Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Amazon Cognito propose deux modèles d'authentification des groupes d'utilisateurs : avec l'API des groupes d'utilisateurs et avec le serveur d'autorisation OAuth 2.0. Utilisez l'API lorsque vous souhaitez récupérer des jetons OpenID Connect (OIDC) à l'aide d'un AWS SDK dans le back-end de votre application. Utilisez le serveur d'autorisation lorsque vous souhaitez implémenter votre groupe d'utilisateurs en tant que fournisseur OIDC. Le serveur d'autorisation ajoute des fonctionnalités telles que la connexion fédérée, l'API et l'autorisation M2M avec des étendues de jetons d'accès et la connexion gérée. Vous pouvez utiliser les modèles API et OIDC séparément ou ensemble, configurés au niveau du pool d'utilisateurs ou au niveau du client de l'application. Cette section est une référence pour la mise en œuvre du modèle OIDC. Pour plus d'informations sur les deux modèles d'authentification, consultezComprendre l'API, l'OIDC et l'authentification par pages de connexion gérées.
Amazon Cognito active les pages web publiques indiquées ici lorsque vous attribuez un domaine à votre groupe d’utilisateurs. Votre domaine sert de point d’accès central à tous vos clients d’application. Ils incluent la connexion gérée, à laquelle vos utilisateurs peuvent s'inscrire et se connecter (Point de terminaison de connexion), et se déconnecter (Point de terminaison de déconnexion). Pour plus d’information sur ces ressources, consultez Connexion gérée par le groupe d'utilisateurs.
Ces pages incluent également les ressources Web publiques qui permettent à votre groupe d'utilisateurs de communiquer avec des fournisseurs d'identité IdPs SAML, OpenID Connect (OIDC OAuth ) et 2.0 tiers (). Pour connecter un utilisateur auprès d'un fournisseur d'identité fédéré, vos utilisateurs doivent envoyer une demande à la connexion gérée interactive Point de terminaison de connexion ou à l'OIDCPoint de terminaison d’autorisation. Le point de terminaison Authorize redirige vos utilisateurs soit vers vos pages de connexion gérées, soit vers votre page de connexion IdP.
Votre application peut également connecter des utilisateurs locaux avec l’API des groupes d’utilisateurs Amazon Cognito. Un utilisateur local existe exclusivement dans l’annuaire de votre groupe d’utilisateurs sans fédération via un fournisseur d’identité externe.
Outre la gestion des connexions, Amazon Cognito s'intègre SDKs à Android, iOS JavaScript, etc. Ils SDKs fournissent des outils permettant d'effectuer des opérations d'API de groupe d'utilisateurs avec les points de terminaison du service d'API Amazon Cognito. Pour plus d’informations sur les points de terminaison de service, consultez Amazon Cognito Identity endpoints and quotas (Points de terminaison d’identité et quotas Amazon Cognito).
Avertissement
N'épinglez pas l'entité finale ou les certificats TLS (Transport Layer Security) intermédiaires pour les domaines Amazon Cognito. AWS gère tous les certificats pour tous les points de terminaison et domaines de préfixes de votre groupe d'utilisateurs. Les autorités de certification (CAs) de la chaîne de confiance qui prend en charge les certificats Amazon Cognito effectuent une rotation et un renouvellement dynamiques. Lorsque vous épinglez votre application à un certificat intermédiaire ou secondaire, votre application peut échouer sans préavis lors de la AWS rotation des certificats.
Épinglez plutôt votre application à tous les certificats racine Amazon
