Memulai dengan kumpulan identitas Amazon Cognito

Dengan kumpulan identitas Amazon Cognito, Anda dapat membuat identitas unik dan menetapkan izin untuk pengguna. Pangkalan identitas Anda dapat mencakup:

• Pengguna di pangkalan pengguna Amazon Cognito

• Pengguna yang melakukan autentikasi dengan penyedia identitas eksternal seperti Facebook, Google, Apple, atau penyedia identitas OIDC atau SAMP.

• Pengguna yang diautentikasi melalui proses autentikasi yang selama ini Anda gunakan

Dengan kumpulan identitas, Anda dapat memperoleh AWS kredensi sementara dengan izin yang Anda tetapkan untuk mengakses sumber daya lain secara langsung Layanan AWS atau mengakses sumber daya melalui Amazon API Gateway.

Buat kumpulan identitas di Amazon Cognito

Anda dapat membuat kumpulan identitas melalui konsol Amazon Cognito, atau Anda dapat menggunakan ( AWS Command Line Interface CLI) atau Amazon Cognito API.

Untuk membuat kolam identitas baru di konsol

1. Masuk ke konsol Amazon Cognito dan pilih Identity pool.

2. Pilih Buat kumpulan identitas.

3. Di Konfigurasi kepercayaan kumpulan identitas, pilih untuk menyiapkan kumpulan identitas Anda untuk akses Terautentikasi, akses Tamu, atau keduanya.

   1. Jika Anda memilih Akses yang diautentikasi, pilih satu atau beberapa jenis Identitas yang ingin Anda tetapkan sebagai sumber identitas yang diautentikasi di kumpulan identitas Anda. Jika mengonfigurasi penyedia pengembang Kustom, Anda tidak dapat memodifikasi atau menghapusnya setelah membuat kumpulan identitas.

4. Di Konfigurasi izin, pilih peran IAM default untuk pengguna yang diautentikasi atau tamu di kumpulan identitas Anda.

   1. Pilih untuk Membuat peran IAM baru jika Anda ingin Amazon Cognito membuat peran baru untuk Anda dengan izin dasar dan hubungan kepercayaan dengan kumpulan identitas Anda. Masukkan nama peran IAM untuk mengidentifikasi peran baru Anda, misalnyamyidentitypool_authenticatedrole. Pilih Lihat dokumen kebijakan untuk meninjau izin yang akan ditetapkan Amazon Cognito ke peran IAM baru Anda.

   2. Anda dapat memilih untuk Menggunakan peran IAM yang ada jika Anda sudah memiliki peran Akun AWS yang ingin Anda gunakan. Anda harus mengonfigurasi kebijakan kepercayaan peran IAM Anda untuk disertakancognito-identity.amazonaws.com. Konfigurasikan kebijakan kepercayaan peran Anda agar hanya mengizinkan Amazon Cognito mengambil peran saat menampilkan bukti bahwa permintaan tersebut berasal dari pengguna yang diautentikasi di kumpulan identitas spesifik Anda. Untuk informasi selengkapnya, lihat Kepercayaan peran dan izin.

5. Di Connect identity providers, masukkan detail penyedia identitas (IdPs) yang Anda pilih di Configure identity pool trust. Anda mungkin diminta untuk memberikan informasi klien aplikasi OAuth, memilih kumpulan pengguna Amazon Cognito, memilih IDP IAM, atau memasukkan pengenal khusus untuk penyedia pengembang.

   1. Pilih pengaturan Peran untuk setiap IDP. Anda dapat menetapkan pengguna dari IDP tersebut peran Default yang Anda atur saat mengonfigurasi peran Terautentikasi, atau Anda dapat Memilih peran dengan aturan. Dengan IdP kumpulan pengguna Amazon Cognito, Anda juga dapat Memilih peran dengan preferred_role dalam token. Untuk informasi lebih lanjut tentang cognito:preferred_role klaim, lihatMenetapkan nilai prioritas ke grup.

      1. Jika Anda memilih Pilih peran dengan aturan, masukkan Klaim sumber dari autentikasi pengguna Anda, Operator yang ingin Anda bandingkan dengan klaim, Nilai yang akan menyebabkan kecocokan dengan pilihan peran ini, dan Peran yang ingin Anda tetapkan saat penetapan Peran cocok. Pilih Tambahkan yang lain untuk membuat aturan tambahan berdasarkan kondisi yang berbeda.

      2. Pilih resolusi Peran. Jika klaim pengguna tidak sesuai dengan aturan, Anda dapat menolak kredensional atau mengeluarkan kredensi untuk peran Terautentikasi Anda.

   2. Konfigurasikan Atribut untuk kontrol akses untuk setiap IDP. Atribut untuk kontrol akses memetakan klaim pengguna ke tag utama yang diterapkan Amazon Cognito untuk sesi sementara mereka. Anda dapat membuat kebijakan IAM untuk memfilter akses pengguna berdasarkan tag yang Anda terapkan pada sesi mereka.

      1. Untuk tidak menerapkan tag utama, pilih Tidak aktif.

      2. Untuk menerapkan tag utama berdasarkan sub dan aud klaim, pilih Gunakan pemetaan default.

      3. Untuk membuat skema atribut kustom Anda sendiri ke tag utama, pilih Gunakan pemetaan khusus. Kemudian masukkan kunci Tag yang ingin Anda sumber dari setiap Klaim yang ingin Anda wakili dalam tag.

6. Di Konfigurasi properti, masukkan Nama di bawah nama kumpulan Identitas.

7. Di bawah Autentikasi dasar (klasik), pilih apakah Anda ingin Aktifkan aliran dasar. Dengan aliran dasar aktif, Anda dapat melewati pilihan peran yang dibuat untuk Anda IdPs dan menelepon AssumeRoleWithWebIdentitysecara langsung. Untuk informasi selengkapnya, lihat Aliran otentikasi kumpulan identitas (identitas federasi).

8. Di bawah Tag, pilih Tambahkan tag jika Anda ingin menerapkan tag ke kumpulan identitas Anda.

9. Di Tinjau dan buat, konfirmasikan pilihan yang Anda buat untuk kumpulan identitas baru Anda. Pilih Edit untuk kembali ke wizard dan mengubah pengaturan apa pun. Setelah selesai, pilih Buat kumpulan identitas.

Siapkan SDK

Untuk menggunakan kumpulan identitas Amazon Cognito, siapkan, file AWS Amplify AWS SDK for Java, atau file. AWS SDK for .NET Untuk informasi selengkapnya, lihat topik berikut.

• Menyiapkan SDK untuk JavaScript di Panduan AWS SDK for Java Pengembang

• Amplify Dokumentasi di Amplify Dev Center

• Penyedia kredensi Amazon Cognito di Panduan Pengembang AWS SDK for .NET

Integrasikan penyedia identitas

Kumpulan identitas Amazon Cognito (identitas federasi) mendukung otentikasi pengguna melalui kumpulan pengguna Amazon Cognito, penyedia identitas federasi—termasuk penyedia identitas Amazon, Facebook, Google, Apple, dan SAML—dan identitas yang tidak diautentikasi. Fitur ini juga mendukungIdentitas yang diautentikasi pengembang (kumpulan identitas), yang memungkinkan Anda mendaftar dan mengautentikasi pengguna melalui proses otentikasi backend Anda sendiri.

Untuk belajar lebih lanjut tentang menggunakan kolam pengguna Amazon Cognito dalam membuat direktori pengguna Anda sendiri, lihat Kolam pengguna Amazon Cognito dan Mengakses Layanan AWS menggunakan kumpulan identitas setelah masuk.

Untuk belajar selengkapnya tentang penggunaan penyedia identitas eksternal, lihat Identitas mengumpulkan penyedia identitas eksternal.

Untuk mempelajari lebih lanjut tentang mengintegrasikan proses otentikasi backend Anda sendiri, lihat. Identitas yang diautentikasi pengembang (kumpulan identitas)

Dapatkan kredensil

Kumpulan identitas Amazon Cognito menyediakan AWS kredensi sementara untuk pengguna yang merupakan tamu (tidak diautentikasi) dan untuk pengguna yang telah mengautentikasi dan menerima token. Dengan AWS kredensialnya, aplikasi Anda dapat mengakses backend dengan aman di dalam AWS atau di luar melalui Amazon API AWS Gateway. Lihat Mendapatkan kredensil.