Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menambahkan login kumpulan pengguna melalui pihak ketiga
Pengguna aplikasi Anda dapat masuk langsung melalui kumpulan pengguna, atau mereka dapat melakukan federasi melalui penyedia identitas pihak ketiga (iDP). Kumpulan pengguna mengelola overhead penanganan token yang dikembalikan dari login sosial melalui Facebook, Google, Amazon, dan Apple, dan dari OpenID Connect () dan. OIDC SAML IdPs Dengan UI web host bawaan, Amazon Cognito menyediakan penanganan dan manajemen token untuk pengguna yang diautentikasi dari semua. IdPs Dengan cara ini, sistem backend Anda dapat melakukan standarisasi pada satu set token kumpulan pengguna.
Cara kerja masuk federasi di kumpulan pengguna Amazon Cognito
Masuk melalui pihak ketiga (federasi) tersedia di kolam pengguna Amazon Cognito. Fitur ini independen dari federasi melalui kolam identitas Amazon Cognito (identitas federasi).
Amazon Cognito adalah direktori pengguna dan penyedia identitas OAuth 2.0 (iDP). Saat Anda memasukkan pengguna lokal ke direktori Amazon Cognito, kumpulan pengguna Anda adalah iDP ke aplikasi Anda. Pengguna lokal ada secara eksklusif di direktori kumpulan pengguna Anda tanpa federasi melalui iDP eksternal.
Saat Anda menghubungkan Amazon Cognito ke social,SAML, atau OpenID Connect (OIDC) IdPs, kumpulan pengguna Anda bertindak sebagai jembatan antara beberapa penyedia layanan dan aplikasi Anda. Untuk IDP Anda, Amazon Cognito adalah penyedia layanan (SP). Anda IdPs meneruskan token OIDC ID atau SAML pernyataan ke Amazon Cognito. Amazon Cognito membaca klaim tentang pengguna Anda di token atau pernyataan dan memetakan klaim tersebut ke profil pengguna baru di direktori kumpulan pengguna Anda.
Amazon Cognito kemudian membuat profil pengguna untuk pengguna federasi Anda di direktorinya sendiri. Amazon Cognito menambahkan atribut ke pengguna Anda berdasarkan klaim dari IDP Anda dan, dalam kasus dan penyedia identitas sosial, titik akhir OIDC publik yang dioperasikan IDP. userinfo
Atribut pengguna Anda berubah di kumpulan pengguna Anda saat atribut iDP yang dipetakan berubah. Anda juga dapat menambahkan lebih banyak atribut independen dari atribut dari iDP.
Setelah Amazon Cognito membuat profil untuk pengguna federasi Anda, ia mengubah fungsinya dan menampilkan dirinya sebagai iDP ke aplikasi Anda, yang sekarang menjadi SP. Amazon Cognito adalah kombinasi OIDC dan 2.0 OAuth iDP. Ini menghasilkan token akses, token ID, dan token penyegaran. Untuk informasi lebih lanjut tentang token, lihatMemahami token JSON web kumpulan pengguna (JWTs).
Anda harus mendesain aplikasi yang terintegrasi dengan Amazon Cognito untuk mengautentikasi dan mengotorisasi pengguna Anda, baik federasi maupun lokal.
Tanggung jawab aplikasi sebagai penyedia layanan dengan Amazon Cognito
- Verifikasi dan proses informasi dalam token
-
Dalam sebagian besar skenario, Amazon Cognito mengalihkan pengguna yang diautentikasi ke aplikasi URL yang ditambahkan dengan kode otorisasi. Aplikasi Anda menukar kode untuk token akses, ID, dan penyegaran. Kemudian, ia harus memeriksa validitas token dan menyajikan informasi kepada pengguna Anda berdasarkan klaim dalam token.
- Menanggapi peristiwa otentikasi dengan permintaan Amazon API Cognito
-
Aplikasi Anda harus terintegrasi dengan kumpulan pengguna Amazon Cognito API dan titik akhir autentikasi API. Otentikasi API menandatangani pengguna Anda masuk dan keluar, dan mengelola token. Kumpulan pengguna API memiliki berbagai operasi yang mengelola kumpulan pengguna Anda, pengguna Anda, dan keamanan lingkungan otentikasi Anda. Aplikasi Anda harus tahu apa yang harus dilakukan selanjutnya ketika menerima respons dari Amazon Cognito.
Hal-hal yang perlu diketahui tentang kumpulan pengguna Amazon Cognito login pihak ketiga
-
Jika Anda ingin pengguna Anda masuk dengan penyedia federasi, Anda harus memilih domain. Ini mengatur UI yang dihosting Amazon Cognito dan UI serta titik akhir yang dihosting. OIDC Untuk informasi selengkapnya, lihat Menggunakan domain Anda sendiri untuk UI yang dihosting.
-
Anda tidak dapat masuk ke pengguna federasi dengan API operasi seperti InitiateAuthdan AdminInitiateAuth. Pengguna federasi hanya dapat masuk dengan Titik akhir masuk atau. Otorisasi titik akhir
-
Otorisasi titik akhirIni adalah titik akhir pengalihan. Jika Anda memberikan
identity_provider
parameteridp_identifier
atau dalam permintaan Anda, parameter tersebut akan dialihkan secara diam-diam ke IDP Anda, melewati UI yang dihosting. Jika tidak, itu dialihkan ke UI yang dihosting. Titik akhir masuk -
Saat UI yang dihosting mengalihkan sesi ke iDP federasi, Amazon Cognito menyertakan header dalam permintaan
user-agent
.Amazon/Cognito
-
Amazon Cognito memperoleh
username
atribut untuk profil pengguna federasi dari kombinasi pengenal tetap dan nama iDP Anda. Untuk menghasilkan nama pengguna yang sesuai dengan persyaratan kustom Anda, buat pemetaan kepreferred_username
atribut. Untuk informasi selengkapnya, lihat Hal yang perlu diketahui tentang pemetaan.Contoh:
MyIDP_bob@example.com
-
Amazon Cognito mencatat informasi tentang identitas pengguna federasi Anda ke atribut, dan klaim dalam token ID, yang dipanggil.
identities
Klaim ini berisi penyedia pengguna Anda dan ID unik mereka dari penyedia. Anda tidak dapat mengubahidentities
atribut di profil pengguna secara langsung. Untuk informasi selengkapnya tentang cara menautkan pengguna federasi, lihatMenautkan pengguna gabungan ke profil pengguna yang ada. -
Saat Anda memperbarui IDP Anda di UpdateIdentityProviderAPIpermintaan, perubahan Anda dapat memakan waktu hingga satu menit untuk muncul di UI yang dihosting.
-
Amazon Cognito mendukung hingga 20 HTTP pengalihan antara dirinya dan IDP Anda.
-
Saat pengguna Anda masuk dengan UI yang dihosting, browser mereka menyimpan cookie sesi masuk terenkripsi yang mencatat klien dan penyedia tempat mereka masuk. Jika mereka mencoba masuk lagi dengan parameter yang sama, UI yang dihosting menggunakan kembali sesi yang ada yang belum kedaluwarsa, dan pengguna mengautentikasi tanpa memberikan kredensyal lagi. Jika pengguna Anda masuk lagi dengan IDP yang berbeda, termasuk peralihan ke atau dari login kumpulan pengguna lokal, mereka harus memberikan kredensyal dan membuat sesi login baru.
Anda dapat menetapkan kumpulan pengguna apa pun IdPs ke klien aplikasi apa pun, dan pengguna hanya dapat masuk dengan iDP yang Anda tetapkan ke klien aplikasi mereka.
Topik
- Mengkonfigurasi penyedia identitas untuk kumpulan pengguna Anda
- Menggunakan penyedia identitas sosial dengan kumpulan pengguna
- Menggunakan penyedia SAML identitas dengan kumpulan pengguna
- Menggunakan penyedia OIDC identitas dengan kumpulan pengguna
- Memetakan atribut iDP ke profil dan token
- Menautkan pengguna gabungan ke profil pengguna yang ada