'un groupe d'identités après la connexion et Démarrage avec les groupes d'identités Amazon Cognito (identités fédérées).


        Accéder aux informations d'identification AWS via un groupe d'utilisateurs avec un groupe d'identités

S'authentifier avec un tiers et accéder aux services AWS avec un groupe d'identités

Vous pouvez autoriser vos utilisateurs à accéder à des services AWS via un groupe d'identités. Un groupe d'identités nécessite un jeton du fournisseur d'identité de la part d'un utilisateur authentifié par un fournisseur d'identité tiers (ou rien s'il s'agit d'un invité anonyme). En échange, le groupe d'identités accorde des informations d'identification AWS temporaires que vous pouvez utiliser pour accéder à d'autres services AWS. Pour de plus amples informations, veuillez consulter . Démarrage avec les groupes d'identités Amazon Cognito (identités fédérées).


        Accéder aux informations d'identification AWS via un fournisseur d'identité tiers avec un groupe d'identités

Accéder aux ressources AWS AppSync avec Amazon Cognito

Vous pouvez accorder à vos utilisateurs l'accès aux ressources AWS AppSync avec des jetons résultant d'une authentification Amazon Cognito réussie (à partir d'un groupe d'utilisateurs ou d'identités). Pour plus d'informations, consultez Accéder à AWS AppSync et aux sources de données avec des groupes d'utilisateurs ou des identités fédérées.


        Accéder aux ressources AWS AppSync via un groupe d'utilisateurs ou un groupe d'identités