Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
La configuration d'un domaine est facultative lors de la configuration d'un groupe d'utilisateurs. Un domaine de pool d'utilisateurs héberge des fonctionnalités pour l'authentification des utilisateurs, la fédération avec des fournisseurs tiers et les flux OpenID Connect (OIDC). Il dispose d'une connexion gérée, d'une interface prédéfinie pour les opérations clés telles que l'inscription, la connexion et la récupération du mot de passe. Il héberge également les points de terminaison OpenID Connect (OIDC) standard tels que authorize, UserInfo et token, for machine-to-machine (M2M) authorization et d'autres flux d'authentification et d'autorisation OIDC et 2.0. OAuth
Les utilisateurs s'authentifient à l'aide de pages de connexion gérées sur le domaine associé à votre groupe d'utilisateurs. Deux options s'offrent à vous pour configurer ce domaine : vous pouvez soit utiliser le domaine hébergé Amazon Cognito par défaut, soit configurer un domaine personnalisé dont vous êtes le propriétaire.
L'option de domaine personnalisé offre davantage d'options de flexibilité, de sécurité et de contrôle. Par exemple, un domaine familier appartenant à une organisation peut encourager la confiance des utilisateurs et rendre le processus de connexion plus intuitif. Cependant, l'approche du domaine personnalisé nécessite des frais supplémentaires, tels que la gestion du certificat SSL et de la configuration DNS.
Les points de terminaison de découverte OIDC, /.well-known/openid-configuration pour les points de terminaison URLs et /.well-known/jwks.json pour les clés de signature de jetons, ne sont pas hébergés sur votre domaine. Pour de plus amples informations, veuillez consulter Points de terminaison du fournisseur d'identité et des parties utilisatrices.
Comprendre comment configurer et gérer le domaine de votre groupe d'utilisateurs est une étape importante de l'intégration de l'authentification dans votre application. La connexion à l'aide de l'API des groupes d'utilisateurs et d'un AWS SDK peut être une alternative à la configuration d'un domaine. Le modèle basé sur l'API fournit des jetons directement dans une réponse d'API, mais pour les implémentations qui utilisent les fonctionnalités étendues des groupes d'utilisateurs en tant qu'IdP OIDC, vous devez configurer un domaine. Pour plus d'informations sur les modèles d'authentification disponibles dans les groupes d'utilisateurs, consultezComprendre l'API, l'OIDC et l'authentification par pages de connexion gérées.
Rubriques
Ce qu'il faut savoir sur les domaines du pool d'utilisateurs
Les domaines du pool d'utilisateurs constituent un point de service pour les utilisateurs de l'OIDC dans vos applications et pour les éléments de l'interface utilisateur. Tenez compte des détails suivants lorsque vous planifiez la mise en œuvre d'un domaine pour votre groupe d'utilisateurs.
Termes réservés
Vous ne pouvez pas utiliser le texte aws ou amazon cognito le nom d'un domaine de préfixe Amazon Cognito.
Les points de terminaison de découverte se trouvent dans un domaine différent
Les points de terminaison de découverte du groupe .well-known/openid-configuration d'utilisateurs .well-known/jwks.json ne se trouvent pas sur le domaine personnalisé ou préfixe de votre groupe d'utilisateurs. Le chemin d'accès à ces points de terminaison est le suivant.
-
https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/openid-configuration -
https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/jwks.json
Heure effective des changements de domaine
Amazon Cognito peut prendre jusqu'à une minute pour lancer ou mettre à jour la version de marque d'un domaine préfixe. La propagation des modifications apportées à un domaine personnalisé peut prendre jusqu'à cinq minutes. La propagation des nouveaux domaines personnalisés peut prendre jusqu'à une heure.
Domaines personnalisés et préfixes à la fois
Vous pouvez configurer un groupe d'utilisateurs avec à la fois un domaine personnalisé et un domaine préfixe appartenant AWSà. Les points de terminaison de découverte du groupe d'utilisateurs étant hébergés dans un domaine différent, ils ne desservent que le domaine personnalisé. Par exemple, vous openid-configuration fournirez une valeur unique pour "authorization_endpoint" of"https://auth.example.com/oauth2/authorize".
Lorsque vous avez à la fois des domaines personnalisés et des domaines préfixes dans un groupe d'utilisateurs, vous pouvez utiliser le domaine personnalisé avec toutes les fonctionnalités d'un fournisseur OIDC. Le domaine de préfixe d'un groupe d'utilisateurs avec cette configuration n'a pas de découverte ni de token-signing-key point de terminaison et doit être utilisé en conséquence.
Domaines personnalisés préférés comme identifiant de partie fiable pour la clé d'accès
Lorsque vous configurez l'authentification du groupe d'utilisateurs à l'aide de clés d'accès, vous devez définir un ID de partie de confiance (RP). Lorsque vous avez un domaine personnalisé et un domaine préfixe, vous pouvez définir l'ID RP uniquement comme domaine personnalisé. Pour définir un domaine préfixe comme ID RP dans la console Amazon Cognito, supprimez votre domaine personnalisé ou entrez le nom de domaine complet (FQDN) du domaine préfixe en tant que domaine tiers.
N'utilisez pas de domaines personnalisés à différents niveaux de votre hiérarchie de domaines
Vous pouvez configurer des groupes d'utilisateurs distincts pour avoir des domaines personnalisés dans le même domaine de premier niveau (TLD), par exemple auth.example.com et auth2.example.com. Le cookie de session de connexion géré est valide pour un domaine personnalisé et tous les sous-domaines, par exemple *.auth.example.com. De ce fait, aucun utilisateur de vos applications ne doit accéder à la connexion gérée pour un domaine ou un sous-domaine parent. Lorsque des domaines personnalisés utilisent le même TLD, conservez-les au même niveau de sous-domaine.
Supposons que vous ayez un groupe d'utilisateurs avec le domaine personnalisé auth.example.com. Vous créez ensuite un autre groupe d'utilisateurs et attribuez le domaine personnalisé uk.auth.example.com. . Un utilisateur se connecte avec auth.example.com. et obtient un cookie que son navigateur présente à n'importe quel site Web dans le chemin générique *.auth.example.com. Ils essaient ensuite de se connecter à uk.auth.example.com. . Ils transmettent un cookie non valide au domaine de votre groupe d'utilisateurs et reçoivent une erreur au lieu d'une invite de connexion. En revanche, un utilisateur possédant un cookie pour *.auth.example.com n'a aucun problème à démarrer une session de connexion sur auth2.example.com.
Version de marque
Lorsque vous créez un domaine, vous définissez une version de marque. Vos options sont la nouvelle expérience de connexion gérée et l'expérience d'interface utilisateur hébergée classique. Ce choix s'applique à tous les clients d'applications hébergeant des services sur votre domaine.
