Amazon Cognito 條款 - Amazon Cognito
一般使用者集區身分集區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Cognito 條款

Amazon Cognito 提供網頁和行動應用程式的登入資料。它從身分識別和存取管理中常見的條款汲取並建立起來。提供許多通用身分識別和存取條款的指南。部分範例如下:

下列清單描述 Amazon Cognito 專屬的術語,或在 Amazon Cognito 中具有特定內容的術語。

一般

此清單中的術語並不特定於 Amazon Cognito,而且在身分和存取管理從業人員中得到廣泛認可。以下不是詳盡的術語清單,而是本指南中特定 Amazon Cognito 上下文的指南。

应用

通常情況下,移動應用程序。在本指南中,應用程式通常是連線至 Amazon Cognito 的網路應用程式或行動應用程式的簡寫。

以屬性為基礎的存取控制 () ABAC

一種模型,其中應用程序根據用戶的屬性(例如職稱或部門)確定對資源的訪問。Amazon Cognito 工具可強制在使用者集區中ABAC包含 ID 權杖,以及身分集區中的主要標籤

授權伺服器

生成 Web 令牌的基於 JSON Web 的系統。Amazon Cognito 使用者集區聯合端點是使用者集區中兩種身份驗證和授權方法的授權伺服器元件。另一種方法是用戶池API

機密應用,服務器端應用

使用者透過應用程式伺服器上的程式碼和密碼存取遠端連線的應用程式。這通常是一個 Web 應用程序。

Identity provider (IdP) (身分提供者 (IdP))

儲存和驗證使用者身分的服務。Amazon Cognito 可以向外部供應商請求身份驗證,並成為應用程式的 IdP。

JSON網絡令牌(JWT)

包含有關已驗證使用者之宣告的JSON格式化文件。ID 令牌對用戶進行身份驗證,訪問令牌授權用戶並刷新令牌更新憑據。Amazon Cognito 接收來自外部供應商的權杖,並向應用程式或 AWS STS發行權杖。

多重要素驗證 () MFA

使用者在提供使用者名稱和密碼之後提供額外驗證的要求。Amazon Cognito 使用者集區具有適用於本機使用者的MFA功能。

OAuth2.0(社交)提供商

提供JWT存取和重新整理權杖的使用者集區或身分集區的 IdP。Amazon Cognito 使用者集區會在使用者驗證後自動與社交供應商的互動。

OpenID Connect(OIDC)提供商

IdP 到用戶池或身份池,該用戶池或標識池擴展OAuth規範以提供 ID 令牌。Amazon Cognito 使用者集區會在使用者驗證後自動與OIDC供應商的互動。

公共應用

一種在設備上獨立的應用程序,其代碼存儲在本地且無法訪問密碼。這通常是行動應用程式。

資源伺服器

一個API具有訪問控制。Amazon Cognito 使用者集區也會使用資源伺服器來描述定義與. API

以角色為基礎的存取控制 () RBAC

根據使用者的功能指定來授與存取權的模型。Amazon Cognito 身分識別集區會在不同角色之間IAM進行RBAC區分。

服務提供者 (SP)、信賴方 (RP)

依賴 IdP 來判斷使用者值得信賴的應用程式。Amazon Cognito 充當 SP 到外部 IdPs,並作為基於應用程序的 IdP。SPs

SAMLprovider

使用者集區或身分集區的 IdP,可產生數位簽署的宣告文件,讓您的使用者傳遞至 Amazon Cognito。

通用唯一識別碼 () UUID

套用至物件的 128 位元標籤。Amazon Cognito UUIDs 是每個使用者集區或身分集區唯一的,但不符合特定UUID格式。

使用者目錄

將該資訊提供給其他系統的使用者及其屬性的集合。Amazon Cognito 使用者集區是使用者目錄,也是整合外部使用者目錄中使用者的工具。

使用者集區

當您在本指南中看到以下清單中的術語時,這些詞彙是指使用者集區的特定功能或設定。

Amazon Cognito 使用者集區 API

一組身份驗證和授權API操作,您可以使用 AWS SDK. API可以登錄本地用戶鏈接的用戶

自適應身分驗證

進階安全性功能,可偵測潛在的惡意活動,並將額外的安全性套用至使用者設定檔

進階安全功能

新增使用者安全性工具的選用元件。

應用客戶端

將使用者集區設定定義為一個應用程式的 IdP 的元件。

回呼URL,重新導向 URI

應用程式用戶端中的設定,以及對使用者集區聯合端點的要求中的參數。回調URL是用程序中經過身份驗證的用戶的初始目標。

憑證洩漏

進階安全性功能,可偵測攻擊者可能知道的使用者密碼,並將額外的安全性套用至使用者設定檔

確認

決定已符合先決條件以允許新使用者登入的程序。確認通常通過電子郵件地址或電話號碼驗證完成。

自訂身分驗證

Lambda 觸發程序的驗證程序延伸,可定義其他使用者挑戰和回應。

裝置驗證

一種驗證程序,會取代MFA為使用受信任裝置 ID 的登入。

外部供應商,第三方供應

與使用者集區具有信任關係的 IdP。

聯合身分使用者

已由外部提供者驗證的使用者集區中的使用者

同盟端點

您的使用者集區網域上的一組網頁,用於託管與 IdPs 和應用程式互動的服務。

託管 UI

您的使用者集區網域上的一組互動式網頁,主控服務以供使用者驗證。

Lambda 觸發程序

使用者集區 AWS Lambda 可在使用者驗證程序中的關鍵點自動叫用的函數。您可以使用 Lambda 觸發程序來自訂驗證結果。

本機使用者

使用者集區使用者目錄中的使用者設定檔,並非透過外部提供者驗證所建立的使用者設定檔。

連結使用者

來自外部提供者的使用者,其身分已與本機使用者合併。

令牌定制

預先產生權杖 Lambda 觸發程序的結果,該觸發程序會在執行階段修改使用者的 ID 或存取權杖。

使用者集區、亞馬遜認可身分供應商cognito-idp、Amazon Cognito 使用者集區

具有驗證和授權服務的 AWS 資源,適用於使用的應用程式OIDC IdPs。

使用者集區網域

您新增至使用者集區的網站名稱。網域是託管 UI同盟端點的基礎URL。

驗證

確認使用者擁有電子郵件地址或電話號碼的程序。使用者集區會傳送代碼給已輸入新電子郵件地址或電話號碼的使用者。當他們將代碼提交給 Amazon Cognito 時,他們會驗證其對訊息目標的所有權,並可從使用者集區接收其他訊息。另外,請參閱確認

用戶配置文件,用戶帳戶

使用者目錄中使用者的項目。所有用戶在其用戶池中都有一個配置文件。

身分集區

當您在本指南中看到下列清單中的術語時,這些詞彙是指識別集區的特定功能或設定。

存取控制的屬性

在識別集區中實作以屬性為基礎的存取控制。識別集區會將使用者屬性做為標記套用至使用者認證

基本 (傳統) 驗證

一種驗證程序,您可以在其中自訂使用者認證的要求。

開發人員驗證的身分

使用開發人員認證授權身分集區使用者憑證的驗證程序。

開發者憑證

識別集區管理員的IAMAPI金鑰。

增強型驗證

根據您在身分識別集區中定義的邏輯,選取IAM角色並套用主要標籤的驗證流程。

Identity

將應用程式使用者及其使用者認證連結至他們在與身分集區具有信任關係的外部使用者目錄中的設定檔。UUID

身份池,Amazon Cognito 聯合身份,Amazon Cognito 身份,cognito-identity

具有驗證和授權服務的 AWS 資源,適用於使用臨時 AWS 認證的應用程式。

未驗證的 身分

未使用識別集區 IdP 登入的使用者。您可以允許使用者在驗證之前,為單一IAM角色產生有限的使用者認證。

使用者認證

使用者在身分識別集區驗證後接收的暫時 AWS API金鑰。