기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
호스팅 UI 및 권한 부여 서버 관리
도메인이 있는 Amazon Cognito 사용자 풀은 OAuth-2.0 호환 권한 부여 서버와 인증을 위한 ready-to-use 호스팅 사용자 인터페이스(UI)입니다. 권한 부여 서버는 인증 요청을 라우팅하고 웹 JSON 토큰(JWTs)을 발급 및 관리하며 사용자 속성 정보를 제공합니다. 호스팅 UI는 사용자 풀의 기본적인 가입, 로그인, 다중 인증 및 암호 재설정 활동을 위한 웹 인터페이스 모음입니다. 또한 앱과 연결하는 타사 자격 증명 공급자(IdPs)와의 인증을 위한 중앙 허브입니다. 사용자를 인증하고 권한을 부여하려는 경우 앱에서 호스팅 UI 및 권한 부여 엔드포인트를 호출할 수 있습니다. 자체 로고 및 CSS 사용자 지정을 사용하여 호스팅 UI 사용자 환경을 브랜드에 맞게 만들 수 있습니다. 호스팅 UI 및 권한 부여 서버의 구성 요소에 대한 자세한 내용은 사용자 풀 엔드포인트 및 호스팅 UI 참조 섹션을 참조하세요.
참고
Amazon Cognito 호스팅 UI는 사용자 지정 인증 문제 Lambda 트리거를 통한 사용자 지정 인증을 지원하지 않습니다.
주제
를 사용하여 호스팅 UI 설정 AWS Amplify
AWS Amplify 를 사용하여 웹 또는 모바일 앱에 인증을 추가하는 경우 AWS Amplify 프레임워크의 명령줄 인터페이스(CLI) 및 라이브러리를 사용하여 호스팅 UI를 설정할 수 있습니다. 앱에 인증을 추가하려면 AWS Amplify CLI를 사용하여 프로젝트에 Auth 범주를 추가합니다. 그런 다음 클라이언트 코드에서 AWS Amplify 라이브러리를 사용하여 Amazon Cognito 사용자 풀로 사용자를 인증합니다.
사전 구축된 호스팅 UI를 표시하거나 Facebook, Google, Amazon 또는 Apple과 같은 소셜 로그인 공급자로 리디렉션되는 OAuth 2.0 엔드포인트를 통해 사용자를 페더레이션할 수 있습니다. 사용자가 소셜 공급자로 성공적으로 인증한 후 는 필요한 경우 사용자 풀에 새 사용자를 AWS Amplify 생성한 다음 앱에 사용자의 OIDC 토큰을 제공합니다.
다음 예제에서는 를 AWS Amplify 사용하여 앱의 소셜 공급자와 함께 호스팅 UI를 설정하는 방법을 보여줍니다.
Amazon Cognito 콘솔을 사용하여 호스트된 UI 설정
앱 클라이언트 생성
-
Amazon Cognito 콘솔
로 이동합니다. 메시지가 표시되면 AWS 자격 증명을 입력합니다. -
[사용자 풀(User Pools)]을 선택합니다.
-
목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.
-
[앱 통합(App integration)] 탭을 선택합니다.
-
[앱 클라이언트(App clients)]에서 [앱 클라이언트 생성(Create an app client)]을 선택합니다.
-
[앱 유형(App type)]에서 [퍼블릭 클라이언트(Public client)], [기밀 클라이언트(Confidential client)] 또는 [기타(Other)]를 선택합니다. 퍼블릭 클라이언트는 일반적으로 사용자의 디바이스에서 작동하며 인증되지 않은 토큰 인증 를 사용합니다APIs. 기밀 클라이언트는 일반적으로 클라이언트 보안 암호 및 API 보안 인증 정보를 신뢰하는 중앙 서버의 앱에서 작동하며 권한 부여 헤더 및 보안 AWS Identity and Access Management 인증 정보를 사용하여 요청에 서명합니다. 사용 사례가 [퍼블릭 클라이언트(Public client)] 또는 [기밀 클라이언트(Confidential client)]에 맞게 미리 구성된 앱 클라이언트 설정과 다른 경우 [기타(Other)]를 선택합니다.
-
[앱 클라이언트 이름(App client name)]을 입력합니다.
-
앱 클라이언트에서 허용할 [인증 흐름(Authentication flows)]을 선택합니다.
-
Authentication flow session duration(인증 흐름 세션 기간)을 구성합니다. 세션 토큰이 만료되기 전에 사용자가 각 인증 챌린지를 완료해야 하는 시간입니다.
-
(선택 사항) 토큰 만료를 구성합니다.
-
앱 클라이언트의 [새로 고침 토큰 만료(Refresh token expiration)]를 지정합니다. 기본값은 30일입니다. 이 값을 1시간에서 10년 사이의 값으로 변경할 수 있습니다.
-
앱 클라이언트의 [액세스 토큰 만료(Access token expiration)]를 지정합니다. 기본값은 1시간입니다. 이 값을 5분에서 24시간 사이의 값으로 변경할 수 있습니다.
-
앱 클라이언트의 [ID 토큰 만료(ID token expiration)]를 지정합니다. 기본값은 1시간입니다. 이 값을 5분에서 24시간 사이의 값으로 변경할 수 있습니다.
중요
호스트된 UI를 사용하여 1시간 미만의 토큰 수명을 구성할 경우 사용자는 현재 1시간으로 고정된 세션 쿠키 기간에 따라 토큰을 사용할 수 있습니다.
-
-
[클라이언트 암호 생성(Generate client secret)]을 선택하여 Amazon Cognito에서 클라이언트 암호를 자동으로 생성하도록 합니다. 클라이언트 암호는 일반적으로 기밀 클라이언트와 연결됩니다.
-
[토큰 철회 사용(Enable token revocation)]에서 이 앱 클라이언트에 토큰 철회를 사용할지 여부를 선택합니다. 사용할 경우 토큰의 크기가 늘어납니다. 자세한 내용은 토큰 철회를 참조하세요.
-
[사용자 존재를 나타내는 오류 메시지 방지(Prevent error messages that reveal user existence)]에서 이 앱 클라이언트에 사용자 존재를 나타내는 오류 메시지를 표시하지 않을지 여부를 선택합니다. Amazon Cognito는 존재하지 않는 사용자에 대한 로그인 요청에 사용자 이름이나 암호가 잘못되었다는 일반적인 메시지로 응답합니다.
-
(선택 사항) 이 앱 클라이언트에 대한 속성 읽기 및 쓰기 권한(Attribute read and write permissions)]을 구성합니다. 앱 클라이언트는 사용자 풀 속성 스키마의 제한된 하위 집합에 대한 읽기 및 쓰기 권한을 가질 수 있습니다.
-
생성(Create)을 선택합니다.
-
[클라이언트 ID(Client id)]를 적어 둡니다. 클라이언트 ID는 가입 및 로그인 요청에서 앱 클라이언트를 식별합니다.
앱을 구성합니다.
-
[앱 통합(App integration)] 탭의 [앱 클라이언트(App clients)]에서 앱 클라이언트를 선택합니다. 현재 [호스트된 UI(Hosted UI)] 정보를 검토합니다.
-
허용된 URL콜백() 아래에 콜백을 추가합니다URL. 콜백URL은 로그인에 성공한 후 사용자가 로 리디렉션되는 곳입니다.
-
허용된 로그아웃URL(s)에 로그아웃을 추가합니다URL. 로그아웃URL은 로그아웃 후 사용자가 로 리디렉션되는 곳입니다.
-
[자격 증명 공급자(Identity providers)] 목록에서 나열된 옵션 중 하나 이상을 추가합니다.
-
OAuth 2.0 권한 부여 유형에서 권한 부여 코드 부여를 선택하여 사용자 풀 토큰으로 교환되는 권한 부여 코드를 반환합니다. 토큰은 최종 사용자에게 직접 노출되지 않기 때문에 침해될 가능성이 낮습니다. 하지만 사용자 풀 토큰에 대한 인증 코드를 교환하려면 백엔드에 사용자 지정 애플리케이션이 필요합니다. 보안상의 이유로 모바일 앱의 경우 코드 교환(PKCE)용 Proof 키와 함께 권한 부여 코드
부여 흐름을 사용하는 것이 좋습니다. -
OAuth 2.0 권한 부여 유형에서 암시적 권한 부여를 선택하여 Amazon Cognito 에서 사용자 풀 JSON 웹 토큰(JWT)을 반환하도록 합니다. Amazon Cognito 토큰에 대한 인증 코드를 교환할 수 있는 백엔드가 없을 때 이 흐름을 사용할 수 있습니다. 또한 토큰 디버깅에도 유용합니다.
-
[인증 코드(Authorization code)] 및 [암시적 코드(Implicit code)] 권한 부여를 둘 다 사용하도록 설정하고 필요에 따라 각 권한 부여를 사용할 수 있습니다. [인증 코드(Authorization code)] 또는 [암시적 코드(Implicit code)] 권한 부여를 선택하지 않았으며 앱 클라이언트에 클라이언트 암호가 있는 경우 [클라이언트 자격 증명(Client credentials)] 권한 부여를 사용하도록 설정할 수 있습니다. 앱이 사용자를 대신해서가 아니라 자체적으로 액세스 토큰을 요청해야 하는 경우에만 [클라이언트 자격 증명(Client credentials)]을 선택합니다.
-
이 앱 클라이언트에 권한을 부여할 [OpenID Connect 범위(OpenID Connect scopes)]를 선택합니다.
-
변경 사항 저장(Save changes)을 선택합니다.
도메인 구성
-
사용자 풀의 [앱 통합(App integration)] 탭으로 이동합니다.
-
[도메인(Domain)] 옆의 [작업(Actions)]을 선택한 다음, [사용자 정의 도메인 생성(Create custom domain)] 또는 [Cognito 도메인 생성(Create Cognito domain)]을 선택합니다. 사용자 풀 도메인을 이미 구성한 경우 새 사용자 정의 도메인을 생성하기 전에 [Cognito 도메인 삭제(Delete Cognito domain)] 또는 [사용자 정의 도메인 삭제(Delete custom domain)]를 선택합니다.
-
[Cognito 도메인(Cognito domain)]에서 사용할 사용 가능한 도메인 접두사를 입력합니다. 사용자 정의 도메인을 설정하는 방법에 대한 자세한 내용은 호스트된 UI에 고유한 도메인 사용을 참조하세요.
-
생성(Create)을 선택합니다.
로그인 페이지 보기
Amazon Cognito 콘솔에서 App integration(앱 통합) 탭의 App clients and analytics(앱 클라이언트 및 분석) 아래에 있는 앱 클라이언트 구성에서 View Hosted UI(호스팅 UI 보기) 버튼을 선택합니다. 이 버튼을 클릭하면 다음 기본 파라미터를 통해 호스팅 UI의 로그인 페이지로 이동합니다.
-
앱 클라이언트 ID
-
권한 부여 코드 부여 요청
-
현재 앱 클라이언트에 대해 활성화한 모든 범위에 대한 요청
-
현재 앱 클라이언트 URL 목록의 첫 번째 콜백
View hosted UI(호스팅 UI 보기) 버튼은 호스팅 UI의 기본 기능을 테스트하려는 경우에 유용합니다. 추가 및 수정된 파라미터를 URL 사용하여 로그인을 사용자 지정할 수 있습니다. 대부분의 경우 자동으로 생성된 파라미터가 View hosted UI(호스팅 UI 보기) 링크가 앱의 요구 사항과 완전히 일치하지 않습니다. 이러한 경우 앱에서 사용자에 로그인할 때 호출URL하는 를 사용자 지정해야 합니다. 파라미터 및 파라미터 값에 대한 자세한 내용은 사용자 풀 엔드포인트 및 호스팅 UI 참조 단원을 참조하십시오.
호스팅 UI 로그인 웹 페이지는 다음 URL 형식을 사용합니다. 이 예에서는 response_type=code 파라미터를 사용하여 인증 코드 권한 부여를 요청합니다.
https://<your domain>/oauth2/authorize?response_type=code&client_id=<your app client id>&redirect_uri=<your callback url>
앱 통합 탭에서 사용자 풀 도메인 문자열을 검색할 수 있습니다. 동일한 탭에서 앱 클라이언트 및 분석 에서 앱 클라이언트 , IDs콜백 , 허용된 범위 및 기타 구성을 식별할 수 URLs있습니다.
사용자 지정 파라미터를 사용하여 /oauth2/authorize 엔드포인트로 이동하면 Amazon Cognito가 /oauth2/login 엔드포인트로 리디렉션하거나 identity_provider 또는 idp_identifier 파라미터가 있는 경우 자동으로 IdP 로그인 페이지로 리디렉션합니다. 호스팅된 UI를 우회URL하는 예제는 섹션을 참조하세요SAML Amazon Cognito 사용자 풀에서 세션 시작.
묵시적 부여를 위한 호스팅 UI 요청의 예
의 암시적 코드 부여에 URL 대해 다음을 사용하여 호스팅 UI 로그인 웹 페이지를 볼 수 있습니다response_type=token. 로그인 성공 이후 Amazon Cognito는 사용자 풀 토큰을 웹 브라우저의 주소 표시줄로 반환합니다.
https://mydomain.us-east-1.amazoncognito.com/authorize?response_type=token&client_id=1example23456789&redirect_uri=https://mydomain.example.com
자격 증명 및 액세스 토큰은 리디렉션 에 추가된 파라미터로 표시됩니다URL.
다음은 암시적 권한 부여 요청의 응답 예시입니다.
https://mydomain.example.com/#id_token=eyJraaBcDeF1234567890&access_token=eyJraGhIjKlM1112131415&expires_in=3600&token_type=Bearer
호스팅 UI 및 권한 부여 서버에 대해 알아야 할 사항
호스팅 UI 및 사용자를 관리자로 확인
사용자 풀 로컬 사용자의 경우 Cognito가 검증 및 확인을 위한 메시지를 자동으로 보내도록 허용으로 사용자 풀을 구성할 때 호스팅 UI가 가장 잘 작동합니다. 이 설정을 활성화하면 Amazon Cognito는 가입한 사용자에게 확인 코드가 포함된 메시지를 보냅니다. 대신 사용자를 사용자 풀 관리자로 확인하면 가입 후 호스팅 UI에 오류 메시지가 표시됩니다. 이 상태에서 Amazon Cognito는 새 사용자를 생성했지만 검증 메시지를 보낼 수 없습니다. 여전히 사용자를 관리자로 확인할 수 있지만 오류가 발생할 경우 사용자가 지원 데스크에 문의할 수 있습니다. 관리 확인에 대한 자세한 내용은 사용자가 앱에 가입할 수 있도록 허용하지만 사용자 풀 관리자로 확인 섹션을 참조하세요.
호스팅 UI 구성 변경 사항 보기
호스트된 UI 페이지의 변경 사항이 즉시 표시되지 않는 경우 몇 분 동안 기다린 다음 페이지를 새로 고칩니다.
사용자 풀 토큰 디코딩
Amazon Cognito 사용자 풀 토큰은 RS256 알고리즘을 사용하여 서명됩니다. 를 사용하여 사용자 풀 토큰을 디코딩하고 확인할 수 있습니다. 의 Amazon Cognito 토큰 디코딩 및 확인을 AWS Lambda참조하세요 GitHub. Amazon Cognito JWT
호스팅 UI 및 TLS 버전
호스팅 UI는 전송 중에 암호화가 필요합니다. Amazon Cognito에서 제공하는 사용자 풀 도메인에는 최소 1.2 TLS 버전이 필요합니다. 사용자 지정 도메인은 를 지원하지만 TLS 버전 1.2는 필요하지 않습니다. Amazon Cognito는 호스팅 UI 및 권한 부여 서버 엔드포인트의 구성을 관리하기 때문에 사용자 풀 도메인의 TLS 요구 사항을 수정할 수 없습니다.
호스팅 UI 및 CORS 정책
Amazon Cognito 호스팅 UI는 사용자 지정 크로스 오리진 리소스 공유(CORS) 오리진 정책을 지원하지 않습니다. 호스팅 UI의 CORS 정책은 사용자가 요청에서 인증 파라미터를 전달하지 못하도록 합니다. 대신 앱의 웹 프런트엔드에서 CORS 정책을 구현합니다. Amazon Cognito는 다음 OAuth 엔드포인트에 대한 요청에 Access-Control-Allow-Origin: * 응답 헤더를 반환합니다.
호스팅된 UI 및 권한 부여 서버 쿠키
Amazon Cognito 사용자 풀 엔드포인트는 사용자의 브라우저에서 쿠키를 설정합니다. 쿠키는 사이트가 타사 쿠키를 설정하지 않는 일부 브라우저의 요구 사항을 준수합니다. 이는 사용자 풀 엔드포인트에만 적용되며 다음을 포함합니다.
-
각 요청에 대한
XSRF-TOKEN쿠키입니다. -
사용자가
csrf-state리디렉션될 때 세션 일관성을 위한 쿠키입니다. -
한 시간 동안 로그인 시도를 성공적으로 유지하는
cognito세션 쿠키입니다.
iOS에서는 모든 쿠키를 차단
