Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitätsanbieter und Endpunkte der vertrauenden Partei
Verbundendpunkte sind Benutzerpool-Endpunkte, die einem der von Benutzerpools verwendeten Authentifizierungsstandards dienen. Dazu gehören SAML-ACS-URLs, OIDC-Erkennungsendpunkte und Dienstendpunkte für Benutzerpools, die sowohl als Identitätsanbieter als auch als vertrauende Partei fungieren. Verbundendpunkte initiieren Authentifizierungsabläufe, erhalten Authentifizierungsnachweise von Clients und stellen Token an diese aus IdPs. Sie interagieren mit IdPs Anwendungen und Administratoren, aber nicht mit Benutzern.
Die ganzseitigen Themen nach dieser Seite enthalten Informationen zu den OAuth 2.0- und OIDC-Provider-Endpunkten, die verfügbar werden, wenn Sie Ihrem Benutzerpool eine Domain hinzufügen. Die folgende Tabelle enthält eine Liste aller Verbundendpunkte.
Beispiele für Benutzerpool-Domänen sind:
-
Präfixdomäne:
mydomain.auth.us-east-1.amazoncognito.com -
Benutzerdefinierte Domain:
auth.example.com
| Endpunkt-URL | Description | Zugriff darauf |
|---|---|---|
https://Your user pool
domain/oauth2/authorize |
Leitet einen Benutzer entweder zur verwalteten Anmeldung oder zur Anmeldung mit seinem IdP weiter. | Wird im Kundenbrowser aufgerufen, um mit der Benutzerauthentifizierung zu beginnen. Siehe Autorisieren des Endpunkts. |
https:///Your user pool
domainoauth2/token |
Gibt Token auf der Grundlage eines Autorisierungscodes oder einer Anforderung von Kundenanmeldeinformationen zurück. | Von der App angefordert, um Token abzurufen. Siehe Token-Endpunkt. |
https://Your user pool
domain/oauth2/userInfo |
Gibt Benutzerattribute auf der Grundlage von OAuth-2.0-Bereichen und der Benutzeridentität in einem Zugriffs-Token zurück. | Von der App aufgefordert, das Benutzerprofil abzurufen. Siehe UserInfo-Endpunkt. |
https://Your user pool
domain/oauth2/revoke |
Widerruft ein Aktualisierungs-Token und die zugehörigen Zugriffs-Token. | Von der App aufgefordert, ein Token zu widerrufen. Siehe Widerrufen des Endpunkts. |
https://cognito-idp.Regionyour
user pool ID.amazonaws.com/ /.well-configuration known/openid |
Ein Verzeichnis der OIDC-Architektur Ihres Benutzerpools. 1 | Von der App angefordert, um Metadaten des Benutzerpool-Emittenten zu finden. |
https://cognito-idp.Region.amazonaws.com/ your
user pool ID /.well- .json known/jwks |
Öffentliche Schlüssel, mit denen Sie Amazon Cognito Cognito-Token validieren können. 2 | Von der App angefordert, um JWTs zu verifizieren. |
https:///Your user pool
domainoauth2/idpresponse |
Social-Identitätsanbieter müssen Ihre Benutzer mit einem Autorisierungscode an diesen Endpunkt umleiten. Amazon Cognito löst den Code gegen ein Token ein, wenn es Ihren Verbundbenutzer authentifiziert. | Weitergeleitet von der OIDC-IdP-Anmeldung als IdP-Client-Callback-URL. |
https://Your user pool
domain/saml2/idpresponse |
Die Assertion Consumer Response (ACS) -URL für die Integration mit SAML 2.0-Identitätsanbietern. | Umgeleitet von SAML 2.0-IdP als ACS-URL oder Ausgangspunkt für die Anmeldung. IdP-initiated 3 |
https:///Your user pool
domainsaml2/logout |
Die Single Logout (SLO) -URL für die Integration mit SAML 2.0-Identitätsanbietern. | Umgeleitet von SAML 2.0 IdP als Single Logout (SLO) -URL. Akzeptiert nur POST-Bindung. |
1 Das openid-configuration Dokument kann jederzeit mit zusätzlichen Informationen aktualisiert werden, damit der Endpunkt den OIDC- und OAuth2-Spezifikationen entspricht.
2 Die jwks.json JSON-Datei kann jederzeit mit neuen öffentlichen Token-Signaturschlüsseln aktualisiert werden.
3 Weitere Informationen zur IdP-initiated SAML-Anmeldung finden Sie unter. Implementieren Sie die IDP-initiierte SAML-Anmeldung
Weitere Informationen zu den OpenID-Connect- und OAuth-Standards finden Sie unter OpenID Connect 1.0
Amazon Cognito Cognito-Benutzerpools als OIDC-Emittent
Amazon Cognito Cognito-Benutzerpools fungieren als OpenID Connect (OIDC) -Identitätsanbieter und dienen als Aussteller, den Anwendungsbibliotheken für den OIDC-Verbund verwenden können. Anwendungsbibliotheken für den OIDC-Verbund können auf die beiden verschiedenen Pfade verweisen, wie unten beschrieben, als Autodiscovery-Endpunkt. Dieser Endpunkt bietet Zugriff auf das JSON Web Key Set (JWKS) /.well-known/jwks.json und die OIDC-Discovery-Metadaten unter/.well-known/openid-configuration, wo Anwendungen die Autorisierungs-, Token- und UserInfo-Endpunkte ermitteln können.
Anwendungen, die OIDC-Autodiscovery unterstützen, können sich automatisch selbst konfigurieren, indem sie diese bekannten Endpunkte abfragen. Für Anwendungen, die Autodiscovery nicht unterstützen, können Sie Ihre Anwendung mit den spezifischen OIDC-Endpunkten, die im vorherigen Abschnitt aufgeführt sind, hartcodieren.
Typen von Benutzerpools und Emittenten
- Ursprünglicher Emittent
-
Die aktuelle Standard-Emittentenkonfiguration für Benutzerpools. Die Aussteller-URL wird in der Region des Benutzerpools gehostet und bietet OIDC-Endpunkte, die für diese Region spezifisch sind.
Die ursprünglichen Emittenten verwenden das Format.
https://cognito-idp.us-east-1.amazonaws.com/us-east-1_EXAMPLE - Aktualisierter Emittent
-
Für alle Benutzerpools empfohlen, auch für die Replikation in mehreren Regionen. Aktualisierte Emittenten hosten dieselben JWKS-Inhalte in mehreren Regionen, was zu einer verbesserten Widerstandsfähigkeit und Effizienz führt.
Aktualisierte Emittenten verwenden das Format
https://issuer-cognito-idp., in dem sich der Hauptteil AWS-Region Ihres Benutzerpoolsus-east-1.amazonaws.com/us-east-1_EXAMPLERegionbefindet.
Themen
