用户池联合身份验证端点和托管 UI 参考 - Amazon Cognito

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用户池联合身份验证端点和托管 UI 参考

当您向用户池分配域时,Amazon Cognito 会激活此处列出的公开网页。您的域用作所有应用程序客户端的中央接入点。它们包括托管 UI,您的用户可以在其中注册、登录(登录端点)和注销(注销端点)。有关这些资源的标签的更多信息,请参阅 设置和使用 Amazon Cognito 托管 UI 和联合身份验证端点

这些页面还包括公共网络资源,允许您的用户池与第三方 SAML、OpenID Connect (OIDC) 和 OAuth 2.0 身份提供商 () 进行通信。IdPs要使用联合身份提供者登录用户,您的用户必须向交互式托管 UI 登录端点或 OIDC 对端点授权发起请求。授权端点将您的用户重定向到托管 UI 或 IdP 登录页面。

您的应用程序还可以使用 Amazon Cognito 用户池 API 登录本地用户。本地用户仅存在于您的用户池目录中,无需通过外部 IdP 进行联合身份验证。

除了托管用户界面和联合终端节点外,Amazon Cognito 还集成了适用于安卓、iOS 等的软件开发工具包。 JavaScript这些 SDK 提供了使用 Amazon Cognito API 服务端点执行用户池 API 操作的工具。有关服务端点的更多信息,请参阅 Amazon Cognito 身份端点和限额

警告

不要锁定 Amazon Cognito 域的终端实体或中间传输层安全 (TLS) 证书。 AWS 管理所有用户池终端节点和前缀域的所有证书。支持 Amazon Cognito 证书的信任链中的证书颁发机构(CA)会动态轮换和续订。当您将应用程序固定到中间证书或叶证书时,您的应用程序在 AWS 轮换证书时可能会失败,恕不另行通知。

而应将应用程序固定到所有可用的 Amazon 根证书。有关更多信息,请参阅《AWS Certificate Manager 用户指南》证书固定中的最佳做法和建议。