Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Endpoint del provider di identità e del relying party
Gli endpoint federativi sono endpoint di pool di utenti che servono a uno degli standard di autenticazione utilizzati dai pool di utenti. Includono URL SAML ACS, endpoint di rilevamento OIDC ed endpoint di servizio per i ruoli del pool di utenti sia come provider di identità che come relying party. Gli endpoint federativi avviano i flussi di autenticazione, ricevono la prova dell'autenticazione dai client ed emettono token ai clienti. IdPs Interagiscono con IdPs le applicazioni e gli amministratori, ma non con gli utenti.
Gli argomenti a pagina intera che seguono questa pagina contengono dettagli sugli endpoint dei provider OAuth 2.0 e OIDC che diventano disponibili quando si aggiunge un dominio al pool di utenti. La tabella seguente è un elenco di tutti gli endpoint della federazione.
Esempi di domini di pool di utenti sono:
-
Dominio con prefisso:
mydomain.auth.us-east-1.amazoncognito.com -
Dominio personalizzato:
auth.example.com
| URL dell'endpoint | Description | Modalità di accesso |
|---|---|---|
https://Your user pool
domain/oauth2/authorize |
Reindirizza un utente all'accesso gestito o all'accesso con il proprio IdP. | Richiamato nel browser del cliente per iniziare l'autenticazione dell'utente. Per informazioni, consulta Endpoint Authorize. |
https:///Your user pool
domainoauth2/token |
Restituisce i token in base a un codice di autorizzazione o richiesta di credenziali del client. | Richiesto dall'app per recuperare i token. Per informazioni, consulta Endpoint Token. |
https:///Your user pool
domainoauth2/userInfo |
Restituisce gli attributi utente in base agli ambiti OAuth 2.0 e all'identità utente in un token di accesso. | Richiesto dall'app per recuperare il profilo utente. Per informazioni, consulta Endpoint UserInfo. |
https:///Your user pool
domainoauth2/revoke |
Revoca un token di aggiornamento e i token di accesso associati. | Richiesta dall'app di revocare un token. Per informazioni, consulta Endpoint Revoke. |
https://cognito-idp.Region.amazonaws.com/ your
user pool ID /.well- -configurazione known/openid |
Una directory dell'architettura OIDC del tuo pool di utenti. 1 | Richiesto dall'app per individuare i metadati dell'emittente del pool di utenti. |
https://cognito-idp.Region.amazonaws.com/ /.well- .json your
user pool ID known/jwks |
Chiavi pubbliche che puoi utilizzare per convalidare i token Amazon Cognito. 2 | Richiesto dall'app per verificare i JWT. |
https:///Your user pool
domainoauth2/idpresponse |
I gestori dell'identità digitale devono reindirizzare gli utenti a questo endpoint con un codice di autorizzazione. Amazon Cognito riscatta il codice per un token quando autentica l'utente federato. | Reindirizzato dall'accesso IdP OIDC come URL di callback del client IdP. |
https://Your user pool
domain/saml2/idpresponse |
L'URL di Assertion Consumer Response (ACS) per l'integrazione con i provider di identità SAML 2.0. | Reindirizzato da SAML 2.0 IdP come URL ACS o punto di origine per l'accesso. IdP-initiated 3 |
Your user pool
domainhttps:///saml2/logout |
L'URL Single Logout (SLO) per l'integrazione con i provider di identità SAML 2.0. | Reindirizzato da SAML 2.0 IdP come URL di accesso singolo (SLO). Accetta solo l'associazione POST. |
1 Il openid-configuration documento può essere aggiornato in qualsiasi momento con informazioni aggiuntive che mantengano l'endpoint conforme alle specifiche OIDC e OAuth2.
2 Il file jwks.json JSON può essere aggiornato in qualsiasi momento con nuove chiavi pubbliche per la firma dei token.
3 Per ulteriori informazioni sull'accesso a IdP-initiated SAML, consulta. Implementazione dell'accesso SAML avviato da IdP
Per ulteriori informazioni sugli standard OpenID Connect e OAuth, consultare OpenID Connect 1.0
Pool di utenti di Amazon Cognito come emittente OIDC
I pool di utenti di Amazon Cognito funzionano come provider di identità OpenID Connect (OIDC), fungendo da emittente che le librerie di applicazioni possono utilizzare per la federazione OIDC. Le librerie di applicazioni per la federazione OIDC possono fare riferimento ai due diversi percorsi, come illustrato di seguito, come endpoint di autodiscovery. Questo endpoint fornisce l'accesso al JSON Web Key Set (JWKS) /.well-known/jwks.json e ai metadati di rilevamento OIDC all'indirizzo/.well-known/openid-configuration, dove le applicazioni possono scoprire gli endpoint di autorizzazione, token e UserInfo.
Le applicazioni che supportano l'individuazione automatica OIDC possono configurarsi automaticamente interrogando questi endpoint noti. Per le applicazioni che non supportano l'individuazione automatica, è possibile codificare l'applicazione con gli endpoint OIDC specifici elencati nella sezione precedente.
Tipi di emittenti del pool di utenti
- Emittente originale
-
L'attuale configurazione dell'emittente predefinita per i pool di utenti. L'URL dell'emittente è ospitato nella regione del pool di utenti e fornisce endpoint OIDC specifici per quella regione.
Gli emittenti originali adottano il formato.
https://cognito-idp.us-east-1.amazonaws.com/us-east-1_EXAMPLE - Emittente aggiornato
-
Consigliato per tutti i pool di utenti, inclusa la replica in più regioni. Gli emittenti aggiornati ospitano gli stessi contenuti JWKS in più regioni, con conseguente miglioramento della resilienza e dell'efficienza.
Gli emittenti aggiornati adottano il formato
https://issuer-cognito-idp., doveus-east-1.amazonaws.com/us-east-1_EXAMPLERegionè il principale Regione AWS del pool di utenti.
Argomenti
