Amazon Cognito 호스팅 UI 및 페더레이션 엔드포인트 설정 및 사용 - Amazon Cognito

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Cognito 호스팅 UI 및 페더레이션 엔드포인트 설정 및 사용

도메인이 있는 Amazon Cognito 사용자 풀은 OAuth-2.0 준수 권한 부여 서버이며 인증을 위한 ready-to-use 호스팅된 사용자 인터페이스 (UI) 입니다. 권한 부여 서버는 인증 요청을 라우팅하고, JSON 웹 토큰(JWT)을 발급 및 관리하고, 사용자 속성 정보를 제공합니다. 호스팅 UI는 사용자 풀의 기본적인 가입, 로그인, 다중 인증 및 암호 재설정 활동을 위한 웹 인터페이스 모음입니다. 또한 앱에 연결하는 타사 ID 공급자 (IdPs) 와의 인증을 위한 중앙 허브이기도 합니다. 사용자를 인증하고 권한을 부여하려는 경우 앱에서 호스팅 UI 및 권한 부여 엔드포인트를 호출할 수 있습니다. 자체 로고 및 CSS 사용자 지정을 통해 호스팅 UI 사용자 경험을 브랜드에 맞게 만들 수 있습니다. 호스팅 UI 및 권한 부여 서버의 구성 요소에 대한 자세한 내용은 사용자 풀 페더레이션 엔드포인트 및 호스팅 UI 참조 섹션을 참조하세요.

참고

Amazon Cognito 호스팅 UI는 사용자 지정 인증 문제 Lambda 트리거를 통한 사용자 지정 인증을 지원하지 않습니다.

를 사용하여 호스팅된 UI를 설정합니다. AWS Amplify

를 사용하여 웹 또는 모바일 앱에 인증을 AWS Amplify 추가하는 경우 프레임워크의 명령줄 인터페이스 (CLI) 및 라이브러리를 사용하여 호스팅된 UI를 설정할 수 있습니다. AWS Amplify 앱에 인증을 추가하려면 AWS Amplify CLI를 사용하여 프로젝트에 Auth 카테고리를 추가합니다. 그런 다음 클라이언트 코드에서 AWS Amplify 라이브러리를 사용하여 Amazon Cognito 사용자 풀로 사용자를 인증합니다.

미리 빌드된 호스팅 UI를 표시하거나 Facebook, Google, Amazon 또는 Apple과 같은 소셜 로그인 공급자로 리디렉션되는 OAuth 2.0 Endpoint를 통해 사용자를 연동할 수 있습니다. 사용자가 소셜 공급자를 통해 성공적으로 인증한 후 필요한 경우 AWS Amplify 가 사용자 풀에 새 사용자를 생성하고 사용자의 OIDC 토큰을 앱에 제공합니다.

다음 예는 앱에서 소셜 공급자를 통해 호스팅된 UI를 설정하는 AWS Amplify 데 사용하는 방법을 보여줍니다.

Amazon Cognito 콘솔을 사용하여 호스트된 UI 설정

앱 클라이언트 생성
  1. Amazon Cognito 콘솔로 이동합니다. 메시지가 표시되면 AWS 자격 증명을 입력합니다.

  2. [사용자 풀(User Pools)]을 선택합니다.

  3. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  4. [앱 통합(App integration)] 탭을 선택합니다.

  5. [앱 클라이언트(App clients)]에서 [앱 클라이언트 생성(Create an app client)]을 선택합니다.

  6. [앱 유형(App type)]에서 [퍼블릭 클라이언트(Public client)], [기밀 클라이언트(Confidential client)] 또는 [기타(Other)]를 선택합니다. [퍼블릭 클라이언트(Public client)]는 일반적으로 사용자 디바이스에서 작동하며, 인증되지 않은 API와 토큰 인증 API를 사용합니다. 기밀 클라이언트는 일반적으로 클라이언트 암호와 API 자격 증명으로 신뢰할 수 있는 중앙 서버의 앱에서 작동하며, 권한 부여 헤더와 자격 AWS Identity and Access Management 증명을 사용하여 요청에 서명합니다. 사용 사례가 [퍼블릭 클라이언트(Public client)] 또는 [기밀 클라이언트(Confidential client)]에 맞게 미리 구성된 앱 클라이언트 설정과 다른 경우 [기타(Other)]를 선택합니다.

  7. [앱 클라이언트 이름(App client name)]을 입력합니다.

  8. 앱 클라이언트에서 허용할 [인증 흐름(Authentication flows)]을 선택합니다.

  9. Authentication flow session duration(인증 흐름 세션 기간)을 구성합니다. 세션 토큰이 만료되기 전에 사용자가 각 인증 챌린지를 완료해야 하는 시간입니다.

  10. (선택 사항) 토큰 만료를 구성합니다.

    1. 앱 클라이언트의 [새로 고침 토큰 만료(Refresh token expiration)]를 지정합니다. 기본값은 30일입니다. 이 값을 1시간에서 10년 사이의 값으로 변경할 수 있습니다.

    2. 앱 클라이언트의 [액세스 토큰 만료(Access token expiration)]를 지정합니다. 기본값은 1시간입니다. 이 값을 5분에서 24시간 사이의 값으로 변경할 수 있습니다.

    3. 앱 클라이언트의 [ID 토큰 만료(ID token expiration)]를 지정합니다. 기본값은 1시간입니다. 이 값을 5분에서 24시간 사이의 값으로 변경할 수 있습니다.

      중요

      호스트된 UI를 사용하여 1시간 미만의 토큰 수명을 구성할 경우 사용자는 현재 1시간으로 고정된 세션 쿠키 기간에 따라 토큰을 사용할 수 있습니다.

  11. [클라이언트 암호 생성(Generate client secret)]을 선택하여 Amazon Cognito에서 클라이언트 암호를 자동으로 생성하도록 합니다. 클라이언트 암호는 일반적으로 기밀 클라이언트와 연결됩니다.

  12. [토큰 철회 사용(Enable token revocation)]에서 이 앱 클라이언트에 토큰 철회를 사용할지 여부를 선택합니다. 사용할 경우 토큰의 크기가 늘어납니다. 자세한 내용은 토큰 철회를 참조하세요.

  13. [사용자 존재를 나타내는 오류 메시지 방지(Prevent error messages that reveal user existence)]에서 이 앱 클라이언트에 사용자 존재를 나타내는 오류 메시지를 표시하지 않을지 여부를 선택합니다. Amazon Cognito는 존재하지 않는 사용자에 대한 로그인 요청에 사용자 이름이나 암호가 잘못되었다는 일반적인 메시지로 응답합니다.

  14. (선택 사항) 이 앱 클라이언트에 대한 속성 읽기 및 쓰기 권한(Attribute read and write permissions)]을 구성합니다. 앱 클라이언트는 사용자 풀 속성 스키마의 제한된 하위 집합에 대한 읽기 및 쓰기 권한을 가질 수 있습니다.

  15. 생성을 선택합니다.

  16. [클라이언트 ID(Client id)]를 적어 둡니다. 클라이언트 ID는 가입 및 로그인 요청에서 앱 클라이언트를 식별합니다.

앱을 구성합니다.
  1. [앱 통합(App integration)] 탭의 [앱 클라이언트(App clients)]에서 앱 클라이언트를 선택합니다. 현재 [호스트된 UI(Hosted UI)] 정보를 검토합니다.

  2. 허용된 콜백 URL(Allowed callback URL(s))에서 콜백 URL 추가(Add a callback URL)를 수행합니다. 콜백 URL은 로그인 성공 후 사용자가 리디렉션되는 위치입니다.

  3. [허용된 로그아웃 URL(Allowed sign-out URL(s))]에서 [로그아웃 URL 추가(Add a sign-out URL)]를 수행합니다. 로그아웃 URL은 로그아웃 후 사용자가 리디렉션되는 위치입니다.

  4. [자격 증명 공급자(Identity providers)] 목록에서 나열된 옵션 중 하나 이상을 추가합니다.

  5. [OAuth 2.0 권한 부여 유형(OAuth 2.0 grant types)]에서 인증 코드 권한 부여(Authorization code grant)를 선택하여 인증 코드를 반환합니다. 인증 코드는 사용자 풀 토큰으로 교환됩니다. 토큰은 최종 사용자에게 직접 노출되지 않기 때문에 침해될 가능성이 낮습니다. 하지만 사용자 풀 토큰에 대한 인증 코드를 교환하려면 백엔드에 사용자 지정 애플리케이션이 필요합니다. 보안상의 이유로 모바일 앱에서는 PKCE(Proof Key for Code Exchange)와 함께 인증 코드 권한 부여 흐름을 사용하는 것이 좋습니다.

  6. [OAuth 2.0 권한 부여 유형(OAuth 2.0 grant types)]에서 [암시적 권한 부여(Implicit grant)]를 선택하여 Amazon Cognito에서 사용자 풀 JSON 웹 토큰(JWT)이 반환되도록 합니다. 토큰에 대한 인증 코드를 교환할 수 있는 백엔드가 없을 때 이 흐름을 사용할 수 있습니다. 또한 토큰 디버깅에도 유용합니다.

  7. [인증 코드(Authorization code)] 및 [암시적 코드(Implicit code)] 권한 부여를 둘 다 사용하도록 설정하고 필요에 따라 각 권한 부여를 사용할 수 있습니다. [인증 코드(Authorization code)] 또는 [암시적 코드(Implicit code)] 권한 부여를 선택하지 않았으며 앱 클라이언트에 클라이언트 암호가 있는 경우 [클라이언트 자격 증명(Client credentials)] 권한 부여를 사용하도록 설정할 수 있습니다. 앱이 사용자를 대신해서가 아니라 자체적으로 액세스 토큰을 요청해야 하는 경우에만 [클라이언트 자격 증명(Client credentials)]을 선택합니다.

  8. 이 앱 클라이언트에 권한을 부여할 [OpenID Connect 범위(OpenID Connect scopes)]를 선택합니다.

  9. 변경 사항 저장(Save changes)을 선택합니다.

도메인 구성
  1. 사용자 풀의 [앱 통합(App integration)] 탭으로 이동합니다.

  2. [도메인(Domain)] 옆의 [작업(Actions)]을 선택한 다음, [사용자 정의 도메인 생성(Create custom domain)] 또는 [Cognito 도메인 생성(Create Cognito domain)]을 선택합니다. 사용자 풀 도메인을 이미 구성한 경우 새 사용자 정의 도메인을 생성하기 전에 [Cognito 도메인 삭제(Delete Cognito domain)] 또는 [사용자 정의 도메인 삭제(Delete custom domain)]를 선택합니다.

  3. [Cognito 도메인(Cognito domain)]에서 사용할 사용 가능한 도메인 접두사를 입력합니다. 사용자 정의 도메인을 설정하는 방법에 대한 자세한 내용은 호스트된 UI에 고유한 도메인 사용을 참조하세요.

  4. 생성을 선택합니다.

로그인 페이지 보기

Amazon Cognito 콘솔에서 App integration(앱 통합) 탭의 App clients and analytics(앱 클라이언트 및 분석) 아래에 있는 앱 클라이언트 구성에서 View Hosted UI(호스팅 UI 보기) 버튼을 선택합니다. 이 버튼을 클릭하면 다음 기본 파라미터를 통해 호스팅 UI의 로그인 페이지로 이동합니다.

  • 앱 클라이언트 ID

  • 권한 부여 코드 부여 요청

  • 현재 앱 클라이언트에 대해 활성화한 모든 범위에 대한 요청

  • 현재 앱 클라이언트에 대한 목록의 첫 번째 콜백 URL

View hosted UI(호스팅 UI 보기) 버튼은 호스팅 UI의 기본 기능을 테스트하려는 경우에 유용합니다. 추가 및 수정된 파라미터를 사용하여 로그인 URL을 사용자 지정할 수 있습니다. 대부분의 경우 자동으로 생성된 파라미터가 View hosted UI(호스팅 UI 보기) 링크가 앱의 요구 사항과 완전히 일치하지 않습니다. 이러한 경우 앱에서 사용자가 로그인할 때 호출하는 URL을 사용자 지정해야 합니다. 파라미터 및 파라미터 값에 대한 자세한 내용은 사용자 풀 페더레이션 엔드포인트 및 호스팅 UI 참조 단원을 참조하십시오.

호스팅 UI 로그인 웹 페이지는 다음 URL 형식을 사용합니다. 이 예에서는 response_type=code 파라미터를 사용하여 인증 코드 권한 부여를 요청합니다.

https://<your domain>/oauth2/authorize?response_type=code&client_id=<your app client id>&redirect_uri=<your callback url>

앱 통합 탭에서 사용자 풀 도메인 문자열을 검색할 수 있습니다. 동일한 탭의 앱 클라이언트 및 분석에서 앱 클라이언트 ID, 콜백 URL, 허용 범위 및 기타 구성을 확인할 수 있습니다.

사용자 지정 파라미터를 사용하여 /oauth2/authorize 엔드포인트로 이동하면 Amazon Cognito가 /oauth2/login 엔드포인트로 리디렉션하거나 identity_provider 또는 idp_identifier 파라미터가 있는 경우 자동으로 IdP 로그인 페이지로 리디렉션합니다. 호스팅 UI를 우회하는 예제 URL은 Amazon Cognito 사용자 풀에서 SAML 세션 시작 단원을 참조하세요.

묵시적 부여를 위한 호스팅 UI 요청의 예

다음 URL을 사용하여 호스팅 UI 로그인 웹 페이지를 볼 수 있습니다. 여기서 response_type=token은 묵시적 코드 부여입니다. 로그인 성공 이후 Amazon Cognito는 사용자 풀 토큰을 웹 브라우저의 주소 표시줄로 반환합니다.

https://mydomain.us-east-1.amazoncognito.com/authorize?response_type=token&client_id=1example23456789&redirect_uri=https://mydomain.example.com

자격 증명 및 액세스 토큰은 리디렉션 URL에 추가된 파라미터로 표시됩니다.

다음은 암시적 권한 부여 요청의 응답 예시입니다.

https://mydomain.example.com/#id_token=eyJraaBcDeF1234567890&access_token=eyJraGhIjKlM1112131415&expires_in=3600&token_type=Bearer

Amazon Cognito 사용자 풀 호스팅 UI에 대해 알아야 할 사항

호스팅 UI 및 사용자를 관리자로 확인

사용자 풀 로컬 사용자의 경우 Cognito가 검증 및 확인을 위한 메시지를 자동으로 보내도록 허용으로 사용자 풀을 구성할 때 호스팅 UI가 가장 잘 작동합니다. 이 설정을 활성화하면 Amazon Cognito는 가입한 사용자에게 확인 코드가 포함된 메시지를 보냅니다. 대신 사용자를 사용자 풀 관리자로 확인하면 가입 후 호스팅 UI에 오류 메시지가 표시됩니다. 이 상태에서 Amazon Cognito는 새 사용자를 생성했지만 검증 메시지를 보낼 수 없습니다. 여전히 사용자를 관리자로 확인할 수 있지만 오류가 발생할 경우 사용자가 지원 데스크에 문의할 수 있습니다. 관리 확인에 대한 자세한 내용은 사용자가 앱에 가입할 수 있도록 허용하지만 사용자 풀 관리자로 확인 섹션을 참조하세요.

호스팅 UI 구성 변경 사항 보기

호스트된 UI 페이지의 변경 사항이 즉시 표시되지 않는 경우 몇 분 동안 기다린 다음 페이지를 새로 고칩니다.

사용자 풀 토큰 디코딩

Amazon Cognito 사용자 풀 토큰은 RS256 알고리즘을 사용하여 서명됩니다. 를 사용하여 AWS Lambda사용자 풀 토큰을 디코딩하고 확인할 수 있습니다. 에서 Amazon Cognito JWT 토큰 디코딩 및 확인을 참조하십시오. GitHub

호스팅된 UI 및 TLS 버전

호스팅된 UI에는 전송 중 암호화가 필요합니다. Amazon Cognito에서 제공하는 사용자 풀 도메인에는 최소 1.2의 TLS 버전이 필요합니다. 사용자 지정 도메인은 TLS 버전 1.2를 지원하지만 필수는 아닙니다. Amazon Cognito는 호스팅된 UI 및 권한 부여 서버 엔드포인트의 구성을 관리하므로 사용자 풀 도메인의 TLS 요구 사항을 수정할 수 없습니다.

호스팅 UI 및 CORS 정책

Amazon Cognito 호스팅 UI는 사용자 지정 CORS(Cross-Origin Resource Sharing) 원본 정책을 지원하지 않습니다. 호스팅 UI의 CORS 정책은 사용자가 요청에 인증 파라미터를 전달하지 못하도록 합니다. 대신 앱의 웹 프론트엔드에서 CORS 정책을 구현하세요. Amazon Cognito는 다음 OAuth 엔드포인트에 대한 요청에 Access-Control-Allow-Origin: * 응답 헤더를 반환합니다.

호스팅된 UI 및 권한 부여 서버 쿠키

Amazon Cognito 사용자 풀 엔드포인트는 사용자 브라우저에 쿠키를 설정합니다. 쿠키는 사이트에서 타사 쿠키를 설정하지 않는 일부 브라우저의 요구 사항을 준수합니다. 쿠키의 범위는 사용자 풀 엔드포인트에만 적용되며 다음을 포함합니다.

  • XSRF-TOKEN 요청에 대한 쿠키.

  • 사용자가 리디렉션될 때 세션 일관성을 유지하기 위한 csrf-state 쿠키입니다.

  • 성공적인 로그인 시도를 한 시간 동안 보존하는 cognito 세션 쿠키입니다.