Creazione di un pool di identità in Amazon Cognito Configura un SDK Integrazione dei provider di identità Ottenere le credenziali

Guida introduttiva ai pool di identità di Amazon Cognito

I bacini d'utenza di Amazon Cognito consentono di creare identità univoche e assegnare le autorizzazioni agli utenti. Il tuo pool di identità può includere:

Utenti in un bacino d'utenza di Amazon Cognito
Utenti che si autenticano con provider di identità esterni come Facebook, Google, Apple OIDC o un provider di SAML identità.
Utenti autenticati tramite il tuo processo di autenticazione esistente

Con un pool di identità, puoi ottenere AWS credenziali temporanee con autorizzazioni da te definite per accedere direttamente ad altre risorse AWS servizi o per accedere tramite Amazon API Gateway.

Argomenti

Creazione di un pool di identità in Amazon Cognito
Configura un SDK
Integrazione dei provider di identità
Ottenere le credenziali

Creazione di un pool di identità in Amazon Cognito

Puoi creare un pool di identità tramite la console Amazon Cognito oppure puoi utilizzare AWS Command Line Interface (CLI) o Amazon Cognito. APIs

Per creare un nuovo pool di identità nella console

Accedi alla console di Amazon Cognito e seleziona Pool di identità.
Scegli Crea pool di identità.
In Configurazione dell'attendibilità del pool di identità, scegli di configurare il pool di identità per Accesso autenticato, Accesso guest o entrambi.
1. Se hai scelto Accesso autenticato, seleziona uno o più Tipi di identità che desideri impostare come origine delle identità autenticate nel pool di identità. Se configuri un Provider degli sviluppatori personalizzato, non puoi modificarlo né eliminarlo dopo aver creato il pool di identità.
In Configura le autorizzazioni, scegli un IAM ruolo predefinito per gli utenti autenticati o ospiti nel tuo pool di identità.
1. Scegli di creare un nuovo IAM ruolo se desideri che Amazon Cognito crei un nuovo ruolo per te con autorizzazioni di base e una relazione di fiducia con il tuo pool di identità. Inserisci il nome di un IAM ruolo per identificare, ad esempio, il tuo nuovo ruolo. myidentitypool_authenticatedrole Seleziona Visualizza documento di policy per esaminare le autorizzazioni che Amazon Cognito assegnerà al tuo nuovo ruolo. IAM
2. Puoi scegliere di utilizzare un IAM ruolo esistente se hai già un ruolo Account AWS che desideri utilizzare. È necessario configurare la politica di fiducia dei IAM ruoli per includerlacognito-identity.amazonaws.com. Configura la policy di attendibilità del ruolo per consentire ad Amazon Cognito di assumere il ruolo solo quando rende evidente che la richiesta ha avuto origine da un utente autenticato nel pool di identità specifico. Per ulteriori informazioni, consulta Attendibilità del ruolo e autorizzazioni.
In Connect identity providers, inserisci i dettagli dei provider di identità (IdPs) che hai scelto in Configure identity pool trust. È possibile che ti venga chiesto di fornire informazioni sul client OAuth dell'app, scegliere un pool di utenti Amazon Cognito, scegliere un IdP IAM o inserire un identificatore personalizzato per un provider di sviluppo.
1. Scegli le impostazioni del ruolo per ogni IdP. Puoi assegnare agli utenti di tale IdP il ruolo predefinito impostato quando hai configurato il ruolo autenticato oppure puoi selezionare l'opzione Scegli ruolo con regole. Con un IdP del pool di utenti Amazon Cognito, puoi anche scegliere un ruolo con attestazione preferred_role nei token. Per ulteriori informazioni sulla richiesta cognito:preferred_role, consultare Assegnazione dei valori di priorità ai gruppi.
  1. Se scegli l'opzione Scegli ruolo con regole, inserisci la Richiesta dall'autenticazione dell'utente, l'Operatore con cui desideri confrontare la richiesta, il Valore che determina una corrispondenza a questa scelta di ruolo e il Ruolo che desideri assegnare quando l'Assegnazione del ruolo corrisponde. Seleziona Aggiungi un altro per creare una regola aggiuntiva basata su una condizione diversa.
  2. Scegli una Risoluzione del ruolo. Quando le richieste dell'utente non corrispondono alle regole, puoi negare le credenziali o emettere credenziali per il Ruolo autenticato.
2. Configura Attributi per il controllo degli accessi per ciascun IdP. L'opzione Attributi per il controllo degli accessi associa le richieste dell'utente ai tag principali applicati da Amazon Cognito alla relativa sessione temporanea. Puoi creare IAM politiche per filtrare l'accesso degli utenti in base ai tag che applichi alla loro sessione.
  1. Per non applicare alcun tag principale, scegli Inattivo.
  2. Per applicare i tag principali in base alle richieste sub e aud, scegli Utilizza mappature predefinite.
  3. Per creare un tuo schema personalizzato di attributi dei tag principali, scegli Utilizza mappature personalizzate. Quindi, inserisci una Chiave tag che deve essere originata da ciascuna Richiesta che desideri rappresentare in un tag.
In Configura proprietà, inserisci un Nome in Nome del pool di identità.
In Autenticazione di base (classica), scegli Attiva flusso di base, se desiderato. Con il flusso di base attivo, puoi ignorare le selezioni di ruolo che hai effettuato per te IdPs e chiamare AssumeRoleWithWebIdentitydirettamente. Per ulteriori informazioni, consulta Flusso di autenticazione dei pool di identità (identità federate).
In Tag, scegli Aggiungi tag se desideri applicare tag al pool di identità.
In Esamina e crea, conferma le selezioni effettuate per il nuovo pool di identità. Seleziona Modifica per tornare alla procedura guidata e modificare le eventuali impostazioni. Al termine, seleziona Crea un pool di identità.

Configura un SDK

Per utilizzare i pool di identità di Amazon Cognito, configura AWS Amplify AWS SDK for Java, o il. AWS SDK for .NET Per ulteriori informazioni, consulta i seguenti argomenti.

Configurazione del modulo JavaScript nella Guida SDK per gli AWS SDK for JavaScript sviluppatori
Documentazione di Amplify in Amplify Dev Center
Provider di credenziali Amazon Cognito nella Guida per gli sviluppatori di AWS SDK for .NET

Integrazione dei provider di identità

I pool di identità di Amazon Cognito (identità federate) supportano l'autenticazione degli utenti tramite pool di utenti di Amazon Cognito, provider di identità federati, tra cui Amazon, Facebook, Google, Apple e provider di identità, e identità non autenticate. SAML Questa funzione supporta anche Identità autenticate dagli sviluppatori (pool di identità), che ti consente di registrare e di autenticare gli utenti tramite il tuo processo di autenticazione di back-end.

Per ulteriori informazioni sull'utilizzo di un bacino d'utenza di Amazon Cognito per la creazione della tua directory utente, consulta Bacini d'utenza di Amazon Cognito e Accesso AWS servizi tramite un pool di identità dopo l'accesso.

Per ulteriori informazioni su come utilizzare provider di identità esterni, consulta Provider di identità esterni con pool di identità.

Per ulteriori informazioni su come integrare il tuo processo di autenticazione di back-end, consulta Identità autenticate dagli sviluppatori (pool di identità).

Ottenere le credenziali

I pool di identità di Amazon Cognito forniscono AWS credenziali temporanee per gli utenti ospiti (non autenticati) e per gli utenti che si sono autenticati e hanno ricevuto un token. Con queste AWS credenziali, la tua app può accedere in modo sicuro a un backend interno AWS o esterno tramite AWS Amazon Gateway. API Per informazioni, consulta Ottenere le credenziali.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Aggiungi un provider SAML

Opzioni introduttive aggiuntive