앱 클라이언트 설정 구성 - Amazon Cognito

앱 클라이언트 설정 구성

Original console
참고

기존 사용자 풀을 편집하는 경우에만 [일반 설정(General settings)] 탭이 나타납니다.

기본 제공 호스트된 페이지를 사용하여 사용자를 가입 및 로그인하거나 OAuth2.0 흐름을 사용하려는 경우 [일반 설정(General settings)] 탭에서 앱의 자격 증명 공급자(IdP)를 하나 이상 구성해야 합니다. 자세한 내용은 섹션을 참조하세요사용자 풀 앱 클라이언트 구성

사용자 풀의 앱 클라이언트 설정을 지정하려면

  1. [앱 클라이언트(App Clients)] 탭에서 구성한 앱에 사용할 자격 증명 공급자를 [사용 가능한 자격 증명 공급자(Enabled Identity Providers)]에서 선택합니다.

  2. 원하는 콜백 URL을 쉼표로 구분하여 입력합니다. 이 URL은 선택한 모든 자격 증명 공급자에 적용됩니다.

    참고

    앱에서 URL을 사용하려면 콘솔에서 URL을 등록하거나 AWS CLI 또는 API를 사용하여 URL을 등록해야 합니다.

  3. 원하는 로그아웃 URL을 쉼표로 구분하여 입력합니다.

    참고

    앱에서 URL을 사용하려면 콘솔에서 URL을 등록하거나 CLI 또는 API를 사용하여 URL을 등록해야 합니다.

  4. OAuth 2.0에서 다음 중 원하는 옵션을 선택합니다. 자세한 내용은 앱 클라이언트 설정 용어OAuth 2.0 사양을 참조하세요.

    • 허용된 OAuth Flows에서 Authorized code grant(권한 있는 코드 허용)Implicit grant(암시적 허용)를 선택합니다. 사용자를 대신해서가 아니라 자체적으로 액세스 토큰을 요청해야 하는 경우에만 Client credentials(클라이언트 자격 증명)를 선택합니다.

    • 허용된 OAuth Scopes에서 원하는 범위를 선택합니다. 각 범위는 하나 이상의 표준 속성 집합입니다.

    • 허용된 사용자 지정 범위에서 정의한 사용자 지정 범위에서 원하는 범위를 선택합니다. 사용자 지정 범위는 리소스 서버 탭에서 정의됩니다. 자세한 내용은 섹션을 참조하세요사용자 풀의 리소스 서버 정의

New console

기본 제공 호스트된 페이지를 사용하여 사용자를 가입 및 로그인하거나 OAuth2.0 흐름을 사용하려는 경우 [로그인 환경(Sign-in experience)] 탭에서 [페더레이션 자격 증명 공급자 로그인(Federated identity provider sign-in)] 자격 증명 공급자(IdP)를 하나 이상 구성해야 합니다. 자세한 내용은 섹션을 참조하세요사용자 풀 앱 클라이언트 구성

앱을 구성합니다.

  1. [앱 통합(App integration)] 탭의 [앱 클라이언트(App clients)]에서 앱 클라이언트를 선택합니다. 현재 [호스트된 UI(Hosted UI)] 정보를 검토합니다.

  2. [허용된 콜백 URL(Allowed callback URL(s))]에서 [콜백 URL 추가(Add a callback URL)]를 수행합니다. 콜백 URL은 로그인 성공 후 사용자가 리디렉션되는 위치입니다.

  3. [허용된 로그아웃 URL(Allowed sign-out URL(s))]에서 [로그아웃 URL 추가(Add a sign-out URL)]를 수행합니다. 로그아웃 URL은 로그아웃 후 사용자가 리디렉션되는 위치입니다.

  4. [자격 증명 공급자(Identity providers)] 목록에서 하나 이상을 추가합니다.

  5. [OAuth 2.0 권한 부여 유형(OAuth 2.0 grant types)]에서 인증 코드 권한 부여(Authorization code grant)를 선택하여 인증 코드를 반환합니다. 인증 코드는 사용자 풀 토큰으로 교환됩니다. 토큰은 최종 사용자에게 직접 노출되지 않기 때문에 침해될 가능성이 낮습니다. 하지만 사용자 풀 토큰에 대한 인증 코드를 교환하려면 백엔드에 사용자 지정 애플리케이션이 필요합니다. 보안상의 이유로 모바일 앱에서는 PKCE(Proof Key for Code Exchange)와 함께 인증 코드 권한 부여 흐름을 사용하는 것이 좋습니다.

  6. [OAuth 2.0 권한 부여 유형(OAuth 2.0 grant types)]에서 [암시적 권한 부여(Implicit grant)]를 선택하여 Amazon Cognito에서 사용자 풀 JSON 웹 토큰(JWT)이 반환되도록 합니다. 토큰에 대한 인증 코드를 교환할 수 있는 백엔드가 없을 때 이 흐름을 사용할 수 있습니다. 또한 토큰 디버깅에도 유용합니다.

  7. [인증 코드(Authorization code)] 및 [암시적 코드(Implicit code)] 권한 부여를 둘 다 사용하도록 설정하고 필요에 따라 각 권한 부여를 사용할 수 있습니다. [인증 코드(Authorization code)] 또는 [암시적 코드(Implicit code)] 권한 부여를 선택하지 않았으며 앱 클라이언트에 클라이언트 암호가 있는 경우 [클라이언트 자격 증명(Client credentials)] 권한 부여를 사용하도록 설정할 수 있습니다. 사용자를 대신해서가 아니라 자체적으로 액세스 토큰을 요청해야 하는 경우에만 Client credentials(클라이언트 자격 증명)를 선택합니다.

  8. 이 앱 클라이언트에 권한을 부여할 [OpenID Connect 범위(OpenID Connect scopes)]를 선택합니다.

  9. [Save changes]를 선택합니다.