Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Puntos de conexión de los proveedores de identidades y de la relación de confianza
Los puntos finales de federación son puntos finales de grupos de usuarios que cumplen un propósito para uno de los estándares de autenticación utilizados por los grupos de usuarios. Contienen direcciones URL de ACS de SAML, puntos de conexión de detección de OIDC y puntos de conexión de servicio para roles de grupos de usuarios, tanto de proveedor de identidades como de la relación de confianza. Los puntos de enlace de la federación inician los flujos de autenticación, reciben una prueba de IdPs autenticación y emiten tokens a los clientes. Interactúan con IdPs las aplicaciones y los administradores, pero no con los usuarios.
Los temas que se abordan en la páginas completas posteriores a esta página contienen detalles sobre los puntos de conexión de los proveedores OAuth 2.0 y OIDC que pasan a estar disponibles cuando añade un dominio a un grupo de usuarios. En el siguiente gráfico, se muestra una lista de todos los puntos de conexión de federación.
Algunos ejemplos de dominios de grupos de usuarios:
-
Dominio de prefijo:
mydomain.auth.us-east-1.amazoncognito.com -
Dominio personalizado:
auth.example.com
| URL del punto de conexión | Description (Descripción) | Cómo se accede |
|---|---|---|
https://Your user pool
domain/oauth2/authorize |
Redirige un usuario al inicio de sesión administrado o a iniciar sesión con el IdP. | Se invoca en el navegador del cliente para iniciar la autenticación del usuario. Consulte Autorizar punto de conexión. |
https://Your user pool
domain/oauth2/token |
Devuelve los tokens en función de un código de autorización o de una solicitud de credenciales del cliente. | La aplicación la solicita para recuperar los tokens. Consulte Punto de conexión de token. |
https://Your user pool
domain/oauth2/userInfo |
Devuelve los atributos de usuario en función de los alcances y la identidad del usuario de OAuth 2.0 en un token de acceso. | La aplicación la solicita para recuperar el perfil de usuario. Consulte El punto de conexión userInfo. |
https://Your user pool
domain/oauth2/revoke |
Revoca un token de actualización y los tokens de acceso asociados. | La aplicación la solicita para revocar un token. Consulte Revocación de puntos de conexión. |
https://cognito-idp.Regionyour
user pool ID.amazonaws.com/ /.well- -configuración known/openid |
Un directorio de la arquitectura OIDC de su grupo de usuarios. 1 | La aplicación la solicita para localizar los metadatos del emisor del grupo de usuarios. |
https://cognito-idp.Regionyour
user pool ID.amazonaws.com/ /.well-.json known/jwks |
Claves públicas que puede usar para validar los tokens de Amazon Cognito. 2 | La aplicación la solicita para verificar los JWT. |
https://Your user pool
domain/oauth2/idpresponse |
Los proveedores de identidades social deben redirigir a los usuarios a este punto de conexión con un código de autorización. Amazon Cognito canjea el código por un token cuando autentica al usuario federado. | Se redirigió desde el inicio de sesión del IdP de OIDC como URL de devolución de llamada del cliente de IdP. |
https://Your user pool
domain/saml2/idpresponse |
La URL de Assertion Consumer Response (ACS) para la integración con los proveedores de identidades de SAML 2.0. | Redirigido desde el IdP de SAML 2.0 como URL de ACS o punto de origen para el inicio de sesión. IdP-initiated 3 |
https:///Your user pool
domainsaml2/logout |
La URL de cierre de sesión único (SLO) para la integración con los proveedores de identidades SAML 2.0. | Se redirige desde el IdP SAML 2.0 como URL de cierre de sesión único (SLO). Solo acepta enlaces de tipo POST. |
1 El documento openid-configuration puede actualizarse en cualquier momento con información adicional que permita que el punto de conexión cumpla con las especificaciones de OIDC y OAuth2.
2 El archivo JSON jwks.json se puede actualizar en cualquier momento para incluir nuevas claves públicas de firma con token.
3 Para obtener más información sobre el inicio de sesión con IdP-initiated SAML, consulte. Implementación del inicio de sesión de SAML iniciado por el IdP
Para obtener más información acerca de los estándares OpenID Connect y OAuth, consulte OpenID Connect 1.0
Grupos de usuarios de Amazon Cognito como emisor de OIDC
Los grupos de usuarios de Amazon Cognito funcionan como proveedores de identidad de OpenID Connect (OIDC) y actúan como un emisor que las bibliotecas de aplicaciones pueden utilizar para la federación de OIDC. Las bibliotecas de aplicaciones para la federación de OIDC pueden hacer referencia a las dos rutas diferentes, tal como se explica a continuación, como punto final de detección automática. Este punto final proporciona acceso al conjunto de claves web JSON (JWKS) /.well-known/jwks.json y a los metadatos de descubrimiento de OIDC en/.well-known/openid-configuration, donde las aplicaciones pueden descubrir los puntos finales de autorización, token y UserInfo.
Las aplicaciones que admiten la detección automática del OIDC pueden configurarse automáticamente consultando estos puntos finales conocidos. En el caso de las aplicaciones que no admiten la detección automática, puede codificar la aplicación con los puntos finales específicos del OIDC que se enumeran en la sección anterior.
Tipos de emisores de grupos de usuarios
- Emisor original
-
La configuración de emisor predeterminada actual para los grupos de usuarios. La URL del emisor está alojada en la región del grupo de usuarios y proporciona los puntos de enlace OIDC específicos de esa región.
Los emisores originales adoptan el formato.
https://cognito-idp.us-east-1.amazonaws.com/us-east-1_EXAMPLE - Emisor actualizado
-
Se recomienda para todos los grupos de usuarios, incluida la replicación en varias regiones. Los emisores actualizados alojan el mismo contenido del JWKS en varias regiones, lo que mejora la resiliencia y la eficiencia.
Los emisores actualizados adoptan el formato
https://issuer-cognito-idp., queus-east-1.amazonaws.com/us-east-1_EXAMPLERegiones el principal del grupo Región de AWS de usuarios.