SAML 사용자 풀 IdP 인증 흐름 - Amazon Cognito

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

SAML 사용자 풀 IdP 인증 흐름

사용자 풀의 SAML 기반 IdP를 직접 통합할 수 있습니다.

  1. 앱이 AWS에서 호스팅하는 UI로 사용자를 보내 가입 및 로그인 프로세스를 시작합니다. 모바일 앱이 웹 보기를 사용하여 AWS에서 호스팅하는 페이지를 표시할 수 있습니다.

  2. 일반적으로 사용자 풀은 사용자의 이메일 주소에서 사용자의 자격 증명 공급자를 결정합니다.

    그 대신 사용자를 사용자 풀로 전달하기 전에 앱에서 정보를 수집한 경우 쿼리 파라미터를 통해 해당 정보를 Amazon Cognito에 제공합니다.

  3. 사용자가 자격 증명 공급자로 리디렉션됩니다.

  4. 필요한 경우 IdP가 사용자를 인증합니다. 사용자에게 활성 세션이 있음을 인식하면 IdP가 인증을 건너뛰어 SSO(Single Sign-On) 환경을 제공합니다.

  5. IdP가 SAML 어설션을 Amazon Cognito 서비스에 게시합니다.

  6. SAML 의견을 확인하고 주장을 통해 사용자 특성(클레임)을 수집하는 경우, Amazon Cognito 내부적으로 사용자 풀 에서 사용자 프로필을 생성 또는 업데이트합니다. Amazon Cognito 현재 로그인한 사용자의 앱에 OIDC 토큰을 반환합니다.

다음 다이어그램은 이 프로세스의 인증 흐름을 보여줍니다.


                    SAML IdP를 사용자 풀과 함께 사용하기 위한 인증 흐름 다이어그램입니다.
참고

5분 내에 완료되지 않는 요청은 취소되며, 로그인 페이지로 리디렉션된 후 Something went wrong 오류 메시지가 표시됩니다.

사용자가 인증할 때 사용자 풀이 ID, 액세스 및 새로 고침 토큰을 반환합니다. ID 토큰은 자격 증명 관리용 표준 OIDC 토큰이며, 액세스 토큰은 표준 OAuth 2.0 토큰입니다. ID 및 액세스 토큰은 한 시간 후에 만료되지만 앱이 새로 고침 토큰을 사용하여 사용자를 다시 인증하지 않고 새 토큰을 가져올 수 있습니다. 개발자는 새로 고침 토큰의 만료 시간과 사용자가 인증해야 하는 빈도를 선택할 수 있습니다. 사용자가 외부 IdP를 통해 인증한 경우(즉, 연동된 사용자) 앱이 계속 Amazon Cognito 토큰을 새로 고침 토큰과 함께 사용하여 외부IdP의 토큰이 만료되는 것과 관계없이 사용자가 재인증할 때까지의 기간을 결정합니다. ID 및 액세스 토큰이 만료되면 사용자 풀이 자동으로 새로 고침 토큰을 사용하여 새 ID 및 액세스 토큰을 가져옵니다. 새로 고침 토큰도 만료된 경우 서버가 AWS에서 호스팅하는 앱의 페이지를 통해 인증을 자동으로 시작합니다.