Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Points de terminaison du fournisseur d'identité et des parties utilisatrices
Les points de terminaison de fédération sont des points de terminaison de groupes d'utilisateurs répondant à l'une des normes d'authentification utilisées par les groupes d'utilisateurs. Ils incluent les URL SAML ACS, les points de terminaison de découverte OIDC et les points de terminaison de service pour les rôles du pool d'utilisateurs à la fois en tant que fournisseur d'identité et partie utilisatrice. Les points de terminaison de la fédération initient des flux d'authentification, reçoivent des preuves d' IdPsauthentification et émettent des jetons aux clients. Ils interagissent avec IdPs les applications et les administrateurs, mais pas avec les utilisateurs.
Les rubriques complètes qui suivent cette page contiennent des informations sur les points de terminaison des fournisseurs OAuth 2.0 et OIDC qui deviennent disponibles lorsque vous ajoutez un domaine à votre groupe d'utilisateurs. Le tableau suivant est une liste de tous les points de terminaison de la fédération.
Voici des exemples de domaines de pool d'utilisateurs :
-
Domaine de préfixe :
mydomain.auth.us-east-1.amazoncognito.com -
Domaine personnalisé :
auth.example.com
| URL de point de terminaison | Description | Procédure d’accès |
|---|---|---|
https ://Your user pool
domain/oauth2/authorize |
Redirige un utilisateur vers une connexion gérée ou vers une connexion avec son IdP. | Invoqué dans le navigateur du client pour démarrer l'authentification de l'utilisateur. Consultez Point de terminaison d’autorisation. |
https ://Your user pool
domain/oauth2/token |
Renvoie des jetons en fonction d’un code d’autorisation ou d’une demande d’informations d’identification client. | Demandé par l'application pour récupérer des jetons. Consultez Point de terminaison de jeton. |
https ://Your user pool
domain/oauth2/userInfo |
Renvoie les attributs utilisateur en fonction des étendues OAuth 2.0 et de l’identité de l’utilisateur dans un jeton d’accès. | Demandé par l'application pour récupérer le profil utilisateur. Consultez Point de terminaison UserInfo. |
https ://Your user pool
domain/oauth2/revoke |
Révoque un jeton d’actualisation et les jetons d’accès associés. | Demandé par l'application pour révoquer un jeton. Consultez Point de terminaison de révocation. |
https://cognito-idp.Region.amazonaws.com/ /.well- -configuration your
user pool ID known/openid |
Un répertoire de l'architecture OIDC de votre groupe d'utilisateurs. 1 | Demandé par l'application pour localiser les métadonnées de l'émetteur du pool d'utilisateurs. |
https://cognito-idp.Region.amazonaws.com/ /.well- your
user pool ID .json known/jwks |
Clés publiques que vous pouvez utiliser pour valider les jetons Amazon Cognito. 2 | Demandé par l'application pour vérifier les JWT. |
https ://Your user pool
domain/oauth2/idpresponse |
Les fournisseurs d’identité sociale doivent rediriger vos utilisateurs vers ce point de terminaison à l’aide d’un code d’autorisation. Amazon Cognito échange le code contre un jeton lorsqu’il authentifie votre utilisateur fédéré. | Redirigé depuis la connexion au fournisseur d’identité OIDC en tant qu’URL de rappel du client du fournisseur d’identité. |
https ://Your user pool
domain/saml2/idpresponse |
URL d'Assertion Consumer Response (ACS) pour l'intégration avec les fournisseurs d'identité SAML 2.0. | Redirigé depuis SAML 2.0 IdP en tant qu'URL ACS ou point d'origine pour la connexion. IdP-initiated 3 |
https ://Your user pool
domain/saml2/logout |
URL de déconnexion unique (SLO) pour l'intégration avec les fournisseurs d'identité SAML 2.0. | Redirigé depuis SAML 2.0 IdP en tant qu'URL de déconnexion unique (SLO). Accepte uniquement la reliure POST. |
1 Le openid-configuration document peut être mis à jour à tout moment avec des informations supplémentaires garantissant la conformité du terminal aux spécifications OIDC et OAuth2.
2 Le fichier jwks.json JSON peut être mis à jour à tout moment avec de nouvelles clés de signature à jeton public.
3 Pour plus d'informations sur la connexion IdP-initiated SAML, consultez. Mettre en œuvre la connexion SAML initiée par l'IdP
Pour plus d’informations sur les standards OpenID Connect et OAuth, consultez OpenID Connect 1.0
Groupes d'utilisateurs Amazon Cognito en tant qu'émetteur OIDC
Les groupes d'utilisateurs Amazon Cognito fonctionnent comme des fournisseurs d'identité OpenID Connect (OIDC), servant d'émetteur que les bibliothèques d'applications peuvent utiliser pour la fédération OIDC. Les bibliothèques d'applications pour la fédération OIDC peuvent référencer les deux chemins différents, comme indiqué ci-dessous, en tant que point de terminaison de découverte automatique. Ce point de terminaison fournit un accès au jeu de clés Web JSON (JWKS) /.well-known/jwks.json et aux métadonnées de découverte OIDC à l'adresse/.well-known/openid-configuration, où les applications peuvent découvrir les points de terminaison d'autorisation, de jeton et d'UserInfo.
Les applications qui prennent en charge la détection automatique OIDC peuvent se configurer automatiquement en interrogeant ces points de terminaison bien connus. Pour les applications qui ne prennent pas en charge la découverte automatique, vous pouvez coder votre application en dur avec les points de terminaison OIDC spécifiques répertoriés dans la section précédente.
Types d'émetteurs du groupe d'utilisateurs
- Émetteur d'origine
-
Configuration actuelle de l'émetteur par défaut pour les groupes d'utilisateurs. L'URL de l'émetteur est hébergée dans la région du groupe d'utilisateurs et fournit des points de terminaison OIDC spécifiques à cette région.
Les émetteurs originaux adoptent le format.
https://cognito-idp.us-east-1.amazonaws.com/us-east-1_EXAMPLE - Émetteur mis à jour
-
Recommandé pour tous les groupes d'utilisateurs, y compris pour la réplication multirégionale. Les émetteurs mis à jour hébergent le même contenu JWKS dans plusieurs régions, ce qui améliore la résilience et l'efficacité.
Les émetteurs mis à jour adoptent le format
https://issuer-cognito-idp.où seus-east-1.amazonaws.com/us-east-1_EXAMPLERegiontrouve le principal Région AWS de votre groupe d'utilisateurs.