Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Allgemeine Begriffe und Konzepte von Amazon Cognito
Amazon Cognito stellt Anmeldeinformationen für Web- und mobile Apps bereit. Es stützt sich auf Begriffe, die im *Identitäts- und Zugriffsmanagement üblich sind, und* baut auf ihnen auf. Es sind zahlreiche Leitfäden zu universellen Identitäts- und Zugangsbedingungen verfügbar. Einige Beispiele sind:
+ [Terminologie](https://bok.idpro.org/article/id/41/) im IDPro Wissensbestand
+ [AWS Identitätsdienste](https://aws.amazon.com/identity/)
+ [Glossar](https://csrc.nist.gov/glossary) von NIST CSRC
In den folgenden Listen werden Begriffe beschrieben, die nur für Amazon Cognito gelten oder einen bestimmten Kontext in Amazon Cognito haben.
**Topics**
+ [Allgemeines](#cognito-terms-general)
+ [Benutzerpools](#cognito-terms-user-pools)
+ [Identitäten-Pools](#cognito-terms-identity-pools)
## Allgemeines
Die Begriffe in dieser Liste beziehen sich nicht auf Amazon Cognito und sind unter Fachleuten für Identitäts- und Zugriffsmanagement weithin anerkannt. Die folgende Liste ist keine vollständige Liste von Begriffen, sondern eine Anleitung zu ihrem spezifischen Amazon Cognito Cognito-Kontext in diesem Handbuch.
**Zugriffstoken**
Ein JSON-Web-Token (JWT), das Informationen über die [Autorisierung](#terms-authorization) einer Entität für den Zugriff auf Informationssysteme enthält.
**App, Anwendung**
In der Regel eine mobile Anwendung. In diesem Handbuch ist *App* oft eine Abkürzung für eine Webanwendung oder mobile App, die eine Verbindung zu Amazon Cognito herstellt.
**Attributbasierte Zugriffskontrolle (ABAC)**
Ein Modell, bei dem eine App den Zugriff auf Ressourcen anhand der Eigenschaften eines Benutzers bestimmt, z. B. seiner Berufsbezeichnung oder Abteilung. Zu den Amazon Cognito Cognito-Tools zur Durchsetzung von ABAC gehören ID-Token in Benutzerpools und [Prinzipal-Tags](#term-afac) in Identitätspools.
**Authentifizierung**
Der Prozess der Etablierung einer authentischen Identität für den Zugriff auf ein Informationssystem. Amazon Cognito akzeptiert Authentifizierungsnachweise von externen Identitätsanbietern und dient auch als Authentifizierungsanbieter für Softwareanwendungen.
**Autorisierung**
Der Prozess der Erteilung von Berechtigungen für eine Ressource. [Zugriffstoken](#terms-accesstoken) für Benutzerpools enthalten Informationen, anhand derer Anwendungen Benutzern und Systemen den Zugriff auf Ressourcen ermöglichen können.
**Autorisierungsserver**
Ein OAuth oder OpenID Connect (OIDC) -System, das [JSON-Webtoken](#terms-jwt) generiert. Der von Amazon Cognito User Pools [verwaltete Autorisierungsserver](#terms-managedauthorizationserver) ist die Autorisierungsserver-Komponente der beiden Authentifizierungs- und Autorisierungsmethoden in Benutzerpools. [Benutzerpools unterstützen auch API-Challenge-Response-Flows bei der SDK-Authentifizierung.](#terms-upapi)
**Vertrauliche App, serverseitige App**
Eine Anwendung, mit der sich Benutzer remote verbinden, mit Code auf einem Anwendungsserver und Zugriff auf geheime Daten. Dies ist in der Regel eine Webanwendung.
**Identity provider (IdP) (Identitätsanbieter (IdP))**
Ein Dienst, der Benutzeridentitäten speichert und verifiziert. Amazon Cognito kann die Authentifizierung von [externen Anbietern](#terms-externalprovider) anfordern und als IdP für Apps fungieren.
**JSON-Webtoken (JWT)**
Ein Dokument im JSON-Format, das Behauptungen über einen authentifizierten Benutzer enthält. ID-Token authentifizieren Benutzer, Zugriffstoken autorisieren Benutzer und Aktualisierungstoken aktualisieren Anmeldeinformationen. Amazon Cognito empfängt Token von [externen Anbietern](#terms-externalprovider) und gibt Token an Apps aus oder AWS STS.
**Machine-to-machine (M2M) -Autorisierung**
Der Prozess der Autorisierung von Anfragen an API-Endpunkte für non-user-interactive Maschinenentitäten, z. B. eine Webserver-Anwendungsebene. [Benutzerpools dienen der M2M-Autorisierung bei der Gewährung von Kundenanmeldedaten mit OAuth einem Geltungsbereich von 2.0 in Form von Zugriffstoken.](#terms-accesstoken)
**Multi-Faktor-Authentifizierung (MFA)**
Die Anforderung, dass Benutzer nach Eingabe ihres Benutzernamens und Kennworts eine zusätzliche Authentifizierung vornehmen müssen. Amazon Cognito Cognito-Benutzerpools verfügen über MFA-Funktionen für [lokale](#terms-localuser) Benutzer.
**OAuth 2.0 (sozialer) Anbieter**
Ein IdP für einen Benutzerpool oder Identitätspool, der [JWT-Zugriffs](#terms-jwt) - und Aktualisierungstoken bereitstellt. Amazon Cognito Cognito-Benutzerpools automatisieren Interaktionen mit sozialen Anbietern, nachdem sich Benutzer authentifiziert haben.
**OpenID Connect (OIDC) -Anbieter**
Ein IdP für einen Benutzerpool oder Identitätspool, der die [OAuth](#terms-oauth)Spezifikation um die Bereitstellung von ID-Token erweitert. Amazon Cognito Cognito-Benutzerpools automatisieren Interaktionen mit OIDC-Anbietern, nachdem sich Benutzer authentifiziert haben.
**Hauptschlüssel, WebAuthn**
Eine Form der Authentifizierung, bei der kryptografische Schlüssel oder Hauptschlüssel auf dem Gerät eines Benutzers als Authentifizierungsnachweis dienen. Benutzer verifizieren mit biometrischen oder PIN-Code-Mechanismen in einem Hardware- oder Software-Authentifikator, ob sie vorhanden sind. Passwörter sind vor Phishing geschützt und an bestimmte Webseiten/Apps gebunden, sodass sie ein sicheres, passwortloses Erlebnis bieten. Amazon Cognito Cognito-Benutzerpools unterstützen die Anmeldung mit Hauptschlüsseln.
**Passwortlos**
Eine Form der Authentifizierung, bei der ein Benutzer kein Passwort eingeben muss. Zu den Methoden der kennwortlosen Anmeldung gehören Einmalpasswörter (OTPs), die an E-Mail-Adressen und Telefonnummern gesendet werden, sowie Hauptschlüssel. Amazon Cognito Cognito-Benutzerpools unterstützen die Anmeldung mit OTPs und Hauptschlüsseln.
**Öffentliche App**
Eine eigenständige Anwendung auf einem Gerät mit lokal gespeichertem Code und ohne Zugriff auf geheime Daten. Dies ist in der Regel eine mobile App.
**Ressourcenserver**
Eine API mit Zugriffskontrolle. Amazon Cognito Cognito-Benutzerpools verwenden auch den *Ressourcenserver*, um die Komponente zu beschreiben, die die Konfiguration für die Interaktion mit einer API definiert.
**Rollenbasierte Zugriffskontrolle (RBAC)**
Ein Modell, das Zugriff auf der Grundlage der Funktionsbezeichnung eines Benutzers gewährt. Amazon Cognito Cognito-Identitätspools implementieren RBAC mit Differenzierung zwischen IAM-Rollen.
**Dienstanbieter (SP), vertrauende Partei (RP)**
Eine Anwendung, die sich auf einen IdP stützt, um zu bestätigen, dass Benutzer vertrauenswürdig sind. Amazon Cognito agiert extern als SP und IdPs gegenüber Apps als IdP. SPs
**SAML-Anbieter**
Ein IdP für einen Benutzerpool oder Identitätspool, der digital signierte Assertion-Dokumente generiert, die Ihr Benutzer an Amazon Cognito weiterleitet.
**Universally Unique Identifier (UUID)**
Ein 128-Bit-Etikett, das auf ein Objekt angewendet wird. Amazon Cognito UUIDs ist pro Benutzerpool oder Identitätspool einzigartig, entspricht jedoch keinem bestimmten UUID-Format.
**Benutzerverzeichnis**
Eine Sammlung von Benutzern und ihren Attributen, die diese Informationen anderen Systemen zur Verfügung stellt. Amazon Cognito Cognito-Benutzerpools sind Benutzerverzeichnisse und auch Tools zur Konsolidierung von Benutzern aus externen Benutzerverzeichnissen.
## Benutzerpools
Wenn Sie die Begriffe in der folgenden Liste in diesem Handbuch sehen, beziehen sie sich auf eine bestimmte Funktion oder Konfiguration von Benutzerpools.
**Adaptive Authentifizierung**
Eine [erweiterte Sicherheitsfunktion](#term-advancedsecurity), die potenzielle böswillige Aktivitäten erkennt und [Benutzerprofile zusätzlich schützt](#terms-userprofile).
**App-Client**
Eine Komponente, die die Einstellungen für einen Benutzerpool als IdP für eine App definiert.
**Rückruf-URL, Umleitungs-URI, Rückgabe-URL**
Eine Einstellung in einem [App-Client](#term-appclient) und ein Parameter in Anfragen an den [Autorisierungsserver](#terms-managedauthorizationserver) des Benutzerpools. [Die Callback-URL ist das erste Ziel für authentifizierte Benutzer in Ihrer App.](#term-app)
**Wahlbasierte Authentifizierung**
Eine Form der API-Authentifizierung mit Benutzerpools, in denen jedem Benutzer eine Reihe von Anmeldemöglichkeiten zur Verfügung stehen. Sie können zwischen Benutzername und Passwort mit oder ohne MFA, Anmeldung mit Passkey oder passwortloser Anmeldung mit Einmalpasswörtern per E-Mail oder SMS-Nachricht wählen. Ihre Anwendung kann den Auswahlprozess für Benutzer beeinflussen, indem sie eine Liste mit Authentifizierungsoptionen anfordert oder eine bevorzugte Option deklariert.
Vergleichen Sie mit der [clientbasierten Authentifizierung](#terms-declarativeauthentication).
**Client-basierte Authentifizierung**
Eine Form der Authentifizierung mit den Benutzerpools, auf der die API und die Anwendungs-Backends basieren. AWS SDKs Bei der deklarativen Authentifizierung bestimmt Ihre Anwendung unabhängig den Anmeldetyp, den ein Benutzer ausführen soll, und fordert diesen Typ im Voraus an.
Vergleichen Sie mit der [wahlbasierten Authentifizierung.](#terms-choicebasedauthentication)
**Kompromittierte Anmeldeinformationen**
Eine [erweiterte Sicherheitsfunktion](#term-advancedsecurity), die Benutzerkennwörter erkennt, die Angreifer möglicherweise kennen, und [Benutzerprofile](#terms-userprofile) zusätzlich schützt.
**Bestätigung**
Der Prozess, der feststellt, dass die Voraussetzungen erfüllt sind, damit sich ein neuer Benutzer anmelden kann. Die Bestätigung erfolgt in der Regel durch [Bestätigung](#terms-verification) der E-Mail-Adresse oder Telefonnummer.
**Benutzerdefinierte Authentifizierung**
Eine Erweiterung der Authentifizierungsprozesse mit [Lambda-Triggern](#terms-triggers), die zusätzliche Benutzerherausforderungen und -antworten definieren.
**Geräteauthentifizierung**
Ein Authentifizierungsprozess, der [MFA](#terms-mfa) durch eine Anmeldung ersetzt, die die ID eines vertrauenswürdigen Geräts verwendet.
**Domäne, Benutzerpool-Domäne**
Eine Webdomäne, in der Ihre [verwalteten Anmeldeseiten](#terms-managedlogin) gehostet AWS werden. Sie können DNS in einer Domain einrichten, die Ihnen gehört, oder ein identifizierendes Subdomain-Präfix in einer Domain verwenden, die Ihnen AWS gehört.
**Grundlegendes Paket**
Der [Feature-Plan](#terms-featureplan) mit den neuesten Entwicklungen bei Benutzerpools. [Der Essentials-Plan beinhaltet nicht die Sicherheitsfunktionen für automatisiertes Lernen im Plus-Plan.](#terms-plusplan)
**Externer Anbieter, Drittanbieter**
Ein IdP, der eine Vertrauensbeziehung zu einem Benutzerpool unterhält. Benutzerpools dienen als Zwischeneinheit zwischen externen Anbietern und Ihrer Anwendung und verwalten Authentifizierungsprozesse mit SAML 2.0, OIDC und sozialen Anbietern. Benutzerpools konsolidieren die Authentifizierungsergebnisse externer Anbieter in einem einzigen IdP, sodass Ihre Anwendungen viele Benutzer mit einer einzigen OIDC-Rely-Party-Bibliothek verarbeiten können.
**Funktionsplan**
Die Gruppe von Funktionen, die Sie für einen Benutzerpool auswählen können. Bei Funktionsplänen fallen in Ihrer AWS Rechnung unterschiedliche Kosten an. Für neue Benutzerpools wird standardmäßig der [Essentials-Plan](#terms-essentialsplan) verwendet.
**Aktuelle Pläne**
+ [Lite-Plan](#terms-liteplan)
+ [Grundlegendes Paket](#terms-essentialsplan)
+ [Plus-Abo](#terms-plusplan)
**Verbundbenutzer, externer Benutzer**
Ein Benutzer in einem Benutzerpool, der von einem [externen](#terms-externalprovider) Anbieter authentifiziert wurde.
**Gehostete Benutzeroberfläche (klassisch), gehostete UI-Seiten**
Die frühe Version der Authentifizierungs-Front-End-, Relying Party- und Identity Provider-Dienste in Ihrer Benutzerpool-Domain. Die gehostete Benutzeroberfläche verfügt über grundlegende Funktionen und ein vereinfachtes Erscheinungsbild. Sie können das Branding der gehosteten Benutzeroberfläche anwenden, indem Sie eine Logo-Image-Datei und eine Datei mit einem vordefinierten Satz von CSS-Stilen hochladen. Vergleiche mit [verwalteter Anmeldung](#terms-managedlogin).
**Lambda-Trigger**
Eine Funktion AWS Lambda , bei der ein Benutzerpool automatisch an wichtigen Punkten von Benutzerauthentifizierungsprozessen aufgerufen werden kann. Sie können Lambda-Trigger verwenden, um Authentifizierungsergebnisse anzupassen.
**Lokaler Benutzer**
Ein [Benutzerprofil](#terms-userprofile) im [Benutzerpool-Benutzerverzeichnis](#terms-userdirectory), das nicht durch Authentifizierung bei einem [externen Anbieter](#terms-externalprovider) erstellt wurde.
**Verlinkter Benutzer**
Ein Benutzer von einem [externen Anbieter](#terms-externalprovider), dessen Identität mit einem [lokalen Benutzer](#terms-localuser) zusammengeführt wird.
**Lite-Paket**
Der [Funktionsplan](#terms-featureplan) mit den Funktionen, die ursprünglich mit Benutzerpools eingeführt wurden. [Der Lite-Plan beinhaltet weder die neuen Funktionen des [Essentials-Plans](#terms-essentialsplan) noch die Sicherheitsfunktionen für automatisiertes Lernen im Plus-Plan.](#terms-plusplan)
**Verwalteter Autorisierungsserver, gehosteter UI-Autorisierungsserver, Autorisierungsserver**
Eine Komponente der [verwalteten Anmeldung](#terms-managedlogin), die Dienste für die Interaktion mit IdPs und Apps in Ihrer [Benutzerpool-Domain](#terms-domain) hostet. Die [gehostete Benutzeroberfläche](#terms-hostedui) unterscheidet sich von der verwalteten Anmeldung durch die von ihr angebotenen benutzerinteraktiven Funktionen, verfügt jedoch über dieselben Funktionen für den Autorisierungsserver.
**Verwaltete Anmeldung, verwaltete Anmeldeseiten**
Eine Reihe von Webseiten in Ihrer [Benutzerpool-Domain](#terms-domain), auf denen Dienste für die Benutzerauthentifizierung gehostet werden. Diese Dienste umfassen Funktionen für den Betrieb als [IdP](#terms-idp), als [vertrauende Partei](#terms-relyingparty) für Dritte IdPs und als Server einer benutzerinteraktiven Authentifizierungsschnittstelle. Wenn Sie eine Domain für Ihren Benutzerpool einrichten, stellt Amazon Cognito alle verwalteten Anmeldeseiten online.
Ihre Anwendung importiert OIDC-Bibliotheken, die die Browser der Benutzer aufrufen und sie für die Registrierung, Anmeldung, Passwortverwaltung und andere Authentifizierungsvorgänge zur verwalteten Anmelde-Benutzeroberfläche weiterleiten. Nach der Authentifizierung können die OIDC-Bibliotheken das Ergebnis der Authentifizierungsanfrage verarbeiten.
**Verwaltete Anmeldeauthentifizierung**
Melden Sie sich mit den Diensten in Ihrer [Benutzerpool-Domain](#terms-domain) an, indem Sie benutzerinteraktive Browserseiten oder HTTPS-API-Anfragen verwenden. Anwendungen verwalten die verwaltete Anmeldeauthentifizierung mit OpenID Connect (OIDC) -Bibliotheken. [Dieser Prozess umfasst die Anmeldung bei [externen Anbietern](#terms-externalprovider), die Anmeldung für lokale Benutzer mit interaktiven verwalteten Anmeldeseiten und die M2M-Autorisierung.](#terms-m2m) Die Authentifizierung mit der klassischen [gehosteten Benutzeroberfläche fällt](#terms-hostedui) ebenfalls unter diesen Begriff.
Vergleiche mit der [AWS SDK-Authentifizierung](#terms-upapi).
**Plus-Plan**
Der [Funktionsplan](#terms-featureplan) mit den neuesten Entwicklungen und erweiterten Sicherheitsfunktionen in Benutzerpools.
**SDK-Authentifizierung, AWS SDK-Authentifizierung**
Eine Reihe von API-Vorgängen für Authentifizierung und Autorisierung, die Sie Ihrem Anwendungs-Backend mit einem AWS SDK hinzufügen können. Dieses Authentifizierungsmodell erfordert Ihren eigenen, maßgeschneiderten Anmeldemechanismus. Die API kann [lokale Benutzer und [verknüpfte Benutzer](#terms-linkeduser)](#terms-localuser) anmelden.
Vergleichen Sie mit der [verwalteten Anmeldeauthentifizierung](#terms-managedloginauthentication).
**Schutz vor Bedrohungen, erweiterte Sicherheitsfunktionen**
In Benutzerpools bezieht sich der Begriff Bedrohungsschutz auf Technologien, die darauf ausgelegt sind, Bedrohungen für Ihre Authentifizierungs- und Autorisierungsmechanismen zu minimieren. Adaptive Authentifizierung, Erkennung kompromittierter Anmeldeinformationen und Blocklisten für IP-Adressen gehören zur Kategorie Bedrohungsschutz.
**Anpassung von Tokens**
Das Ergebnis eines [Lambda-Triggers](#terms-triggers) vor der Token-Generierung, der die ID oder das Zugriffstoken eines Benutzers zur Laufzeit ändert.
**Benutzerpool, Amazon Cognito Cognito-Identitätsanbieter`cognito-idp`, Amazon Cognito Cognito-Benutzerpools**
Eine AWS Ressource mit Authentifizierungs- und Autorisierungsdiensten für Anwendungen, die mit OIDC funktionieren. IdPs
**Verifizierung**
Der Prozess der Bestätigung, dass ein Benutzer eine E-Mail-Adresse oder Telefonnummer besitzt. Ein Benutzerpool sendet einen Code an einen Benutzer, der eine neue E-Mail-Adresse oder Telefonnummer eingegeben hat. Wenn sie den Code an Amazon Cognito senden, verifizieren sie, dass sie Eigentümer des Nachrichtenziels sind und können zusätzliche Nachrichten aus dem Benutzerpool empfangen. Siehe auch [Bestätigung](#terms-confirmation).
**Benutzerprofil, Benutzerkonto**
Ein Eintrag für einen Benutzer im [Benutzerverzeichnis](#terms-userdirectory). Alle Benutzer, auch solche von Drittanbietern IdPs, haben ein Profil in ihrem Benutzerpool.
## Identitäten-Pools
Wenn Sie die Begriffe in der folgenden Liste in diesem Handbuch sehen, beziehen sie sich auf eine bestimmte Funktion oder Konfiguration von Identitätspools.
**Attribute für Zugriffskontrolle**
Eine Implementierung der [attributbasierten Zugriffskontrolle](#terms-abac) in Identitätspools. Identitätspools wenden Benutzerattribute als Tags auf Benutzeranmeldedaten an.
**Grundlegende (klassische) Authentifizierung**
Ein Authentifizierungsprozess, bei dem Sie die Anforderung von [Benutzeranmeldeinformationen](#terms-usercredentials) anpassen können.
**Entwicklerauthentifizierte Identitäten**
Ein Authentifizierungsprozess, bei dem [Benutzeranmeldedaten und Entwickleranmeldedaten für](#terms-usercredentials) [Identitätspools autorisiert werden](#terms-developercredentials).
**Anmeldeinformationen für Entwickler**
Die IAM-API-Schlüssel eines Identitätspool-Administrators.
**Verbesserte Authentifizierung**
Ein Authentifizierungsablauf, der eine IAM-Rolle auswählt und Prinzipal-Tags gemäß der Logik anwendet, die Sie in Ihrem Identitätspool definieren.
**Identität**
Eine [UUID](#terms-uuid), die einen App-Benutzer und seine [Benutzeranmeldeinformationen](#terms-usercredentials) mit seinem Profil in einem externen [Benutzerverzeichnis](#terms-userdirectory) verknüpft, das eine Vertrauensstellung mit einem Identitätspool unterhält.
**Identitätspool, Amazon Cognito Federated Identities, Amazon Cognito Identity, `cognito-identity`**
[Eine AWS Ressource mit Authentifizierungs- und Autorisierungsdiensten für Anwendungen, die temporäre Anmeldeinformationen verwenden. AWS](#terms-usercredentials)
**Nicht authentifizierte -Identität**
Ein Benutzer, der sich nicht mit einem Identitätspool-IdP angemeldet hat. Sie können Benutzern erlauben, begrenzte Benutzeranmeldedaten für eine einzelne IAM-Rolle zu generieren, bevor sie sich authentifizieren.
**Benutzeranmeldedaten**
Temporäre AWS API-Schlüssel, die Benutzer nach der Identitätspool-Authentifizierung erhalten.