Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Vom Benutzerpool verwaltete Anmeldung
<a name="cognito-user-pools-managed-login"></a>

Sie können eine Webdomain auswählen, um Dienste für Ihren Benutzerpool zu hosten. Ein Amazon Cognito Cognito-Benutzerpool erhält die folgenden Funktionen, wenn Sie eine Domain hinzufügen, die zusammen als *verwaltete Anmeldung* bezeichnet wird.
+ Ein [Autorisierungsserver](https://datatracker.ietf.org/doc/html/rfc6749#section-1.1), der als Identitätsanbieter (IdP) für Anwendungen fungiert, die mit OAuth 2.0 und OpenID Connect (OIDC) funktionieren. Der Autorisierungsserver [leitet Anfragen weiter](authorization-endpoint.md), gibt aus [und verwaltet JSON-Webtoken (JWTs)](token-endpoint.md) und [stellt](userinfo-endpoint.md) Benutzerattributinformationen bereit.
+ Eine ready-to-use Benutzeroberfläche (UI) für Authentifizierungsvorgänge wie Anmeldung, Abmeldung und Passwortverwaltung. Die *verwalteten Anmeldeseiten* dienen als Web-Frontend für Authentifizierungsdienste.
+ Ein Service Provider (SP) oder Relying Party (RP) für SAML 2.0 IdPs, OIDC IdPs, Facebook, Login with Amazon, Sign in with Apple und Google.

*Eine zusätzliche Option, die einige Funktionen mit der verwalteten Anmeldung teilt, ist die klassische gehostete Benutzeroberfläche.* Die klassische gehostete Benutzeroberfläche ist eine Version der Managed Login Services der ersten Generation. Gehostete UI-IdP- und RP-Dienste haben im Allgemeinen dieselben Eigenschaften wie verwaltete Anmeldeseiten, aber die Anmeldeseiten haben ein einfacheres Design und weniger Funktionen. Beispielsweise ist die Anmeldung mit dem Hauptschlüssel in der klassischen gehosteten Benutzeroberfläche nicht verfügbar. Im [Lite-Featureplan](cognito-sign-in-feature-plans.md) ist die klassische gehostete Benutzeroberfläche Ihre einzige Option für Benutzerpool-Domänendienste.

Bei den verwalteten Anmeldeseiten handelt es sich um eine Sammlung von Weboberflächen für grundlegende Aktivitäten wie Registrierung, Anmeldung, mehrstufige Authentifizierung und Kennwortzurücksetzung in Ihrem Benutzerpool. Sie verbinden Benutzer auch mit einem oder mehreren externen Identitätsanbietern (IdPs), wenn Sie Benutzern die Wahl zwischen verschiedenen Anmeldeoptionen geben möchten. Ihre App kann Ihre verwalteten Anmeldeseiten in den Browsern der Benutzer aufrufen, wenn Sie Benutzer authentifizieren und autorisieren möchten.

Sie können die Benutzererfahrung mit verwalteten Logins mit benutzerdefinierten Logos, Hintergründen und Stilen an Ihre Marke anpassen. Sie haben zwei Optionen für das Branding, das Sie auf Ihre verwaltete Anmelde-Benutzeroberfläche anwenden können: den *Branding-Editor* für die verwaltete Anmeldung und das *(klassische) Branding der gehosteten Benutzeroberfläche* für die gehostete Benutzeroberfläche.

**Branding-Editor**  
Eine aktualisierte Benutzererfahrung mit den meisten up-to-date Authentifizierungsoptionen und einem visuellen Editor in der Amazon Cognito Cognito-Konsole.

**Branding der gehosteten Benutzeroberfläche**  
Eine vertraute Benutzererfahrung für frühere Anwender von Amazon Cognito Cognito-Benutzerpools. Das Branding für die gehostete Benutzeroberfläche ist ein dateibasiertes System. Um das Branding auf gehostete UI-Seiten anzuwenden, laden Sie eine Logo-Bilddatei und eine Datei hoch, in der Werte für mehrere vordefinierte CSS-Stiloptionen festgelegt sind.

Der Branding-Editor ist nicht in allen Funktionsplänen für Benutzerpools verfügbar. Weitere Informationen finden Sie unter [Funktionspläne für Benutzerpools](cognito-sign-in-feature-plans.md).

Weitere Informationen zur Erstellung von Anfragen für verwaltete Anmelde- und gehostete Benutzeroberflächendienste finden Sie unter[Benutzerpool-Endpunkte und Referenz für verwaltete Logins](cognito-userpools-server-contract-reference.md).

**Anmerkung**  
Die von Amazon Cognito verwaltete Anmeldung unterstützt keine benutzerdefinierte Authentifizierung mit [Lambda-Triggern für benutzerdefinierte Authentifizierungsherausforderungen](user-pool-lambda-challenge.md).

**Topics**
+ [Lokalisierung bei verwalteter Anmeldung](#managed-login-localization)
+ [Bedingungsdokumente](#managed-login-terms-documents)
+ [Einrichtung der verwalteten Anmeldung mit AWS Amplify](#cognito-user-pools-app-integration-amplify)
+ [Verwaltete Anmeldung mit der Amazon Cognito Cognito-Konsole einrichten](#set-up-managed-login)
+ [Anzeigen Ihrer Anmeldeseite](#view-login-pages)
+ [Anpassen Ihrer Authentifizierungsseiten](#cognito-user-pools-app-integration-customize-hosted-ui)
+ [Wissenswertes zur verwalteten Anmeldung und zur gehosteten Benutzeroberfläche](#managed-login-things-to-know)
+ [Konfigurieren einer Benutzerpool-Domäne](cognito-user-pools-assign-domain.md)
+ [Branding auf verwaltete Anmeldeseiten anwenden](managed-login-branding.md)

## Lokalisierung bei verwalteter Anmeldung
<a name="managed-login-localization"></a>

Bei der verwalteten Anmeldung wird auf benutzerinteraktiven Seiten standardmäßig die englische Sprache verwendet. Sie können Ihre verwalteten Anmeldeseiten in lokalisierter Sprache für die Sprache Ihrer Wahl anzeigen. Die verfügbaren Sprachen sind diejenigen, die in der verfügbar sind AWS-Managementkonsole. Fügen Sie dem Link, den Sie an Benutzer verteilen, einen `lang` Abfrageparameter hinzu, wie im folgenden Beispiel gezeigt.

```
https://<your domain>/oauth2/authorize?lang=es&response_type=code&client_id=<your app client id>&redirect_uri=<your relying-party url>
```

Amazon Cognito setzt nach der ersten Anfrage mit einem `lang` Parameter ein Cookie im Browser der Benutzer mit ihrer Sprachpräferenz. Nachdem das Cookie gesetzt wurde, bleibt die Sprachauswahl bestehen, ohne dass Sie den Parameter anzeigen oder in Anfragen angeben müssen. Wenn ein Benutzer beispielsweise eine Anmeldeanfrage mit einem `lang=de` Parameter gestellt hat, werden seine verwalteten Anmeldeseiten auf Deutsch dargestellt, bis er seine Cookies löscht oder eine neue Anfrage mit einem neuen Lokalisierungsparameter wie stellt. `lang=en`

Die Lokalisierung ist nur für verwaltete Logins verfügbar. Sie müssen den [Feature-Plan](cognito-sign-in-feature-plans.md) Essentials oder Plus nutzen und Ihrer Domain das [Branding für verwaltete Logins](managed-login-branding.md) zugewiesen haben.

Die Auswahl, die Ihr Benutzer bei der verwalteten Anmeldung vornimmt, ist für [benutzerdefinierte E-Mail- oder SMS-Absender-Trigger](user-pool-lambda-custom-sender-triggers.md) nicht verfügbar. Wenn Sie diese Auslöser implementieren, müssen Sie andere Mechanismen verwenden, um die bevorzugte Sprache eines Benutzers zu bestimmen. In Anmeldeabläufen kann das `locale` Attribut je nach Standort die bevorzugte Sprache des Benutzers angeben. In Anmeldeabläufen kann die Region oder die App-Client-ID Ihres Benutzerpools auf eine bevorzugte Sprache hinweisen.

Die folgenden Sprachen sind verfügbar.


**Verwaltete Anmeldesprachen**  

| Sprache | Code | 
| --- | --- | 
| Deutsch | de | 
| Englisch | en | 
| Spanisch | es | 
| Französisch | fr | 
| Bahasa Indonesia | id | 
| Italienisch | it | 
| Japanisch | ja | 
| Koreanisch | ko | 
| Portugiesisch (Brasilien) | pt-BR | 
| Chinesisch (vereinfacht) | zh-CN | 
| Chinesisch (traditionell) | zh-TW | 

## Bedingungsdokumente
<a name="managed-login-terms-documents"></a>

Sie können Ihre verwalteten Anmeldeseiten so konfigurieren, dass bei der Registrierung **von Benutzern Links zu Ihren Nutzungsbedingungen** und **Datenschutzbestimmungen** angezeigt werden. Wenn du beide Dokumente mit Nutzungsbedingungen in deinem App-Client einrichtest, wird Benutzern bei der Registrierung der folgende Text angezeigt: **Mit der Registrierung erklärst du dich mit unseren Nutzungsbedingungen und Datenschutzbestimmungen einverstanden**. Die Ausdrücke **Nutzungsbedingungen** und **Datenschutzrichtlinie** erscheinen auf deiner verwalteten Anmeldeseite mit einem Hyperlink zu deinen Dokumenten.

Begriffsdokumente unterstützen sprachspezifische Sprachen URLs , die der Lokalisierung von Managed Logins entsprechen. Wenn Benutzer mit dem `lang` Abfrageparameter eine Sprache auswählen, zeigt Amazon Cognito Links zu Ihren Begriffsdokumenten in dieser Sprache an. Wenn Sie keine URL für eine bestimmte Sprache konfiguriert haben, verwendet Amazon Cognito die Standard-URL, die Sie für den App-Client konfiguriert haben.

Um Dokumente mit Nutzungsbedingungen für Ihren App-Client zu konfigurieren, navigieren Sie in Ihrem Benutzerpool zum Menü **Verwaltete Anmeldung**. Wählen Sie unter **Terms Documents** die Option **Terms document erstellen** aus.

------
#### [ Amazon Cognito console ]

**Um ein Dokument mit Nutzungsbedingungen zu erstellen**

1. Navigieren Sie zu Ihrem Benutzerpool und wählen Sie das Menü **Verwaltete Anmeldung**. Suchen Sie nach **Dokumenten mit Nutzungsbedingungen**.

1. Wählen Sie **Dokument mit Nutzungsbedingungen erstellen**.

1. Wählen Sie den App-Client aus, dem Sie das Dokument mit den Nutzungsbedingungen zuweisen möchten.

1. Geben Sie einen **Namen für die Begriffe** ein. Dadurch wird Ihr Dokument in der Konsole identifiziert.

1. Wählen Sie unter **Links** eine **Sprache** aus und geben Sie die **URL** ein, unter der Sie Ihr Begriffsdokument in dieser Sprache hosten.

1. Um URLs weitere Sprachen hinzuzufügen, wählen Sie **Weitere hinzufügen** aus.

1. Wählen Sie **Erstellen** aus.

------
#### [ Amazon Cognito user pools API ]

Im Folgenden finden Sie ein Beispiel für einen [CreateTerms](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateTerms.html)Anfragetext. Dadurch werden auf der Anmeldeseite für den App-Client `1example23456789` Links für eine französischsprachige und eine portugiesischsprachige (Brasilien) Version der Datenschutzrichtlinie angezeigt, wenn die verwaltete Anmeldung in dieser Sprache lokalisiert ist. Eine separate Anfrage muss festgelegt werden, `terms-of-use` bevor die verwaltete Anmeldung URLs Links auf der Anmeldeseite rendert.

```
{
   "ClientId": "1example23456789",
   "Enforcement": "NONE",
   "Links": { 
      "cognito:default" : "https://example.com/privacy/",
      "cognito:french" : "https://example.com/fr/privacy/",
      "cognito:portuguese-brazil" : "https://example.com/pt/privacy/"
   },
   "TermsName": "privacy-policy",
   "TermsSource": "LINK",
   "UserPoolId": "us-east-1_EXAMPLE"
}
```

------

**Anmerkung**  
Sie müssen sowohl Nutzungsbedingungen als auch Datenschutzbestimmungen für Ihren App-Client erstellen, bevor Amazon Cognito Dokumente mit Nutzungsbedingungen auf Ihren verwalteten Anmeldeseiten anzeigt.

## Einrichtung der verwalteten Anmeldung mit AWS Amplify
<a name="cognito-user-pools-app-integration-amplify"></a>

Wenn Sie AWS Amplify Ihrer Web- oder mobilen App Authentifizierung hinzufügen, können Sie Ihre verwalteten Anmeldeseiten in der Amplify-Befehlszeilenschnittstelle (CLI) und Bibliotheken im Amplify-Framework einrichten. Um Ihrer App eine Authentifizierung hinzuzufügen, fügen Sie die `Auth` Kategorie zu Ihrem Projekt hinzu. Authentifizieren Sie dann in Ihrer Anwendung Benutzerpool-Benutzer mit Amplify-Clientbibliotheken.

Sie können verwaltete Anmeldeseiten zur Authentifizierung aufrufen oder Benutzer über einen Autorisierungsendpunkt zusammenführen, der zu einem IdP weiterleitet. Nachdem sich ein Benutzer erfolgreich beim Anbieter authentifiziert hat, erstellt Amplify einen neuen Benutzer in Ihrem Benutzerpool und übergibt die Token des Benutzers an Ihre App.

Die folgenden Beispiele zeigen, wie Sie AWS Amplify die verwaltete Anmeldung mit sozialen Anbietern in Ihrer App einrichten können.
+ [React](https://docs.amplify.aws/react/build-a-backend/auth/concepts/external-identity-providers/)
+ [Swift](https://docs.amplify.aws/swift/build-a-backend/auth/concepts/external-identity-providers/)
+ [Flattern](https://docs.amplify.aws/flutter/build-a-backend/auth/concepts/external-identity-providers/)
+ [Android](https://docs.amplify.aws/android/build-a-backend/auth/concepts/external-identity-providers/)

## Verwaltete Anmeldung mit der Amazon Cognito Cognito-Konsole einrichten
<a name="set-up-managed-login"></a>

Die erste Voraussetzung für die verwaltete Anmeldung und die gehostete Benutzeroberfläche ist eine Benutzerpool-Domain. Navigieren Sie in der Benutzerpools-Konsole zur Registerkarte **Domain** Ihres Benutzerpools und fügen Sie eine **Cognito-Domain** oder eine **benutzerdefinierte Domain** hinzu. Sie können auch während der Erstellung eines neuen Benutzerpools eine Domain auswählen. Weitere Informationen finden Sie unter [Konfigurieren einer Benutzerpool-Domäne](cognito-user-pools-assign-domain.md). Wenn eine Domain in Ihrem Benutzerpool aktiv ist, stellen alle App-Clients öffentliche Authentifizierungsseiten in dieser Domain bereit.

Wenn Sie eine Benutzerpool-Domain erstellen oder ändern, legen Sie die **Branding-Version** für Ihre Domain fest. Bei dieser Branding-Version haben Sie die Wahl zwischen **verwalteter Anmeldung** und **gehosteter Benutzeroberfläche (klassisch)**. Die von Ihnen gewählte Branding-Version gilt für alle App-Clients, die die Anmeldedienste in Ihrer Domain verwenden.

Der nächste Schritt besteht darin, auf der Registerkarte [App-Clients](user-pool-settings-client-apps.md) in Ihrem Benutzerpool einen **App-Client** zu erstellen. Bei der Erstellung eines App-Clients fragt Amazon Cognito Sie nach Informationen zu Ihrer Anwendung und fordert Sie dann auf, eine **Rückgabe-URL** auszuwählen. Die Rückgabe-URL wird auch als Relying Party (RP) -URL, Umleitungs-URI und Callback-URL bezeichnet. Dies ist die URL, von der aus Ihre Anwendung ausgeführt wird, zum Beispiel `https://www.example.com` oder`myapp://example`.

Nachdem Sie in Ihrem Benutzerpool eine Domain und einen App-Client mit einem Branding-Stil konfiguriert haben, sind Ihre verwalteten Anmeldeseiten im Internet verfügbar.

## Anzeigen Ihrer Anmeldeseite
<a name="view-login-pages"></a>

Wählen Sie in der Amazon Cognito Cognito-Konsole **auf der Registerkarte Anmeldeseiten für Ihren App-Client im Menü **App-Clients** die Schaltfläche **Anmeldeseiten** anzeigen**. Mit dieser Schaltfläche gelangen Sie zu einer Anmeldeseite in Ihrer Benutzerpool-Domain mit den folgenden grundlegenden Parametern.
+ Die App-Client-ID
+ Eine Anfrage zur Erteilung eines Autorisierungscodes
+ Eine Anfrage für alle Bereiche, die Sie für den aktuellen App-Client aktiviert haben
+ Die erste Rückruf-URL in der Liste für den aktuellen App-Client

Die Schaltfläche **Anmeldeseite anzeigen** ist nützlich, wenn Sie die Grundfunktionen Ihrer verwalteten Anmeldeseiten testen möchten. Ihre Anmeldeseiten entsprechen der **Branding-Version**, die Sie Ihrer [Benutzerpool-Domain](cognito-user-pools-assign-domain.md) zugewiesen haben. Sie können Ihre Anmelde-URL mit zusätzlichen und geänderten Parametern anpassen. In den meisten Fällen entsprechen die automatisch generierten Parameter des Links **Anmeldeseite anzeigen** nicht vollständig den Anforderungen Ihrer App. In diesen Fällen müssen Sie die URL anpassen, die Ihre App beim Anmelden Ihrer Benutzer aufruft. Weitere Informationen zu den Parameterschlüsseln und -werten für die Anmeldung finden Sie unter [Benutzerpool-Endpunkte und Referenz für verwaltete Logins](cognito-userpools-server-contract-reference.md).

Die Anmelde-Webseite verwendet das folgende URL-Format. In diesem Beispiel wird die Erteilung eines Autorisierungscodes mit dem `response_type=code`-Parameter angefordert.

```
https://<your domain>/oauth2/authorize?response_type=code&client_id=<your app client id>&redirect_uri=<your relying-party url>
```

Sie können die Domainzeichenfolge Ihres Benutzerpools im **Domain-Menü** in Ihrem Benutzerpool nachschlagen. Im Menü **App-Clients** können Sie den App-Client IDs, seinen Callback URLs, seine zulässigen Bereiche und andere Konfigurationen identifizieren.

Wenn Sie zum `/oauth2/authorize`-Endpunkt mit Ihren benutzerdefinierten Parametern navigieren, leitet Amazon Cognito Sie entweder zum `/oauth2/login`-Endpunkt oder im Hintergrund zu Ihrer IDP-Anmeldeseite um, sofern Sie einen `identity_provider`- oder `idp_identifier`-Parameter angegeben haben.

**Beispiel für eine Anfrage für einen impliziten Zuschuss**  
Sie können Ihre Anmeldeseite mit der folgenden URL für die implizite Codegewährung aufrufen, wo. `response_type=token` Nach einer erfolgreichen Anmeldung gibt Amazon Cognito Benutzerpool-Token in die Adresszeile Ihres Webbrowsers aus.

```
            https://mydomain.auth.us-east-1.amazoncognito.com/authorize?response_type=token&client_id=1example23456789&redirect_uri=https://mydomain.example.com
```

Die Identitäts- und Zugriffstoken werden als Parameter angezeigt, die an Ihre Weiterleitungs-URL angefügt werden.

Das folgende Beispiel ist eine Antwort von einer impliziten Erteilungsanforderung.

```
            https://auth.example.com/#id_token=eyJraaBcDeF1234567890&access_token=eyJraGhIjKlM1112131415&expires_in=3600&token_type=Bearer  
```

## Anpassen Ihrer Authentifizierungsseiten
<a name="cognito-user-pools-app-integration-customize-hosted-ui"></a>

In der Vergangenheit hostete Amazon Cognito nur Anmeldeseiten mit der klassischen *gehosteten Benutzeroberfläche*, einem einfachen Design, das Authentifizierungswebseiten ein universelles Aussehen verleiht. Sie könnten Amazon Cognito Cognito-Benutzerpools mit einem Logobild anpassen und einige Stile mit einer Datei optimieren, die einige CSS-Stilwerte spezifiziert. Später führte Amazon Cognito *Managed Login* ein, einen aktualisierten gehosteten Authentifizierungsdienst. Die verwaltete Anmeldung wurde look-and-feel mit dem *Branding-Editor* aktualisiert. Der Branding-Editor ist ein visueller Editor ohne Code und bietet mehr Optionen als die gehostete Benutzerschnittstelle zur Anpassung der Benutzeroberfläche. Bei der verwalteten Anmeldung wurden auch benutzerdefinierte Hintergrundbilder und ein Dunkelmodus-Thema eingeführt.

Sie können in Benutzerpools zwischen verwalteter Anmeldung und gehosteten UI-Branding-Erlebnissen wechseln. Weitere Informationen zum Anpassen Ihrer verwalteten Anmeldeseiten finden Sie unter[Branding auf verwaltete Anmeldeseiten anwenden](managed-login-branding.md).

## Wissenswertes zur verwalteten Anmeldung und zur gehosteten Benutzeroberfläche
<a name="managed-login-things-to-know"></a>

**Das einstündige Cookie für verwaltete Anmeldung und gehostete UI-Sitzung**  
Wenn sich ein Benutzer mit Ihren Anmeldeseiten oder einem Drittanbieter anmeldet, setzt Amazon Cognito ein Cookie in seinem Browser. Mit diesem Cookie können sich Benutzer eine Stunde lang erneut mit derselben Authentifizierungsmethode anmelden. Wenn sie sich mit ihrem Browser-Cookie anmelden, erhalten sie neue Token, die für die in Ihrer App-Client-Konfiguration angegebene Dauer gültig sind. Änderungen an Benutzerattributen oder Authentifizierungsfaktoren haben keinen Einfluss auf ihre Fähigkeit, sich erneut mit ihrem Browser-Cookie anzumelden.

Durch die Authentifizierung mit dem Sitzungscookie wird die Cookie-Dauer nicht auf eine weitere Stunde zurückgesetzt. Benutzer müssen sich erneut anmelden, wenn sie mehr als eine Stunde nach ihrer letzten erfolgreichen interaktiven Authentifizierung versuchen, auf Ihre Anmeldeseiten zuzugreifen.

**Bestätigung von Benutzerkonten und Überprüfung von Benutzerattributen**  
Für [lokale Benutzer](cognito-terms.md#terms-localuser) im Benutzerpool funktionieren die verwaltete Anmeldung und die gehostete Benutzeroberfläche am besten, wenn Sie Ihren Benutzerpool so konfigurieren, dass **Cognito automatisch Nachrichten zur Überprüfung und Bestätigung sendet**. Wenn Sie diese Einstellung aktivieren, sendet Amazon Cognito eine Nachricht mit einem Bestätigungscode an Benutzer, die sich registrieren. Wenn Sie Benutzer stattdessen als Benutzerpool-Administrator bestätigen, wird auf Ihren Anmeldeseiten nach der Registrierung eine Fehlermeldung angezeigt. In diesem Fall hat Amazon Cognito den neuen Benutzer erstellt, konnte aber keine Bestätigungsnachricht senden. Sie können Benutzer weiterhin als Administrator bestätigen, jedoch wenden die Benutzer sich möglicherweise an Ihren Support, wenn eine Fehlermeldung angezeigt wird. Weitere Informationen zur administrativen Bestätigung finden Sie unter [Benutzern erlauben, sich in der Anwendung anzumelden, sie aber als Benutzerpool-Administrator bestätigen](signing-up-users-in-your-app.md#signing-up-users-in-your-app-and-confirming-them-as-admin).

**Umfang der verwalteten Anmeldevorgänge**  
Die verwaltete Anmeldung und die klassische gehostete Benutzeroberfläche unterstützen Registrierung, Anmeldung und Passwortverwaltung. Dazu gehören der Abschluss der Anmeldung mit Multi-Faktor-Authentifizierung (MFA) und die Registrierung von WebAuthn-Authentifikatoren. Die verwaltete Anmeldung unterstützt keine Self-Service-Profilverwaltung für Benutzer wie Attributänderungen und die Einstellung von MFA-Präferenzen. Sie müssen die Profilverwaltung in Ihrem eigenen Anwendungscode implementieren. Die verwaltete Anmeldung bietet auch nicht die Möglichkeit, Attributänderungen zu bestätigen, wenn Sie als Administrator E-Mail-Adressen und Telefonnummern im Rahmen des [AdminUpdateUserAttributes](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUpdateUserAttributes.html)API-Vorgangs aktualisieren.

**Ihre Änderungen an der Konfiguration anzeigen**  
Wenn Sie Stiländerungen an Ihren Seiten vornehmen und diese nicht sofort angezeigt werden, warten Sie ein paar Minuten und aktualisieren Sie dann die Seite.

**Benutzerpool-Tokens decodieren**  
Amazon Cognito Cognito-Benutzerpool-Token werden mithilfe eines RS256 Algorithmus signiert. Sie können Benutzerpool-Token mithilfe von dekodieren und verifizieren. AWS Lambda Weitere Informationen finden Sie unter [Amazon Cognito JWT-Token dekodieren und verifizieren](https://github.com/awslabs/aws-support-tools/tree/master/Cognito/decode-verify-jwt) auf. GitHub

**TLS-Version**  
Für verwaltete Anmeldeseiten und gehostete Benutzeroberflächen ist eine Verschlüsselung bei der Übertragung erforderlich. Benutzerpool-Domänen, die von Amazon Cognito bereitgestellt werden, erfordern, dass die Browser der Benutzer eine TLS-Mindestversion von 1.2 aushandeln. Benutzerdefinierte Domains unterstützen Browserverbindungen mit TLS Version 1.2. Die gehostete Benutzeroberfläche (klassisch) **erfordert kein** TLS 1.2 für benutzerdefinierte Domänen, aber die neuere verwaltete Anmeldung **erfordert** TLS Version 1.2 sowohl für benutzerdefinierte Domänen als auch für Präfixdomänen. Da Amazon Cognito die Konfiguration Ihrer Domain-Services verwaltet, können Sie die TLS-Anforderungen Ihrer Benutzerpool-Domain nicht ändern.

**CORS-Richtlinien**  
Weder die verwaltete Anmeldung noch die gehostete Benutzeroberfläche unterstützen benutzerdefinierte Ursprungsrichtlinien für Cross-Origin Resource Sharing (CORS). Eine CORS-Richtlinie würde Benutzer daran hindern, Authentifizierungsparameter in ihren Anfragen zu übergeben. Implementieren Sie stattdessen eine CORS-Richtlinie in Ihrem Anwendungs-Frontend. Amazon Cognito gibt einen `Access-Control-Allow-Origin: *` Antwort-Header auf Anfragen an die folgenden Endpunkte zurück.

1. [Token-Endpunkt](token-endpoint.md)

1. [Widerrufen des Endpunkts](revocation-endpoint.md)

1. [UserInfo-Endpunkt](userinfo-endpoint.md)

**Cookies**  
Die verwaltete Anmeldung und die gehostete Benutzeroberfläche setzen Cookies in den Browsern der Benutzer. Die Cookies entsprechen den Anforderungen einiger Browser, dass Websites keine Cookies von Drittanbietern setzen. Sie sind nur auf die Endpunkte Ihres Benutzerpools beschränkt und beinhalten Folgendes:
+ Ein `XSRF-TOKEN` Cookie für jede Anfrage.
+ Ein `csrf-state` Cookie für die Sitzungskonsistenz, wenn ein Benutzer umgeleitet wird.
+ Ein `csrf-state-legacy` Cookie für Sitzungskonsistenz, das von Amazon Cognito als Fallback gelesen wird, wenn Ihr Browser das Attribut nicht unterstützt. `SameSite`
+ Ein `cognito` Sitzungscookie, das erfolgreiche Anmeldeversuche eine Stunde lang speichert.
+ Ein `lang` Cookie, das die vom Benutzer gewählte [Sprachlokalisierung bei der verwalteten Anmeldung beibehält](#managed-login-localization).
+ Ein `page-data` Cookie, das die erforderlichen Daten speichert, wenn ein Benutzer zwischen verwalteten Anmeldeseiten navigiert.

In iOS können Sie [alle Cookies blockieren](https://support.apple.com/en-us/105082). Diese Einstellung ist nicht mit der verwalteten Anmeldung oder der gehosteten Benutzeroberfläche kompatibel. Um mit Benutzern zu arbeiten, die diese Einstellung möglicherweise aktivieren, bauen Sie die Benutzerpoolauthentifizierung in eine native iOS-App mit einem AWS SDK ein. In diesem Szenario können Sie Ihren eigenen Sitzungsspeicher erstellen, der nicht auf Cookies basiert.

**Auswirkungen der Änderung der verwalteten Anmeldeversion**  
Beachten Sie die folgenden Auswirkungen des Hinzufügens von Domänen und der Festlegung der Version für die verwaltete Anmeldung.
+ Wenn Sie eine Präfix-Domain hinzufügen, entweder mit verwaltetem Login oder mit gehosteter Benutzeroberfläche (klassisch), kann es bis zu 60 Sekunden dauern, bis Ihre Anmeldeseiten verfügbar sind.
+ Wenn Sie eine benutzerdefinierte Domain hinzufügen, entweder mit verwaltetem Login oder mit gehosteter Benutzeroberfläche (klassisch), kann es bis zu fünf Minuten dauern, bis Ihre Anmeldeseiten verfügbar sind.
+ Wenn Sie die Branding-Version für Ihre Domain ändern, kann es bis zu vier Minuten dauern, bis Ihre Anmeldeseiten in der neuen Branding-Version verfügbar sind.
+ Wenn Sie zwischen verwalteter Anmeldung und gehostetem UI-Branding (klassisch) wechseln, verwaltet Amazon Cognito keine Benutzersitzungen. Sie müssen sich erneut mit der neuen Oberfläche anmelden.

**Standardstil**  
Wenn Sie in der einen App-Client erstellen AWS-Managementkonsole, weist Amazon Cognito Ihrem App-Client automatisch einen Branding-Stil zu. Wenn Sie mit dem [CreateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolClient.html)Vorgang programmgesteuert einen App-Client erstellen, wird kein Branding-Stil erstellt. Die verwaltete Anmeldung ist für einen App-Client, der mit einem AWS SDK erstellt wurde, erst verfügbar, wenn Sie einen mit einer [CreateManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateManagedLoginBranding.html)Anfrage erstellen.

**Bei der Aufforderung zur verwalteten Anmeldeauthentifizierung läuft das Zeitlimit**  
Amazon Cognito storniert Authentifizierungsanfragen, die nicht innerhalb von fünf Minuten abgeschlossen werden, und leitet den Benutzer zur verwalteten Anmeldung weiter. Für die Seite wird eine `Something went wrong`-Fehlermeldung angezeigt.

# Konfigurieren einer Benutzerpool-Domäne
<a name="cognito-user-pools-assign-domain"></a>

Die Konfiguration einer Domain ist ein optionaler Teil der Einrichtung eines Benutzerpools. Eine Benutzerpool-Domain hostet Funktionen für die Benutzerauthentifizierung, den Verbund mit Drittanbietern und OpenID Connect (OIDC) -Flows. Es verfügt über eine *verwaltete Anmeldung*, eine vorgefertigte Oberfläche für wichtige Operationen wie Registrierung, Anmeldung und Kennwortwiederherstellung. Es hostet auch die standardmäßigen OpenID Connect (OIDC) -Endpunkte wie [authorize](authorization-endpoint.md), [UserInfo](userinfo-endpoint.md) und [token](token-endpoint.md) für machine-to-machine (M2M) -Autorisierung und andere OIDC- und 2.0-Authentifizierungs- und Autorisierungsabläufe. OAuth 

Benutzer authentifizieren sich mit verwalteten Anmeldeseiten in der Domain, die Ihrem Benutzerpool zugeordnet ist. Sie haben zwei Möglichkeiten, diese Domain zu konfigurieren: Sie können entweder die von Amazon Cognito gehostete Standarddomain verwenden oder Sie können eine benutzerdefinierte Domain konfigurieren, die Ihnen gehört.

Die benutzerdefinierte Domain-Option bietet mehr Optionen für Flexibilität, Sicherheit und Kontrolle. Beispielsweise kann eine vertraute, unternehmenseigene Domain das Vertrauen der Benutzer stärken und den Anmeldevorgang intuitiver gestalten. Der Ansatz für benutzerdefinierte Domänen erfordert jedoch zusätzlichen Aufwand, z. B. die Verwaltung des SSL-Zertifikats und der DNS-Konfiguration.

Die OIDC-Discovery-Endpunkte `/.well-known/openid-configuration` für Endgeräte URLs und `/.well-known/jwks.json` Tokensignaturschlüssel werden nicht auf Ihrer Domain gehostet. Weitere Informationen finden Sie unter [Identitätsanbieter und Endpunkte der vertrauenden Partei](federation-endpoints.md).

Zu verstehen, wie Sie die Domain für Ihren Benutzerpool konfigurieren und verwalten, ist ein wichtiger Schritt bei der Integration der Authentifizierung in Ihre Anwendung. Die Anmeldung mit der Benutzerpools-API und einem AWS SDK kann eine Alternative zur Konfiguration einer Domain sein. Das API-basierte Modell stellt Token direkt in einer API-Antwort bereit. Für Implementierungen, die die erweiterten Funktionen von Benutzerpools als OIDC-IdP nutzen, müssen Sie jedoch eine Domain konfigurieren. Weitere Informationen zu den Authentifizierungsmodellen, die in Benutzerpools verfügbar sind, finden Sie unter. [Grundlegendes zur Authentifizierung über API, OIDC und verwaltete Anmeldeseiten](authentication-flows-public-server-side.md#user-pools-API-operations)

**Topics**
+ [Wissenswertes über Benutzerpool-Domänen](#cognito-user-pools-assign-domain-things-to-know)
+ [Verwenden der Amazon Cognito-Präfixdomäne für die verwaltete Anmeldung](cognito-user-pools-assign-domain-prefix.md)
+ [Verwenden Sie Ihre eigene Domain für die verwaltete Anmeldung](cognito-user-pools-add-custom-domain.md)

## Wissenswertes über Benutzerpool-Domänen
<a name="cognito-user-pools-assign-domain-things-to-know"></a>

Benutzerpool-Domänen sind eine Anlaufstelle für OIDC-vertrauende Parteien in Ihren Anwendungen und für Benutzeroberflächenelemente. Beachten Sie die folgenden Details, wenn Sie die Implementierung einer Domäne für Ihren Benutzerpool planen.

**Vorbehaltene Bedingungen**  
Sie können den Text `aws``amazon`, oder nicht `cognito` im Namen einer Amazon Cognito-Präfix-Domain verwenden.

**Discovery-Endpunkte befinden sich auf einer anderen Domain**  
Die [Discovery-Endpunkte](federation-endpoints.md) `.well-known/openid-configuration` des Benutzerpools befinden sich `.well-known/jwks.json` nicht in Ihrer benutzerdefinierten Benutzerpool-Domäne oder Präfixdomäne. Der Pfad zu diesen Endpunkten lautet wie folgt.
+ `https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/openid-configuration`
+ `https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/jwks.json`

**Zeitpunkt des Inkrafttretens von Domainänderungen**  
Es kann bis zu einer Minute dauern, bis Amazon Cognito die Branding-Version einer Präfix-Domain startet oder aktualisiert. Es kann bis zu fünf Minuten dauern, bis Änderungen an einer benutzerdefinierten Domain übernommen werden. Die Verbreitung neuer benutzerdefinierter Domains kann bis zu einer Stunde dauern.

**Benutzerdefinierte Domains und Präfix-Domains gleichzeitig**  
Sie können einen Benutzerpool mit einer benutzerdefinierten Domäne und einer Präfixdomäne einrichten, die Eigentum von ist AWS. Da die [Endpunkte für die Benutzerpool-Erkennung](federation-endpoints.md) in einer anderen Domäne gehostet werden, bedienen sie nur die *benutzerdefinierte Domäne*. Sie `openid-configuration` geben beispielsweise einen einzigen Wert für `"authorization_endpoint"` of an`"https://auth.example.com/oauth2/authorize"`.

Wenn Sie sowohl benutzerdefinierte Domänen als auch Präfixdomänen in einem Benutzerpool haben, können Sie die benutzerdefinierte Domäne mit allen Funktionen eines OIDC-Anbieters verwenden. Die Präfixdomäne in einem Benutzerpool mit dieser Konfiguration hat weder Erkennungs- noch token-signing-key Endpunkte und sollte entsprechend verwendet werden.

**Benutzerdefinierte Domänen werden als ID der vertrauenden Partei für den Hauptschlüssel bevorzugt**  
Wenn Sie die Benutzerpoolauthentifizierung mit [Hauptschlüsseln einrichten](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passkey), müssen Sie eine Relying Party (RP) -ID festlegen. Wenn Sie eine benutzerdefinierte Domain und eine Präfix-Domain haben, können Sie die RP-ID nur als Ihre benutzerdefinierte Domain festlegen. **Um eine Präfix-Domain als RP-ID in der Amazon Cognito Cognito-Konsole festzulegen, löschen Sie Ihre benutzerdefinierte Domain oder geben Sie den vollqualifizierten Domainnamen (FQDN) der Präfix-Domain als Drittanbieter-Domain ein.**

**Verwenden Sie keine benutzerdefinierten Domains auf verschiedenen Ebenen Ihrer Domain-Hierarchie**  
*Sie können separate Benutzerpools so konfigurieren, dass sie benutzerdefinierte Domains in derselben Top-Level-Domain (TLD) haben, zum Beispiel *auth.example.com und auth2.example.com.** *Das Cookie für die verwaltete Anmeldesitzung ist für eine benutzerdefinierte Domain und alle Subdomains gültig, z. B. \$1.auth.example.com.* *Aus diesem Grund sollte kein Benutzer Ihrer Anwendungen auf die verwaltete Anmeldung für eine übergeordnete Domain und Subdomain zugreifen.* Wenn benutzerdefinierte Domains dieselbe TLD verwenden, behalten Sie sie auf derselben Subdomain-Ebene bei.

*Angenommen, Sie haben einen Benutzerpool mit der benutzerdefinierten Domain auth.example.com.* *Dann erstellen Sie einen weiteren Benutzerpool und weisen die benutzerdefinierte Domain uk.auth.example.com zu.* . Ein Benutzer meldet sich mit *auth.example.com* an. *und ruft ein Cookie ab, das sein Browser auf jeder Website im Platzhalterpfad \$1.auth.example.com präsentiert.* *Sie versuchen dann, sich bei uk.auth.example.com anzumelden.* . Sie übergeben ein ungültiges Cookie an Ihre Benutzerpool-Domain und erhalten statt einer Anmeldeaufforderung eine Fehlermeldung. *Im Gegensatz dazu hat ein Benutzer mit einem Cookie für *\$1.auth.example.com keine Probleme, eine Anmeldesitzung auf auth2.example.com* zu starten.*

**Branding-Version**  
Wenn Sie eine Domain erstellen, legen Sie eine **Branding-Version** fest. Ihre Optionen sind die neuere verwaltete Anmeldeoberfläche und die klassische gehostete Benutzeroberfläche. Diese Auswahl gilt für alle App-Clients, die Dienste in Ihrer Domain hosten.

# Verwenden der Amazon Cognito-Präfixdomäne für die verwaltete Anmeldung
<a name="cognito-user-pools-assign-domain-prefix"></a>

Das Standarderlebnis für die verwaltete Anmeldung wird auf einer Domain gehostet, die Eigentümer ist. AWS Dieser Ansatz hat eine niedrige Eintrittsbarriere — wählen Sie einen Präfixnamen und er ist aktiv —, verfügt aber nicht über die vertrauenserweckenden Funktionen einer benutzerdefinierten Domain. Es gibt keinen Kostenunterschied zwischen der Amazon Cognito Cognito-Domain-Option und der benutzerdefinierten Domain-Option. Der einzige Unterschied besteht in der Domain in der Webadresse, zu der Sie Ihre Benutzer weiterleiten. Bei IdP-Weiterleitungen von Drittanbietern und beim Fluss von Kundenanmeldedaten hat die gehostete Domain kaum sichtbare Auswirkungen. Eine benutzerdefinierte Domain eignet sich besser für Fälle, in denen sich Ihre Benutzer mit verwaltetem Login anmelden und mit einer Authentifizierungsdomäne interagieren würden, die nicht mit der Anwendungsdomäne übereinstimmt.

Die gehostete Amazon Cognito Cognito-Domain hat ein Präfix Ihrer Wahl, wird jedoch in der Stammdomain `amazoncognito.com` gehostet. Im Folgenden wird ein Beispiel gezeigt:

```
https://cognitoexample.auth.ap-south-1.amazoncognito.com
```

Alle Präfix-Domains folgen diesem Format:`prefix`. `auth`. *`AWS-Region code`*. `amazoncognito`. `com`. [Benutzerdefinierte Domain-Benutzerpools](cognito-user-pools-add-custom-domain.md) können die verwalteten Anmelde- oder gehosteten UI-Seiten auf jeder Domain hosten, die Sie besitzen.

**Anmerkung**  
Um Ihre Amazon-Cognito-Anwendungen sicherer zu machen, werden die übergeordneten Domains der Benutzerpool-Endpunkte in der [Public Suffix List](https://publicsuffix.org/) (PSL) registriert. Durch die PSL erlangen die Webbrowser Ihrer Benutzer ein einheitliches Verständnis der Endpunkte Ihres Benutzerpools und der von ihnen gesetzten Cookies.  
Die übergeordneten Domänen des Benutzerpools haben die folgenden Formate.  

```
auth.Region.amazoncognito.com
auth-fips.Region.amazoncognito.com
```

Informationen zum Hinzufügen eines App-Clients und einer Benutzerpool-Domäne mit dem AWS-Managementkonsole finden Sie unter[Erstellen eines App-Clients](user-pool-settings-client-apps.md#cognito-user-pools-app-idp-settings-console-create).

**Topics**
+ [Voraussetzungen](#cognito-user-pools-assign-domain-prefix-prereq)
+ [Konfigurieren Sie ein Amazon Cognito Cognito-Domainpräfix](#cognito-user-pools-assign-domain-prefix-step-1)
+ [Überprüfen Sie Ihre Anmeldeseite](#cognito-user-pools-assign-domain-prefix-verify)

## Voraussetzungen
<a name="cognito-user-pools-assign-domain-prefix-prereq"></a>

Bevor Sie anfangen, benötigen Sie:
+ Einen Benutzerpool mit einem App-Client. Weitere Informationen finden Sie unter [Erste Schritte mit Benutzerpools](getting-started-user-pools.md).

## Konfigurieren Sie ein Amazon Cognito Cognito-Domainpräfix
<a name="cognito-user-pools-assign-domain-prefix-step-1"></a>

Sie können entweder die API AWS-Managementkonsole oder die AWS CLI oder verwenden, um eine Benutzerpool-Domain zu konfigurieren.

------
#### [ Amazon Cognito console ]

**Eine Domäne konfigurieren.**

1. Navigieren Sie unter **Branding** zum **Domain-Menü**.

1. Wählen Sie neben **Domain** die Option **Actions** und anschließend **Create Cognito domain** aus. Wenn Sie bereits eine Benutzerpool-Präfixdomäne konfiguriert haben, wählen Sie **Cognito-Domäne löschen**, bevor Sie Ihre neue benutzerdefinierte Domäne erstellen.

1. Geben Sie ein verfügbares Domain-Präfix zur Verwendung mit einer **Amazon-Cognito-Domäne** ein. Informationen zum Einrichten einer **benutzerdefinierten Domain** finden Sie unter[Verwenden Sie Ihre eigene Domain für die verwaltete Anmeldung](cognito-user-pools-add-custom-domain.md).

1. Wählen Sie eine **Branding-Version**. Ihre Branding-Version gilt für alle benutzerinteraktiven Seiten in dieser Domain. Ihr Benutzerpool kann entweder verwaltetes Login oder gehostetes UI-Branding für alle App-Clients hosten.
**Anmerkung**  
Sie können eine benutzerdefinierte Domain und eine Präfix-Domain haben, aber Amazon Cognito bedient nur den `/.well-known/openid-configuration` Endpunkt für die *benutzerdefinierte* Domain.

1. Wählen Sie **Erstellen** aus.

------
#### [ CLI/API ]

Verwenden Sie die folgenden Befehle zum Erstellen eines benutzerdefinierten Domänen-Präfix. Weisen Sie dieses anschließend Ihrem Benutzerpool zu.

**Konfigurieren einer Benutzerpool-Domäne**
+ AWS CLI: `aws cognito-idp create-user-pool-domain`

  **Beispiel**: `aws cognito-idp create-user-pool-domain --user-pool-id <user_pool_id> --domain <domain_name> --managed-login-version 2`
+ API-Betrieb für Benutzerpools: [CreateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolDomain.html)

**So rufen Sie Informationen zu einer Domäne auf**
+ AWS CLI: `aws cognito-idp describe-user-pool-domain`

  **Beispiel**: `aws cognito-idp describe-user-pool-domain --domain <domain_name>`
+ API-Betrieb für Benutzerpools: [DescribeUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeUserPoolDomain.html)

**So löschen Sie eine Domain**
+ AWS CLI: `aws cognito-idp delete-user-pool-domain`

  **Beispiel**: `aws cognito-idp delete-user-pool-domain --domain <domain_name>`
+ API-Betrieb für Benutzerpools: [DeleteUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DeleteUserPoolDomain.html)

------

## Überprüfen Sie Ihre Anmeldeseite
<a name="cognito-user-pools-assign-domain-prefix-verify"></a>
+ Stellen Sie sicher, dass die Anmeldeseite Ihrer bei Amazon Cognito gehosteten Domäne erreichbar ist.

  ```
  https://<your_domain>/login?response_type=code&client_id=<your_app_client_id>&redirect_uri=<your_callback_url>
  ```

Ihre Domäne wird auf der Seite **Domänenname** der Amazon-Cognito-Konsole angezeigt. Ihre Client-ID der App und die Callback-URL werden auf der Seite **App client settings (App-Client-Einstellungen)** angezeigt.

# Verwenden Sie Ihre eigene Domain für die verwaltete Anmeldung
<a name="cognito-user-pools-add-custom-domain"></a>

Nachdem Sie einen App-Client eingerichtet haben, können Sie Ihren Benutzerpool mit einer benutzerdefinierten Domäne für die Domänendienste von [Managed Login](cognito-user-pools-managed-login.md) konfigurieren. Mit einer benutzerdefinierten Domain können sich Benutzer mit Ihrer eigenen Webadresse statt mit der `amazoncognito.com` [Standardpräfixdomäne](cognito-user-pools-assign-domain-prefix.md) bei Ihrer Anwendung anmelden. Benutzerdefinierte Domänen verbessern das Vertrauen der Benutzer in Ihre Anwendung mit einem vertrauten Domainnamen, insbesondere wenn die Stammdomäne mit der Domain übereinstimmt, die Ihre Anwendung hostet. Benutzerdefinierte Domänen können die Einhaltung organisatorischer Sicherheitsanforderungen verbessern.

Für eine benutzerdefinierte Domain sind einige Voraussetzungen erforderlich, darunter ein Benutzerpool, ein App-Client und eine Webdomäne, die Sie besitzen. Für benutzerdefinierte Domains ist außerdem ein SSL-Zertifikat für die benutzerdefinierte Domain erforderlich, die mit AWS Certificate Manager (ACM) in USA Ost (Nord-Virginia) verwaltet wird. Amazon Cognito erstellt eine CloudFront Amazon-Distribution, die während des Transports mit Ihrem ACM-Zertifikat gesichert ist. Da Sie Eigentümer der Domain sind, müssen Sie einen DNS-Eintrag erstellen, der den Datenverkehr an die CloudFront Distribution für Ihre benutzerdefinierte Domain weiterleitet.

Sobald diese Elemente fertig sind, können Sie die benutzerdefinierte Domain über die Amazon Cognito Cognito-Konsole oder API zu Ihrem Benutzerpool hinzufügen. Dazu müssen Sie den Domainnamen und das SSL-Zertifikat angeben und anschließend Ihre DNS-Konfiguration mit dem angegebenen Alias-Ziel aktualisieren. Nachdem Sie diese Änderungen vorgenommen haben, können Sie überprüfen, ob die Anmeldeseite in Ihrer benutzerdefinierten Domain zugänglich ist.

Der einfachste Weg, eine benutzerdefinierte Domain zu erstellen, ist eine öffentlich gehostete Zone in Amazon Route 53. Die Amazon Cognito Cognito-Konsole kann in wenigen Schritten die richtigen DNS-Einträge erstellen. Bevor Sie beginnen, sollten Sie erwägen, [eine Route 53-Hosting-Zone für eine Domain oder Subdomain zu erstellen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html), die Sie besitzen.

**Topics**
+ [Hinzufügen einer benutzerdefinierten Domäne zu einem Benutzerpool](#cognito-user-pools-add-custom-domain-adding)
+ [Voraussetzungen](#cognito-user-pools-add-custom-domain-prereq)
+ [Schritt 1: Eingeben des benutzerdefinierten Domänennamens](#cognito-user-pools-add-custom-domain-console-step-1)
+ [Schritt 2: Hinzufügen eines Alias-Ziels und einer Subdomäne](#cognito-user-pools-add-custom-domain-console-step-2)
+ [Schritt 3: Überprüfen Ihrer Anmeldeseite](#cognito-user-pools-add-custom-domain-console-step-3)
+ [Ändern des SSL-Zertifikats für die benutzerdefinierte Domäne](#cognito-user-pools-add-custom-domain-changing-certificate)

## Hinzufügen einer benutzerdefinierten Domäne zu einem Benutzerpool
<a name="cognito-user-pools-add-custom-domain-adding"></a>

Zum Hinzufügen einer benutzerdefinierten Domäne zum Benutzerpool legen Sie den Domänennamen in der Amazon-Cognito-Konsole fest und stellen ein Zertifikat bereit, das Sie mit [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/) (ACM) verwalten. Wenn Sie die Domäne hinzugefügt haben, stellt Amazon Cognito ein Aliasziel zur Verfügung, das Sie zur DNS-Konfiguration hinzufügen.

## Voraussetzungen
<a name="cognito-user-pools-add-custom-domain-prereq"></a>

Bevor Sie anfangen, benötigen Sie:
+ Einen Benutzerpool mit einem App-Client. Weitere Informationen finden Sie unter [Erste Schritte mit Benutzerpools](getting-started-user-pools.md).
+ Eine Web-Domäne, die Sie besitzen. Die *übergeordnete Domain* muss über einen gültigen **A-Eintrag** im DNS verfügen. Sie können diesem Datensatz einen beliebigen Wert zuweisen. Die übergeordnete Domain kann die Wurzel der Domain oder eine untergeordnete Domain sein, die in der Domainhierarchie eine Stufe höher ist. Wenn Ihre benutzerdefinierte Domain beispielsweise *auth.xyz.example.com* lautet, muss Amazon Cognito in der Lage sein, *xyz.example.com* in eine IP-Adresse aufzulösen. Um versehentliche Auswirkungen auf die Kundeninfrastruktur zu verhindern, unterstützt Amazon Cognito die Verwendung von Top-Level-Domains (TLDs) für benutzerdefinierte Domains nicht. Weitere Informationen finden Sie unter [Domänennamen](https://tools.ietf.org/html/rfc1035).
+ Die Möglichkeit zum Erstellen einer Unterdomäne für die benutzerdefinierte Domäne. Wir empfehlen **Auth** für Ihren Subdomainnamen. Beispiel: *auth.example.com*.
**Anmerkung**  
Möglicherweise müssen Sie ein neues Zertifikat für die Subdomäne Ihrer benutzerdefinierten Domäne beschaffen, wenn Sie kein Platzhalterzertifikat ([Wildcard Certificate](https://en.wikipedia.org/wiki/Wildcard_certificate)) haben.
+ Ein öffentliches SSL/TLS Zertifikat, das von ACM in USA East (Nord-Virginia) verwaltet wird. Das Zertifikat muss in us-east-1 sein, da das Zertifikat mit einer Verteilung in CloudFront einem globalen Dienst verknüpft wird.
+ Browserclients, die Server Name Indication (SNI) unterstützen. Die CloudFront Verteilung, die Amazon Cognito benutzerdefinierten Domains zuweist, erfordert SNI. Sie können diese Einstellung nicht ändern. Weitere Informationen zu SNI in CloudFront Distributionen finden Sie unter [Verwenden von SNI zur Bearbeitung von HTTPS-Anfragen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) im *Amazon CloudFront * Developer Guide.
+ Eine Anwendung, die es Ihrem Benutzerpool-Autorisierungsserver ermöglicht, Cookies zu Benutzersitzungen hinzuzufügen. Amazon Cognito setzt mehrere erforderliche Cookies für verwaltete Anmeldeseiten. Dies sind beispielsweise `cognito`, `cognito-fl` und `XSRF-TOKEN`. Obwohl jedes einzelne Cookie den Größenbeschränkungen des Browsers entspricht, können Änderungen an Ihrer Benutzerpool-Konfiguration dazu führen, dass verwaltete Anmelde-Cookies an Größe zunehmen. Ein Zwischendienst wie ein Application Load Balancer (ALB) vor Ihrer benutzerdefinierten Domain kann eine maximale Header-Größe oder Gesamtcookie-Größe erzwingen. Wenn Ihre Anwendung auch ihre eigenen Cookies setzt, können die Sitzungen Ihrer Benutzer diese Grenzwerte überschreiten. Um Konflikte bei der Größenbeschränkung zu vermeiden, empfehlen wir, dass Ihre Anwendung keine Cookies auf der Subdomain setzt, die die Domänendienste Ihres Benutzerpools hostet.
+ Erlaubnis zur Aktualisierung von CloudFront Amazon-Distributionen. Fügen Sie hierzu die folgende IAM-Richtlinienanweisung einem Benutzer in Ihrem AWS-Konto an:

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
           {
              "Sid": "AllowCloudFrontUpdateDistribution",
              "Effect": "Allow",
              "Action": [
                  "cloudfront:updateDistribution"
              ],
              "Resource": [
                  "*"
              ]
          }
      ]
  }
  ```

------

  Weitere Informationen zur Autorisierung von Aktionen finden Sie unter [Verwenden identitätsbasierter Richtlinien (IAM-Richtlinien) für](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/access-control-managing-permissions.html). CloudFront CloudFront

  Amazon Cognito verwendet zunächst Ihre IAM-Berechtigungen, um die CloudFront Verteilung zu konfigurieren, aber die Verteilung wird von verwaltet. AWS Sie können die Konfiguration der CloudFront Distribution, die Amazon Cognito Ihrem Benutzerpool zugeordnet hat, nicht ändern. Sie können also beispielsweise nicht die unterstützten TLS-Versionen in der Sicherheitsrichtlinie aktualisieren.

## Schritt 1: Eingeben des benutzerdefinierten Domänennamens
<a name="cognito-user-pools-add-custom-domain-console-step-1"></a>

Sie können dem Benutzerpool Ihre Domäne mithilfe der Amazon-Cognito-Konsole oder der API hinzufügen.

------
#### [ Amazon Cognito console ]

**Domäne dem Benutzerpool über die Amazon-Cognito-Konsole hinzufügen:**

1. Navigieren Sie unter **Branding** zum **Domain-Menü**.

1. Navigieren Sie dann zu **Domäne** und wählen Sie **Aktionen**, **Benutzerdefinierte Domäne erstellen** oder **Amazon-Cognito-Domäne erstellen** aus. Wenn Sie bereits eine benutzerdefinierte Domäne für den Benutzerpool konfiguriert haben, wählen Sie **Benutzerdefinierte Domäne löschen** aus, bevor Sie Ihre neue benutzerdefinierte Domäne erstellen.

1. Wählen Sie neben **Domain** die Option **Aktionen** und anschließend **Benutzerdefinierte Domain erstellen** aus. Wenn Sie bereits eine benutzerdefinierte Domain konfiguriert haben, wählen Sie **Benutzerdefinierte Domain löschen**, um die bestehende Domain zu löschen, bevor Sie Ihre neue benutzerdefinierte Domain erstellen.

1. Geben Sie für **Custom domain** (Benutzerdefinierte Domäne) die URL der Domäne ein, die Sie mit Amazon Cognito verwenden möchten. Der Domänenname darf nur Kleinbuchstaben, Zahlen und Bindestriche enthalten. Verwenden Sie keinen Bindestrich als erstes oder letztes Zeichen. Trennen Sie die Namen von Unterdomänen durch Punkte.

1. Wählen Sie für **ACM certificate** (ACM-Zertifikat) das SSL-Zertifikat aus, das Sie für die Domäne verwenden möchten. Nur ACM-Zertifikate in USA Ost (Nord-Virginia) können unabhängig von Ihrem Benutzerpool mit einer benutzerdefinierten Amazon Cognito Cognito-Domain verwendet werden. AWS-Region 

   Wenn Sie kein verfügbares Zertifikat haben, können Sie ACM verwenden, um eines in USA Ost (Nord-Virginia) bereitzustellen. Weitere Informationen finden Sie unter [Erste Schritte](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) im *AWS Certificate Manager -Benutzerhandbuch*.

1. Wählen Sie eine **Branding-Version**. Ihre Branding-Version gilt für alle benutzerinteraktiven Seiten in dieser Domain. Ihr Benutzerpool kann entweder verwaltetes Login oder gehostetes UI-Branding für alle App-Clients hosten.
**Anmerkung**  
Sie können eine benutzerdefinierte Domain und eine Präfix-Domain haben, aber Amazon Cognito bedient nur den `/.well-known/openid-configuration` Endpunkt für die *benutzerdefinierte* Domain.

1. Wählen Sie **Erstellen** aus.

1. Amazon Cognito bringt Sie zum **Domain-Menü** zurück. Es wird Ihnen eine Nachricht mit dem Titel **Create an alias record in your domain's DNS** (Erstellen eines Alias-Datensatzes im DNS der Domäne) angezeigt. Notieren Sie die **Domäne** und das **Alias-Ziel**, das in der Konsole angezeigt wird. Sie werden im nächsten Schritt verwendet, um den Datenverkehr auf Ihre benutzerdefinierte Domäne weiterzuleiten.

------
#### [ API ]

Der folgende [CreateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolDomain.html)Anfragetext erstellt eine benutzerdefinierte Domain.

```
{
   "Domain": "auth.example.com",
   "UserPoolId": "us-east-1_EXAMPLE",
   "ManagedLoginVersion": 2,
   "CustomDomainConfig": {
    "CertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
   }
}
```

------

## Schritt 2: Hinzufügen eines Alias-Ziels und einer Subdomäne
<a name="cognito-user-pools-add-custom-domain-console-step-2"></a>

In diesem Schritt richten Sie einen Alias über Ihren Domain Name Server (DNS)-Serviceanbieter ein, der auf das Alias-Ziel aus dem vorherigen Schritt zurück verweist. Wenn Sie Amazon Route 53 für die DNS-Adresse Auflösung verwenden, wählen Sie den Abschnitt **Hinzufügen eines Alias-Ziels und einer Subdomäne mit Route 53**.

### Hinzufügen eines Alias-Ziels und einer Subdomäne zu Ihrer aktuellen DNS-Konfiguration
<a name="cognito-user-pools-add-custom-domain-console-step-2a"></a>
+ Wenn Sie nicht Route 53 für die DNS-Adressauflösung verwenden, müssen Sie die Konfigurationstools Ihres DNS-Serviceanbieters verwenden, um das Alias-Ziel aus dem vorherigen Schritt zum DNS-Datensatz Ihrer Domäne hinzuzufügen. Ihre DNS-Anbieter muss außerdem die Subdomäne für Ihre benutzerdefinierte Domäne einrichten.

### Hinzufügen eines Alias-Ziels und einer Subdomäne mit Route 53
<a name="cognito-user-pools-add-custom-domain-console-step-2b"></a>

1. Melden Sie sich bei der [Route-53-Konsole](https://console.aws.amazon.com/route53/) an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

1. Wenn Sie in Route 53 keine öffentlich gehostete Zone haben, erstellen Sie eine Zone mit einem Stamm, der Ihrer benutzerdefinierten Domäne übergeordnet ist. Weitere Informationen finden Sie unter [Creating a public hosted zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) im *Amazon Route 53 Developer Guide*.

   1. Wählen Sie **Create Hosted Zone**.

   1. Geben Sie beispielsweise *auth.example.com* die übergeordnete Domain Ihrer benutzerdefinierten Domain aus der **Domainnamenliste** ein. *myapp.auth.example.com*

   1. Geben Sie eine **Beschreibung** für Ihre gehostete Zone ein.

   1. Wählen Sie einen **Typ** einer gehosteten Zone aus **Public hosted zone** (Öffentliche gehostete Zone), damit öffentliche Clients die benutzerdefinierte Domäne auflösen können. Die Auswahl von **Private hosted zone** (Private gehostete Zone) wird nicht unterstützt.

   1. Wenden Sie **Tags** wie gewünscht an.

   1. Wählen Sie **Erstellte gehostete Zone**.
**Anmerkung**  
Sie können auch eine neue Hosting-Zone für Ihre benutzerdefinierte Domain mit einer Delegierung in der übergeordneten Hosting-Zone erstellen, die Anfragen an die Host-Zone der Subdomain weiterleitet. Andernfalls erstellen Sie einen A-Eintrag. Diese Methode bietet mehr Flexibilität und Sicherheit bei Ihren gehosteten Zonen. Weitere Informationen finden Sie unter [Creating a subdomain for a domain hosted through Amazon Route 53](https://aws.amazon.com/premiumsupport/knowledge-center/create-subdomain-route-53/) (Erstellen einer Subdomäne für eine über Amazon Route 53 gehostete Domäne).

1. Wählen Sie auf der Seite **Hosted Zones (Gehostete Zonen)** den Namen Ihrer gehosteten Zone aus.

1. Fügen Sie einen DNS-Eintrag für die übergeordnete Domain Ihrer benutzerdefinierten Domain hinzu, falls Sie noch keinen haben. Erstellen Sie einen DNS-Eintrag für die übergeordnete Domain mit den folgenden Eigenschaften:
   + **Name des Eintrags**: Leer lassen.
   + **Datensatztyp**:`A`.
   + **Alias**: Nicht aktivieren.
   + **Wert**: Geben Sie ein Ziel Ihrer Wahl ein. Dieser Datensatz muss *etwas* ergeben, aber der Wert des Datensatzes spielt für Amazon Cognito keine Rolle.
   + **TTL**: Stellen Sie Ihre bevorzugte TTL ein oder belassen Sie sie als Standard.
   + **Routing-Richtlinie**: Wählen Sie **Simple** Routing.

1. Wählen Sie **Create records** (Datensätze erstellen). Im Folgenden finden Sie einen Beispieldatensatz für die Domain*example.com*:

   `example.com. 60 IN A 198.51.100.1`
**Anmerkung**  
Amazon Cognito überprüft, dass es einen DNS-Datensatz für die übergeordnete Domäne Ihrer benutzerdefinierten Domäne gibt, um sich vor versehentlichem Hijacking von Produktionsdomänen zu schützen. Wenn Sie keinen DNS-Datensatz für die übergeordnete Domäne haben, gibt Amazon Cognito einen Fehler zurück, wenn Sie versuchen, die benutzerdefinierte Domäne festzulegen. Ein SOA-Eintrag (Start of Authority) ist kein ausreichender DNS-Eintrag für die Überprüfung der übergeordneten Domain.

1. Fügen Sie einen weiteren DNS-Eintrag für Ihre benutzerdefinierte Domain mit den folgenden Eigenschaften hinzu:
   + **Datensatzname**: Ihr benutzerdefiniertes Domainpräfix, `auth` um beispielsweise einen Eintrag für zu erstellen`auth.example.com`.
   + **Datensatztyp**:`A`.
   + **Alias**: Aktivieren.
   + **Traffic weiterleiten an**: Wählen Sie **Alias to Cloudfront Distribution**. Geben Sie beispielsweise `123example.cloudfront.net` das **Alias-Ziel** ein, das Sie zuvor aufgezeichnet haben.
   + **Routing-Richtlinie**: Wählen Sie **Simple Routing**.

1. Wählen Sie **Create records** (Datensätze erstellen).
**Anmerkung**  
Es kann etwa 60 Sekunden dauern, bis Ihre neuen Datensätze auf alle Route-53-DNS-Server übertragen werden. Sie können die Route [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)53-API-Methode verwenden, um zu überprüfen, ob Ihre Änderungen übernommen wurden. 

## Schritt 3: Überprüfen Ihrer Anmeldeseite
<a name="cognito-user-pools-add-custom-domain-console-step-3"></a>
+ Stellen Sie sicher, dass die Anmeldeseite Ihrer benutzerdefinierten Domäne erreichbar ist.

  Melden Sie sich bei Ihrer benutzerdefinierten Domäne und Subdomäne an, indem Sie diese Adresse in Ihren Browser eingeben. Dies ist eine Beispiel-URL einer benutzerdefinierten Domain *example.com* mit der *auth* Subdomain:

  ```
  https://myapp.auth.example.com/login?response_type=code&client_id=<your_app_client_id>&redirect_uri=<your_callback_url>
  ```

## Ändern des SSL-Zertifikats für die benutzerdefinierte Domäne
<a name="cognito-user-pools-add-custom-domain-changing-certificate"></a>

Falls erforderlich, können Sie mit Amazon Cognito das Zertifikat ändern, das Sie für Ihre benutzerdefinierte Domäne übernommen haben.

Im Falle der routinemäßigen Zertifikaterneuerung mit ACM ist dies in der Regel nicht notwendig. Wenn Sie das vorhandene Zertifikat in ACM erneuern, bleibt der ARN für Ihr Zertifikat gleich und die benutzerdefinierte Domäne verwendet automatisch das neue Zertifikat.

Wenn Sie jedoch das vorhandene Zertifikat durch ein neues ersetzen, gibt ACM dem neuen Zertifikat einen neuen ARN. Sie müssen diesen ARN an Amazon Cognito übermitteln, um das neue Zertifikat für den benutzerdefinierten Domänennamen zu übernehmen.

Nachdem Sie Ihr neues Zertifikat bereitgestellt haben, dauert es max. eine Stunde, bis Amazon Cognito das Zertifikat an die benutzerdefinierte Domäne verteilt hat.

**Bevor Sie beginnen**  
Bevor Sie das Zertifikat in Amazon Cognito ändern können, müssen Sie es ACM hinzufügen. Weitere Informationen finden Sie unter [Erste Schritte](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) im *AWS Certificate Manager -Benutzerhandbuch*.  
Wenn Sie Ihr Zertifikat zu ACM hinzufügen, müssen Sie als AWS -Region USA Ost (Nord-Virginia) auswählen.

Sie können das Zertifikat mit der Amazon-Cognito-Konsole oder der API ändern.

------
#### [ AWS-Managementkonsole ]

**Zertifikat über die Amazon-Cognito-Konsole erneuern:**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Cognito Cognito-Konsole unter[https://console.aws.amazon.com/cognito/home](https://console.aws.amazon.com/cognito/home).

1. Wählen Sie **User Pools** (Benutzerpools) aus.

1. Wählen Sie den Benutzerpool aus, für den Sie das Zertifikat aktualisieren möchten.

1. Wählen Sie das **Domain-Menü**.

1. Wählen Sie **Actions** (Aktionen), **Edit ACM certificate** (ACM-Zertifikat bearbeiten) aus.

1. Wählen Sie das neue Zertifikat aus, das Sie Ihrer benutzerdefinierten Domäne zuordnen möchten.

1. Wählen Sie **Save Changes**.

------
#### [ API ]

**So erneuern Sie ein Zertifikat (Amazon-Cognito-API)**
+ Verwenden Sie die Aktion „[UpdateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolDomain.html)“.

------

# Branding auf verwaltete Anmeldeseiten anwenden
<a name="managed-login-branding"></a>

Möglicherweise möchten Sie für ein einheitliches Benutzererlebnis zwischen Ihrem Authentifizierungsdienst und Ihrer Anwendung sorgen. Sie können dieses Ziel entweder mit benutzerdefinierten Formularen und Back-End-API-Vorgängen in einem AWS SDK oder mit verwalteter Anmeldung erreichen. Die verwaltete Anmeldung und die klassische gehostete Benutzeroberfläche sind Web-Frontends für die Komponente Ihrer Anwendung, die die Authentifizierung mit Benutzerpools ermöglicht. Um Ihre verwalteten Authentifizierungsdienste mit der UX Ihrer Anwendung zu synchronisieren, haben Sie zwei Anpassungsoptionen: den Branding-Editor und das gehostete UI-Branding. Sie können Ihr bevorzugtes Erlebnis in der Amazon Cognito Cognito-Konsole und bei API-Vorgängen für den Benutzerpool wählen.

**Der Branding-Editor**  
Der [Branding-Editor](managed-login-brandingeditor.md) ist die neueste Anpassungsoption für die Benutzeroberfläche der neuesten Benutzerpools, [verwaltete Anmeldung](cognito-user-pools-managed-login.md). Der Branding-Editor ist ein visueller Editor ohne Code für verwaltete Anmelde-Assets und -Stile sowie eine Reihe von API-Operationen für die programmatische Konfiguration einer Vielzahl von Konfigurationsoptionen. Benutzerpools, die Sie mit einer [Domain](cognito-user-pools-assign-domain.md) und einer verwalteten Anmeldung konfigurieren, rendern automatisch die Branding-Designer-Version Ihrer Anmeldeseiten.

**Branding für gehostete Benutzeroberflächen (klassisch)**  
Das [Branding-Erlebnis für gehostete Benutzeroberflächen (klassisch)](hosted-ui-classic-branding.md) bietet zwei Optionen: das Ändern einer CSS-Datei (Cascading Stylesheets) mit einem festen Satz von Stiloptionen und das Hinzufügen eines benutzerdefinierten Logobilds. Sie können diese Optionen in der Amazon Cognito Cognito-Konsole oder mit dem Vorgang „UICustomizationAPI [einrichten“ festlegen](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUICustomization.html). Zu dem Zeitpunkt, als der Service eingeführt wurde, hatte Amazon Cognito nur diese Option. Benutzerpools, die Sie mit einer [Domain](cognito-user-pools-assign-domain.md) und der gehosteten UI-Branding-Version konfigurieren, rendern automatisch die klassische Version Ihrer Anmeldeseiten. Ihr [Featureplan](cognito-sign-in-feature-plans.md) unterstützt möglicherweise auch nur die gehostete Benutzeroberfläche.

**Anmerkung**  
Der Branding-Editor und das klassische Branding-Erlebnis ändern die visuellen Eigenschaften Ihres gehosteten Authentifizierungsdienstes. Derzeit können Sie den Text, der auf Ihren verwalteten Anmeldeseiten angezeigt wird, nicht ändern, es sei denn, Sie können die Lokalisierung in eine von mehreren Sprachen anwenden. Weitere Informationen zur Lokalisierung finden Sie unter[Lokalisierung bei verwalteter Anmeldung](cognito-user-pools-managed-login.md#managed-login-localization).

## Wählen Sie ein Branding-Erlebnis und weisen Sie Stile zu
<a name="managed-login-branding-choose"></a>

In der Amazon Cognito Cognito-Konsole wird für neue Benutzerpools standardmäßig das Branding-Erlebnis **Managed Login** verwendet. Benutzerpools, die Sie eingerichtet haben, bevor die verwaltete Anmeldung verfügbar war, erhalten das Branding **Hosted UI (klassisch)**. Sie können zwischen verwalteter Anmeldung und gehostetem UI-Branding wechseln. Wenn Sie Ihre **Branding-Version** ändern, wendet Amazon Cognito die Änderung sofort auf die benutzerinteraktiven Seiten Ihrer Benutzerpool-Domain an. Mit der verwalteten Anmeldung und der gehosteten Benutzeroberfläche kann Ihr Benutzerpool für jeden App-Client einen eigenen Stil haben.

Jeder App-Client kann einen eigenen *Branding-Stil* haben, aber eine Benutzerpool-Domain dient entweder der verwalteten Anmeldung oder der gehosteten Benutzeroberfläche. Ein Stil ist ein Satz von Anpassungseinstellungen, die auf einen App-Client angewendet werden. Sie können eine [benutzerdefinierte Domäne](cognito-user-pools-add-custom-domain.md) und eine [Präfixdomäne](cognito-user-pools-assign-domain-prefix.md) pro Benutzerpool einrichten. Sie können Ihren benutzerdefinierten Domains und Präfix-Domains unterschiedliche Branding-Versionen zuweisen. Eine Präfixdomäne ist jedoch nicht voll funktionsfähig, wenn Sie auch über eine benutzerdefinierte Domain verfügen — die `.well-known` OIDC-Discovery-Endpunkte bieten *nur* benutzerdefinierte Domänenpfade. Sie können die Präfixdomäne nur für Operationen verwenden, für die keine Endpoint Discovery (`openid-configuration`) in einem Benutzerpool mit dieser Konfiguration erforderlich ist. Aufgrund dieser Eigenschaften von Benutzerpools können Sie effektiv eine Branding-Version pro Benutzerpool auswählen.

Sie können den App-Clients in einem Benutzerpool, in dem für eine Domain die Branding-Version mit verwalteter Anmeldung festgelegt ist, Stile zuweisen. Stile sind eine Reihe von visuellen Einstellungen, die aus Bilddateien, Anzeigeoptionen und CSS-Werten bestehen. Wenn Sie einem App-Client einen Stil zuweisen, überträgt Amazon Cognito Ihre Aktualisierungen sofort auf Ihre benutzerinteraktiven Anmeldeseiten. Amazon Cognito rendert Ihre benutzerinteraktiven Seiten mit der von Ihnen ausgewählten Branding-Version und den Anpassungen, die Sie darauf vorgenommen haben.

### Stile aktualisieren und löschen
<a name="managed-login-branding-update"></a>

Wenn Sie einen Stil erstellen, verknüpfen Sie ihn mit einem App-Client. Um eine Stilzuweisung für einen App-Client zu ändern, müssen Sie zuerst den ursprünglichen Stil löschen. Derzeit können Sie keine Einstellungen zwischen Stilen kopieren. Sie müssen dies programmgesteuert tun. Um Einstellungen zwischen Stilen und App-Clients zu replizieren, rufen Sie die Einstellungen für einen Stil mit der [DescribeManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeManagedLoginBranding.html)API-Operation ab und wenden Sie sie mit oder an. [CreateManagedLoginBranding[UpdateManagedLoginBranding](https://docs.aws.amazon.com/)](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateManagedLoginBranding.html) Sie können die einem App-Client zugewiesenen Stile nicht ändern — Sie können nur das Original löschen und einen neuen festlegen. Weitere Informationen zur Verwaltung von Stilen mit API- und SDK-Vorgängen finden Sie unter. [API- und SDK-Operationen für verwaltetes Login-Branding](managed-login-brandingeditor.md#branding-designer-api)

**Anmerkung**  
Programmatische Anfragen, die einen Branding-Stil erstellen oder aktualisieren, dürfen eine Anforderungsgröße von nicht mehr als 2 MB haben. Wenn Ihre Anfrage diesen Grenzwert überschreitet, teilen Sie Ihre Anfrage in mehrere `UpdateManagedLoginBranding` Anfragen für Parametergruppen auf, die die maximale Anforderungsgröße nicht überschreiten. Diese Anfragen führen nicht dazu, dass nicht spezifizierte Parameter auf die Standardwerte gesetzt werden, sodass Sie Teilanfragen senden können, ohne dass dies Auswirkungen auf die vorhandenen Einstellungen hat.

Sie löschen einen Stil in der Amazon Cognito Cognito-Konsole aus dem Menü **Verwaltete Anmeldung**. Wählen Sie unter **Stile** den Stil aus, den Sie löschen möchten, und wählen Sie **Stil löschen** aus.

Auf oberster Ebene besteht der Prozess der Zuordnung des Brandings zu einer Domain aus den folgenden Schritten.

1. [Erstellen Sie eine Domain und legen Sie die Branding-Version](cognito-user-pools-assign-domain.md) fest.

1. Erstellen Sie einen Branding-Stil und weisen Sie ihn einem App-Client zu.

**Um einem App-Client einen Stil zuzuweisen**

1. Erstellen Sie im **Domain-Menü** Ihres Benutzerpools eine Domain und setzen Sie die **Branding-Version** auf **Verwaltete Anmeldung**.

1. Navigieren Sie zum Menü **Verwaltete Anmeldung**. Wählen Sie unter **Stile** die Option **Stil erstellen** aus.

1. Wählen Sie den App-Client aus, dem Sie Ihren Stil zuweisen möchten, oder erstellen Sie einen neuen [App-Client](user-pool-settings-client-apps.md).

1. Um mit der Konfiguration Ihrer Branding-Einstellungen zu beginnen, wählen Sie **Branding-Editor starten**.

**Topics**
+ [Wählen Sie ein Branding-Erlebnis und weisen Sie Stile zu](#managed-login-branding-choose)
+ [Der Branding-Editor und die Anpassung der verwalteten Anmeldung](managed-login-brandingeditor.md)
+ [Anpassen des Brandings für gehostete Benutzeroberflächen (klassisch)](hosted-ui-classic-branding.md)

# Der Branding-Editor und die Anpassung der verwalteten Anmeldung
<a name="managed-login-brandingeditor"></a>

Der Branding-Editor ist ein visuelles Design- und Bearbeitungstool für Ihre verwalteten Login-Webseiten. Es ist in die Amazon Cognito Cognito-Konsole integriert. Im Branding-Editor beginnen Sie mit einer Vorschau Ihrer Anmeldeseiten und können dann zu einer Schnelleinrichtungsoption oder einer Detailansicht mit erweiterten Optionen übergehen. Sie können Stilparameter ändern und eine Vorschau anzeigen oder ein benutzerdefiniertes Hintergrundbild und Logo hinzufügen. Sie können den Hellmodus und den Dunkelmodus konfigurieren.

![\[Eine Vorschau des visuellen Editors für den Branding-Editor für Amazon Cognito Cognito-Benutzerpools.\]](http://docs.aws.amazon.com/de_de/cognito/latest/developerguide/images/hosted-ui-customization-editor-preview.png)


Erstellen Sie zunächst einen Stil, den Sie auf Ihren Benutzerpool oder einen App-Client anwenden können.

**Um mit dem Branding-Editor zu beginnen**

1. [Erstellen Sie über den Domain-Tab eine](cognito-user-pools-assign-domain.md) **Domain** oder aktualisieren Sie Ihre bestehende Domain. Stellen Sie unter **Branding-Version** Ihre Domain so ein, dass sie die **verwaltete Anmeldung** verwendet.

1. Löschen Sie den vorhandenen App-Client-Stil, falls vorhanden.

   1. Wählen Sie im Menü **App-Clients** Ihren App-Client aus.

   1. Wählen Sie unter **Verwalteter Anmeldestil den Stil** aus, der Ihrem App-Client zugewiesen ist.

   1. Wählen Sie **Stil löschen.** Bestätigen Sie Ihre Auswahl.

1. Navigieren Sie in Ihrem Benutzerpool zum Menü **Verwaltete Anmeldung**. Falls Sie dies noch nicht getan haben, folgen Sie der Aufforderung, um einen [Funktionsplan](cognito-sign-in-feature-plans.md) auszuwählen, der eine verwaltete Anmeldung beinhaltet. Sie können auch „**Diese Funktion in der Vorschau anzeigen**“ auswählen, wenn Sie den Branding-Editor auschecken möchten, ohne Änderungen vorzunehmen.

1. Wählen Sie unter **Stile** die Option **Stil erstellen** aus.

1. Wählen Sie den App-Client aus, dem Sie Ihren Stil zuweisen möchten, und wählen Sie **Erstellen** aus. Sie können auch einen neuen App-Client erstellen.

1. Die Amazon Cognito Cognito-Konsole startet den Branding-Editor.

1. Wählen Sie eine Registerkarte, auf der Sie mit der Bearbeitung beginnen möchten, oder wählen Sie **Editor starten** und rufen Sie die [Schnellkonfiguration](#branding-designer-quick-setup) auf. Die folgenden Tabs sind verfügbar:  
**Vorversion**  
Sehen Sie sich auf Ihren verwalteten Anmeldeseiten an, wie Ihre aktuellen Auswahlen aussehen.  
**Stiftung**  
Legen Sie ein allgemeines Thema fest, konfigurieren Sie Links zu externen Identitätsanbietern und gestalten Sie Formularfelder.  
**Komponenten**  
Konfigurieren Sie Stile für Kopf- und Fußzeilen und einzelne Benutzeroberflächenelemente.

1. Rufen Sie Quick Setup auf, um Entscheidungen über die Grundeinstellungen zu treffen. Wählen Sie **die Kategorie Einstellungen ändern** und anschließend **Schnelleinrichtung** aus. Wenn Sie **Weiter** auswählen, wird der Branding-Editor mit einer Reihe grundlegender Optionen gestartet, die Sie konfigurieren müssen.

## Text und Lokalisierung
<a name="branding-designer-loc"></a>

Sie können Text im Branding-Editor nicht ändern oder lokalisieren. Fügen Sie stattdessen der URL, die Sie an Benutzer verteilen, einen `lang` Abfrageparameter hinzu. Dieser Parameter bewirkt, dass Ihre verwalteten Anmeldeseiten in eine von mehreren verfügbaren Sprachen lokalisiert werden. Weitere Informationen finden Sie unter [Lokalisierung bei verwalteter Anmeldung](cognito-user-pools-managed-login.md#managed-login-localization). 

## Quick Setup
<a name="branding-designer-quick-setup"></a>

Mit der Schaltfläche **Branding-Editor starten** wird ein visueller Editor für Ihre verwaltete Anmeldekonfiguration geladen, in dem Sie aus einer Vielzahl von primären Anpassungsoptionen auswählen können. Während Sie eine Auswahl treffen, rendert Amazon Cognito Ihre verwalteten Anmeldeänderungen in einem Vorschaufenster. Um zum Menü mit den detaillierten Einstellungen zurückzukehren, wählen Sie die Schaltfläche „**Einstellungskategorie ändern“**.

**Wie sollte das Gesamtbild aussehen und sich anfühlen?**  
Konfigurieren Sie die grundlegenden Theme-Einstellungen für die verwaltete Anmeldung.    
**Anzeigemodus**  
Wählen Sie für Ihre verwaltete Anmeldung einen Lichtmodus, einen Dunkelmodus oder ein adaptives Erlebnis. Die adaptiven Einstellungen richten sich nach den Browsereinstellungen des Benutzers, wenn Amazon Cognito die verwaltete Anmeldung rendert. Wenn Sie einen browseradaptiven Modus wählen, können Sie verschiedene Farben und Logobilder für den hellen und dunklen Modus wählen.  
**Spacing**  
Legen Sie den Standardabstand zwischen Elementen auf der Seite fest.  
**Radius des Randes**  
Legt die Rundungstiefe des äußeren Randes von Elementen fest.

**Wie sollte der Seitenhintergrund aussehen?**    
**Typ des Hintergrunds**  
Das Kontrollkästchen **Bild anzeigen** gibt an, ob Sie ein Hintergrundbild oder eine einfarbige Hintergrundfarbe verwenden möchten.  

1. Um ein Bild zu verwenden, wählen Sie **Bild anzeigen** und wählen Sie ein Hintergrundbild für den hellen und dunklen Modus. Sie können auch eine **Seitenhintergrundfarbe** im Dunkel- und Hellmodus für Bereiche des Hintergrunds festlegen, die nicht vom Bild verdeckt werden.

1. **Wenn Sie nur eine Farbe für den Hintergrund verwenden möchten, deaktivieren Sie die Option „**Bild anzeigen**“ und wählen Sie eine Seitenhintergrundfarbe im Hell- und Dunkelmodus.**

**Wie sollten Formulare aussehen?**  
Konfigurieren Sie die Einstellungen für die Formularelemente der verwalteten Anmeldung. Beispiele für Formularelemente sind Anmelde- und Codeaufforderungen.    
**Horizontale Ausrichtung**  
Legen Sie die horizontale Ausrichtung der Formularfelder fest.  
**Das Logo des Formulars**  
Legen Sie die Positionierung Ihres Logo-Bildes fest.  
**Logo-Bild**  
Wählen Sie eine Logo-Bilddatei aus, die in das Formularelement für den Hell- und Dunkelmodus aufgenommen werden soll. Um ein Bild hochzuladen, wählen Sie das Drop-down-Menü **Logobild** aus, wählen Sie **Neues Asset hinzufügen** und fügen Sie eine Logodatei hinzu.  
**Primäre Markenfarbe**  
Lege eine Designfarbe für den hellen und dunklen Modus fest. Diese Farbe wird als Hintergrundfarbe auf alle als primär klassifizierten Elemente angewendet.

**Wie sollten Überschriften aussehen?**  
Wählen Sie aus, ob Sie eine Kopfzeile in Ihre verwalteten Anmeldeseiten aufnehmen möchten. Die Kopfzeile kann ein Logobild enthalten.    
**Header-Logo**  
Legen Sie die Position des Logo-Bildes in Ihrer Kopfzeile fest.  
**Logo-Bild**  
Wählen Sie eine Logo-Position und eine Logo-Bilddatei aus, die in die Kopfzeile aufgenommen werden sollen. Um ein Bild hochzuladen, wählen Sie das Drop-down-Menü **Logobild** aus, wählen Sie **Neues Asset hinzufügen** und fügen Sie eine Logodatei hinzu.  
**Hintergrundfarbe der Überschrift**  
Stellen Sie die Farben im Hell- und Dunkelmodus für den Hintergrund der Kopfzeile ein.

## Detaillierte Einstellungen
<a name="branding-designer-advanced"></a>

In der Ansicht mit den detaillierten Einstellungen können Sie einzelne Komponenten in den Bereichen **Foundation** und **Components** ändern. Auf der Registerkarte **Vorschau** wird eine Vorschau der verwalteten Anmeldung im aktuellen Kontext mit Ihren Anpassungen angezeigt.

![\[Ein AWS-Managementkonsole Screenshot der detaillierten Konfiguration der verwalteten Anmeldekomponenten.\]](http://docs.aws.amazon.com/de_de/cognito/latest/developerguide/images/hosted-ui-customization-console-preview.png)


Um den visuellen Editor für eine Komponente aufzurufen, wählen Sie das Bearbeitungssymbol in der Kachel für die Komponente. Im Theme Studio-Editor können Sie mit der Schaltfläche **Einstellungskategorie ändern** zwischen den Komponenten wechseln.

### Fundament
<a name="branding-designer-advanced-foundation"></a>

**App-Stil**  
Konfigurieren Sie die Grundlagen Ihrer verwalteten Login-Konfiguration. Diese Kategorie enthält Einstellungen für das allgemeine Thema, den Textabstand sowie die Kopf- und Fußzeile der Seite.

**Anzeigemodus**  
Wählen Sie für Ihre verwalteten Anmeldeseiten einen hellen Modus, einen dunklen Modus oder ein adaptives Erlebnis. Wenn Sie einen browseradaptiven Modus wählen, können Sie verschiedene Farben und Logobilder für den Hell- und Dunkelmodus wählen.

**Spacing**  
Legen Sie den Standardabstand zwischen Elementen auf der Seite fest.

**Verhalten bei der Authentifizierung**  
Konfigurieren Sie Stile für die Schaltflächen, die Ihre Benutzer mit externen Identitätsanbietern verbinden (IdPs). Dieser Abschnitt enthält die Option **Domain-Sucheingabe**, mit der Benutzer die Anmeldeaufforderung nach einer E-Mail-Adresse verwalten und diese mit ihrer [SAML-Identity Provider-ID](cognito-user-pools-managing-saml-idp-naming.md) abgleichen können.

**Verhalten von Formularen**  
Konfigurieren Sie Stile für Eingabeformulare: die Positionierung von Eingaben, Farben und Ausrichtung von Elementen.

### Komponenten
<a name="branding-designer-advanced-components"></a>

**Schaltflächen**  
Stile für Schaltflächen, die Amazon Cognito auf verwalteten Anmeldeseiten rendert.

**Teiler**  
Stile für Trennlinien und Grenzen zwischen verwalteten Anmeldeelementen wie dem Eingabeformular und der Anmeldeselektion für externe Anbieter.

**Dropdown**  
Stile für Dropdownmenüs.

**Favicon**  
Stile für das Bild, das Amazon Cognito für das Tab- und Lesezeichensymbol bereitstellt.

**Fokusringe**  
Stile für die Markierungen, die auf eine aktuell ausgewählte Eingabe hinweisen.

**Formularcontainer**  
Stile für die Elemente, die ein Formular verbinden.

**Globale Fußzeile**  
Stile für die Fußzeile, die Amazon Cognito unten auf verwalteten Anmeldeseiten anzeigt.

**Globaler Header**  
Stile für die Kopfzeile, die Amazon Cognito oben auf verwalteten Anmeldeseiten anzeigt.

**Hinweise**  
Stile für Fehler- und Erfolgsmeldungen.

**Steuerelemente für Optionen**  
Stile für Kontrollkästchen, Mehrfachauswahlen und andere Eingabeaufforderungen.

**Hintergrund der Seite**  
Stile für den Gesamthintergrund der verwalteten Anmeldung.

**Eingaben**  
Stile für Eingabeaufforderungen in Formularfeldern.

**Link**  
Stile für Hyperlinks auf verwalteten Anmeldeseiten.

**Text für Seite**  
Stile für Text innerhalb der Seite.

**Text für das Feld**  
Stile für den Text rund um Formulareingaben.

## API- und SDK-Operationen für verwaltetes Login-Branding
<a name="branding-designer-api"></a>

Mit den API-Operationen [CreateManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateManagedLoginBranding.html)und können Sie auch ein Branding auf einen verwalteten Anmeldestil anwenden [UpdateManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateManagedLoginBranding.html). Diese Operationen sind ideal, um identische oder leicht modifizierte Versionen eines Branding-Stils für einen anderen App-Client oder Benutzerpool zu erstellen. Fragen Sie das verwaltete Login-Branding eines vorhandenen Stils mit der API-Operation ab [DescribeManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeManagedLoginBranding.html), ändern Sie dann die Ausgabe nach Bedarf und wenden Sie sie auf eine andere Ressource an.

Durch den `UpdateManagedLoginBranding` Vorgang wird der App-Client, auf den Ihr Stil angewendet wird, nicht geändert. Es aktualisiert nur den vorhandenen Stil, der einem App-Client zugewiesen ist. Um den Stil für einen App-Client vollständig zu ersetzen, löschen Sie den vorhandenen Stil mit [DeleteManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DeleteManagedLoginBranding.html)und weisen Sie ihm einen neuen Stil mit zu`CreateManagedLoginBranding`. In der Amazon Cognito Cognito-Konsole gilt dasselbe: Sie müssen den vorhandenen Stil löschen und einen neuen erstellen.

Um das Branding für verwaltete Logins in einer API- oder SDK-Anfrage einzurichten, müssen Ihre Einstellungen in eine JSON-Datei eingebettet werden, die in einen `Document` Datentyp konvertiert wird. Im Folgenden finden Sie Anleitungen für Bilder, die Sie hinzufügen können, und für das Generieren programmatischer Anfragen zur Konfiguration eines Branding-Stils.

### Bild-Assets
<a name="branding-designer-api-assets"></a>

[CreateManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateManagedLoginBranding.html)und [UpdateManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateManagedLoginBranding.html)fügen Sie einen `Assets` Parameter hinzu. Dieser Parameter ist ein Array von Bilddateien im Base64-codierten Binärformat.

**Anmerkung**  
Programmatische Anfragen, die den Branding-Stil erstellen oder aktualisieren, dürfen eine Anforderungsgröße von nicht mehr als 2 MB haben. Aufgrund der in Ihrer Anfrage enthaltenen Elemente wird diese Obergrenze möglicherweise überschritten. Wenn dies der Fall ist, teilen Sie Ihre Anfrage in mehrere `UpdateManagedLoginBranding` Anfragen für Parametergruppen auf, die die maximale Anforderungsgröße nicht überschreiten. Diese Anfragen führen nicht dazu, dass nicht spezifizierte Parameter auf die Standardwerte gesetzt werden, sodass Sie Teilanfragen senden können, ohne dass dies Auswirkungen auf die vorhandenen Einstellungen hat.

Für einige Ressourcen gelten Einschränkungen in Bezug auf die Dateitypen, die Sie einreichen können.


****  

| Komponente | Zulässige Dateierweiterungen | 
| --- | --- | 
| FAVICON\$1ICO | ico | 
| FAVICON\$1SVG | svg | 
| E-MAIL\$1GRAFIK | png, svg, jpeg | 
| SMS\$1GRAFIK | png, svg, jpeg | 
| AUTH\$1APP\$1GRAPHIC | png, svg, jpeg | 
| PASSWORT\$1GRAFIK | png, svg, jpeg | 
| PASSKEY\$1GRAPHIC | png, svg, jpeg | 
| SEITENÜBERSCHRIFT\$1LOGO | png, svg, jpeg | 
| SEITENKOPFHINTERGRUND | png, svg, jpeg | 
| SEITE\$1FOOTER\$1LOGO | png, svg, jpeg | 
| SEITENFUSSZEILE\$1HINTERGRUND | png, svg, jpeg | 
| SEITENHINTERGRUND | png, svg, jpeg | 
| FORM\$1HINTERGRUND | png, svg, jpeg | 
| FORM\$1LOGO | png, svg, jpeg | 
| IDP\$1BUTTON\$1ICON | ico, svg | 

Dateien des Typs SVG unterstützen die folgenden Attribute und Elemente.

------
#### [ Attributes ]

```
accent-height, accumulate, additivive, alignment-baseline, ascent, attributename, attributetype, azimuth, basefrequency, baseline-shift, begin, bias, by, class, clip, clip-path, clip-rule, color, color-interpolation, color-interpolation-filters, color-profile, color-rendering, cx, cy, d, dx, dy, diffuseconstant, direction, display, divisor, dur, edgemode, elevation, end, fill, fill-opacity, fill-rule, filter, filterunits, flood-color, flood-opacity, font-family, font-size, font-size-adjust, font-stretch, font-style, font-variant, font-weight, fx, fy, g1, g2, glyph-name, glyphref, gradientunits, gradienttransform, height, href, id, image-rendering, in, in2, k, k1, k2, k3, k4, kerning, keypoints, keysplines, keytimes, lang, lengthadjust, letter-spacing, kernelmatrix, kernelunitlength, lighting-color, local, marker-end, marker-mid, marker-start, markerheight, markerunits, markerwidth, maskcontentunits, maskunits, max, mask, media, method, mode, min, name, numoctaves, offset, operator, opacity, order, orient, orientation, origin, overflow, paint-order, path, pathlength, patterncontentunits, patterntransform, patternunits, points, preservealpha, preserveaspectratio, r, rx, ry, radius, refx, refy, repeatcount, repeatdur, restart, result, rotate, scale, seed, shape-rendering, specularconstant, specularexponent, spreadmethod, stddeviation, stitchtiles, stop-color, stop-opacity, stroke-dasharray, stroke-dashoffset, stroke-linecap, stroke-linejoin, stroke-miterlimit, stroke-opacity, stroke, stroke-width, style, surfacescale, tabindex, targetx, targety, transform, text-anchor, text-decoration, text-rendering, textlength, type, u1, u2, unicode, values, viewbox, visibility, vert-adv-y, vert-origin-x, vert-origin-y, width, word-spacing, wrap, writing-mode, xchannelselector, ychannelselector, x, x1, x2, xmlns, y, y1, y2, z, zoomandpan
```

------
#### [ Elements ]

```
svg, a, altglyph, altglyphdef, altglyphitem, animatecolor, animatemotion, animatetransform, audio, canvas, circle, clippath, defs, desc, ellipse, filter, font, g, glyph, glyphref, hkern, image, line, lineargradient, marker, mask, metadata, mpath, path, pattern, polygon, polyline, radialgradient, rect, stop, style, switch, symbol, text, textpath, title, tref, tspan, video, view, vkern, feBlend, feColorMatrix, feComponentTransfer, feComposite, feConvolveMatrix, feDiffuseLighting, feDisplacementMap, feDistantLight, feFlood, feFuncA, feFuncB, feFuncG, feFuncR, feGaussianBlur, feMerge, feMergeNode, feMorphology, feOffset, fePointLight, feSpecularLighting, feSpotLight, feTile, feTurbulence
```

------

### Tools für verwaltete Login-Branding-Operationen
<a name="branding-designer-api-tools"></a>

Amazon Cognito verwaltet eine Datei im [JSON-Schemaformat für das Objekt mit den Branding-Einstellungen](https://json-schema.org/docs) für verwaltete Logins. Im Folgenden erfahren Sie, wie Sie Ihren Branding-Stil programmgesteuert aktualisieren können.

**Um das Branding in der Benutzerpools-API zu aktualisieren**

1. Erstellen Sie in der Amazon Cognito Cognito-Konsole im Menü Verwaltete Anmeldung Ihres Benutzerpools einen standardmäßigen Branding-Stil für **verwaltete Logins**. Weisen Sie ihn einem App-Client zu.

1. Notieren Sie sich beispielsweise die ID des App-Clients, für den Sie den Stil erstellt haben`1example23456789`.

1. Rufen Sie die Einstellungen für den Branding-Stil mit einer [DescribeManagedLoginBrandingByClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeManagedLoginBrandingByClient.html)API-Anfrage mit der `ReturnMergedResources` Einstellung auf ab`true`. Im Folgenden finden Sie ein Beispiel für einen Anfragetext.

   ```
   {
      "ClientId": "1example23456789",
      "ReturnMergedResources": true,
      "UserPoolId": "us-east-1_EXAMPLE"
   }
   ```

1. Ändern Sie die Ausgabe von `DescribeManagedLoginBrandingByClient` mit Ihren Anpassungen.

   1. Der Antworttext ist in ein `ManagedLoginBranding` Element eingeschlossen, das nicht Teil der Syntax für Erstellungs- und Aktualisierungsvorgänge ist. Entfernen Sie diese oberste Ebene des JSON-Objekts.

   1. Um Bilder zu ersetzen, ersetzen Sie den `Bytes` Wert durch die Base64-codierten Binärdaten jeder Bilddatei.

   1. Um die Einstellungen zu aktualisieren, ändern Sie die Ausgabe des `Settings` Objekts und nehmen Sie es in Ihre nächste Anfrage auf. Amazon Cognito ignoriert alle Werte in Ihrem `Settings` Objekt, die nicht in dem Schema enthalten sind, das Sie in Ihrer API-Antwort erhalten.

1. Verwenden Sie den aktualisierten Antworttext in einer [CreateManagedLoginBranding[UpdateManagedLoginBranding](https://docs.aws.amazon.com/)](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateManagedLoginBranding.html)Oder-Anfrage. Wenn diese Anfrage mehr als 2 MB groß ist, teilen Sie sie in mehrere Anfragen auf. Diese Operationen funktionieren in einem `PATCH` Modell, in dem die ursprünglichen Einstellungen unverändert bleiben, sofern Sie nichts anderes angeben.

# Anpassen des Brandings für gehostete Benutzeroberflächen (klassisch)
<a name="hosted-ui-classic-branding"></a>

Sie können die AWS-Managementkonsole API oder oder verwenden, um klassische Anpassungseinstellungen für die gehostete Benutzeroberfläche anzugeben. AWS CLI Sie können ein benutzerdefiniertes Logo-Image hochladen, das Sie in der App anzeigen möchten. Sie können auch einige Cascading Style Sheets (CSS) -Optionen auf das Erscheinungsbild der Benutzeroberfläche anwenden.

Sie können die Standardeinstellungen der Benutzeroberfläche anpassen und einzelne [App-Clients](cognito-terms.md#term-appclient) mit bestimmten Einstellungen überschreiben. Amazon Cognito wendet die Standardkonfiguration auf jeden App-Client an, der keine Einstellungen auf Client-Ebene hat.

In der Amazon Cognito Cognito-Konsole und in API-Anfragen darf die Anfrage, die Ihre UI-Anpassung festlegt, eine Größe von 135 KB nicht überschreiten. In seltenen Fällen kann es sein, dass die Anforderungs-Header, Ihre CSS-Datei und Ihr Logo zusammen 135 KB überschreiten. Amazon Cognito codiert die Bilddatei in Base64. Dadurch erhöht sich die Größe eines Bilds mit 100 KB auf 130 KB, so dass fünf KB für Anforderungs-Header und Ihre CSS-Datei übrig bleiben. Wenn die Anfrage zu groß ist, gibt die AWS-Managementkonsole oder Ihre `SetUICustomization` API-Anfrage einen `request parameters too large` Fehler zurück. Passen Sie Ihr Logobild so an, dass es nicht größer als 100 KB ist, und Ihre CSS-Datei so, dass sie nicht größer als 3 KB ist. Sie können CSS- und Logo-Anpassungen nicht separat festlegen.

**Anmerkung**  
Um Ihre Benutzeroberfläche anzupassen, müssen Sie eine Domain für Ihren Benutzerpool einrichten.

## Spezifizierung eines benutzerdefinierten Logos im klassischen Branding
<a name="cognito-user-pools-app-ui-customization-logo"></a>

Amazon Cognito zentriert Ihr benutzerdefiniertes Logo über den Eingabefeldern auf dem [Login-Endpunkt](login-endpoint.md).

Wählen Sie für Ihr benutzerdefiniertes gehostetes Logo der Benutzeroberfläche eine PNG-, JPG- oder JPEG-Datei, die auf 350 mal 178 Pixel skaliert werden kann. Ihre Logodatei darf nicht größer als 100 KB bzw. 130 KB nach der Codierung in Base64 durch Amazon Cognito sein. Um ein `ImageFile` [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUICustomization.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUICustomization.html)in der API festzulegen, konvertieren Sie Ihre Datei in eine Base64-kodierte Textzeichenfolge oder geben Sie in der AWS CLI einen Dateipfad an und lassen Sie Amazon Cognito ihn für Sie kodieren.

## Spezifizierung von CSS-Anpassungen im klassischen Branding
<a name="cognito-user-pools-app-ui-customization-css"></a>

Sie können CSS für die gehosteten App-Seiten anpassen. Dabei gelten die folgenden Einschränkungen:
+ Sie können einen der folgenden CSS-Klassennamen verwenden:
  + `background-customizable`
  + `banner-customizable`
  + `errorMessage-customizable`
  + `idpButton-customizable`
  + `idpButton-customizable:hover`
  + `idpDescription-customizable`
  + `inputField-customizable`
  + `inputField-customizable:focus`
  + `label-customizable`
  + `legalText-customizable`
  + `logo-customizable`
  + `passwordCheck-valid-customizable`
  + `passwordCheck-notValid-customizable`
  + `redirect-customizable`
  + `socialButton-customizable`
  + `submitButton-customizable`
  + `submitButton-customizable:hover`
  + `textDescription-customizable`
+ Eigenschaftswerte können HTML enthalten, mit Ausnahme der folgenden Werte: `@import`, `@supports`, `@page`, `@media`-Anweisungen oder JavaScript.

Sie können die folgenden CSS-Eigenschaften anpassen:

**Bezeichnungen**  
+ **font-weight** ist ein Vielfaches von 100 von 100 bis 900.
+ **color** ist die Textfarbe. Muss ein [zulässiger CSS-Farbwert](https://www.w3schools.com/cssref/css_colors_legal.php) sein.

**Eingabefelder**  
+ **width** ist die Breite als Prozentsatz des umschließenden Blocks.
+ **height** ist die Höhe des Eingabefeldes in Pixel (px).
+ **color** ist die Textfarbe. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.
+ **background-color** ist die Hintergrundfarbe des Eingabefeldes. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.
+ **border** ist ein standardmäßiger CSS-Rahmenwert, der die Breite, Transparenz und Farbe des Rahmens Ihres App-Fensters angibt. Die Breite kann ein beliebiger Wert zwischen 1px zu 100px sein. Transparenz kann vollständig oder nicht transparent sein. Bei der Farbe kann es sich um jeden standardmäßigen Farbwert handeln.

**Textbeschreibungen**  
+ **padding-top** ist der Abstand oberhalb der Beschreibung.
+ **padding-bottom** ist der Abstand unterhalb der Beschreibung.
+ **display** kann `block` oder `inline` sein.
+ **font-size** ist die Schriftgröße für Textbeschreibungen.
+ **color** ist die Textfarbe. Muss ein [zulässiger CSS-Farbwert](https://www.w3schools.com/cssref/css_colors_legal.php) sein.

**Absenden-Schaltfläche**  
+ **font-size** ist die Schriftgröße für den Schaltflächentext.
+ **font-weight** ist die Schriftauszeichnung für den Schaltflächentext: `bold`, `italic` oder `normal`.
+ **margin** ist eine Zeichenfolge aus 4 Werten, die die Seitenränder oben, rechts, unten und links für die Schaltfläche angeben.
+ **font-size** ist die Schriftgröße für Textbeschreibungen.
+ **width** ist die Breite des Schaltflächentexts als Prozentwert des umschließenden Blocks.
+ **height** ist die Höhe der Schaltfläche in Pixel (px).
+ **color** ist die Farbe der Schaltfläche. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.
+ **background-color** ist die Hintergrundfarbe der Schaltfläche. Dabei kann es sich um jeden standardmäßigen Farbwert handeln.

**Banner**  
+ **padding** ist eine Zeichenfolge aus 4 Werten, die die Abstandsgrößen oben, rechts, unten und links für das Banner angeben.
+ **background-color** ist die Hintergrundfarbe der Banners. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.

**Absenden-Schaltfläche, wenn der Mauszeiger auf sie geschoben wird**  
+ **color** ist die Vordergrundfarbe der Schaltfläche, wenn Sie den Mauszeiger auf sie schieben. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.
+ **background-color** ist die Hintergrundfarbe der Schaltfläche, wenn Sie den Mauszeiger auf sie schieben. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.

**Identitätsanbieter-Schaltfläche, wenn der Mauszeiger auf sie geschoben wird**  
+ **color** ist die Vordergrundfarbe der Schaltfläche, wenn Sie den Mauszeiger auf sie schieben. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.
+ **background-color** ist die Hintergrundfarbe der Schaltfläche, wenn Sie den Mauszeiger auf sie schieben. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.

**Password-Prüfung nicht gültig**  
+ **color** ist die Textfarbe der `"Password check not valid"`-Meldung. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.

**Hintergrund**  
+ **background-color** ist die Hintergrundfarbe des App-Fensters. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.

**Fehlermeldungen**  
+ **margin** ist eine Zeichenfolge aus 4 Werten, die die Seitenränder oben, rechts, unten und links angeben.
+ **padding** ist die Abstandsgröße.
+ **font-size** ist die Schriftgröße.
+ **width** ist die Breite der Fehlermeldung als Prozentsatz des umschließenden Blocks.
+ **background** ist die Hintergrundfarbe der Fehlermeldung. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.
+ **border** ist eine Zeichenfolge von 3 Werten für die Breite, Transparenz und Farbe des Rahmens angeben.
+ **color** ist die Textfarbe der Fehlermeldung. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.
+ **box-sizing** wird verwendet, um dem Browser mitzuteilen, welche Größeneigenschaften (Breite und Höhe) verwendet werden sollen.

**Identitätsanbieter-Schaltflächen**  
+ **height** ist die Höhe der Schaltfläche in Pixel (px).
+ **width** ist die Breite des Schaltflächentexts als Prozentwert des umschließenden Blocks. 
+ **text-align** ist die Einstellung für die Textausrichtung. Sie kann `left`, `right` oder `center` sein.
+ **margin-bottom** ist die Einstellung für den unteren Rand. 
+ **color** ist die Farbe der Schaltfläche. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.
+ **background-color** ist die Hintergrundfarbe der Schaltfläche. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.
+ **border-color** ist die Farbe des Schaltflächenrahmens. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.

**Identitätsanbieter-Beschreibung**  
+ **padding-top** ist der Abstand oberhalb der Beschreibung.
+ **padding-bottom** ist der Abstand unterhalb der Beschreibung.
+ **display** kann `block` oder `inline` sein.
+ **font-size** ist die Schriftgröße für Beschreibungen.
+ **Farbe** ist die Textfarbe für IdP-Abschnittsüberschriften, zum Beispiel **Melden Sie sich mit Ihrer Unternehmens-ID an**. Muss ein [zulässiger CSS-Farbwert](https://www.w3schools.com/cssref/css_colors_legal.php) sein.

**Rechtliche Hinweise**  
+ **color** ist die Textfarbe. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.
+ **font-size** ist die Schriftgröße.
Wenn Sie **rechtliche Hinweise** anpassen, passen Sie die Nachricht **Wir werden auf keinem Ihrer Konten posten, ohne vorher zu fragen** an, die auf der Anmeldeseite unter Social-Identity-Anbieter angezeigt wird.

**Logo**  
+ **max-width** ist die maximale Breite als Prozentsatz des umschließenden Blocks.
+ **max-height** ist die maximale Höhe als Prozentsatz des umschließenden Blocks.
+ **background-color** ist die Hintergrundfarbe für Protokolle mit transparenten Abschnitten. Muss ein [zulässiger CSS-Farbwert](https://www.w3schools.com/cssref/css_colors_legal.php) sein.

**Eingabefeld-Fokus**  
+ **border-color** ist die Farbe des Eingabefelds. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.
+ **outline** ist die Rahmenbreite des Eingabefeldes in Pixel (px).

**Sozial-Schaltfläche**  
+ **height** ist die Höhe der Schaltfläche in Pixel (px).
+ **text-align** ist die Einstellung für die Textausrichtung. Sie kann `left`, `right` oder `center` sein.
+ **width** ist die Breite des Schaltflächentexts als Prozentwert des umschließenden Blocks.
+ **margin-bottom** ist die Einstellung für den unteren Rand.

**Password-Prüfung gültig**  
+ **color** ist die Textfarbe der `"Password check valid"`-Meldung. Dabei kann es sich um jeden standardmäßigen CSS-Farbwert handeln.

## Anpassen der gehosteten Benutzeroberfläche mit klassischem Branding in AWS-Managementkonsole
<a name="cognito-user-pools-app-ui-customization-console"></a>

Sie können das verwenden AWS-Managementkonsole , um die Einstellungen für die Anpassung der Benutzeroberfläche für Ihre App festzulegen.

**Anmerkung**  
Sie sehen die gehostete Benutzeroberfläche mit Ihren Anpassungen, indem Sie die folgende URL mit den spezifischen Angaben für Ihren Benutzerpool erstellen und in einen Browser eingeben: ` https://<your_domain>/login?response_type=code&client_id=<your_app_client_id>&redirect_uri=<your_callback_url>` Möglicherweise müssen Sie bis zu einer Minute warten, um Ihren Browser zu aktualisieren, damit die auf der Konsole vorgenommenen Änderungen angezeigt werden.  
Ihre Domäne wird auf der Registerkarte **App integration** (Anwendungsintegration) unter **Domain** (Domäne) angezeigt. Die App-Client-ID und die Rückruf-URL werden unter **App clients** (App-Clients) angezeigt.

**So geben Sie die App-Anpassungseinstellungen für Ihre Benutzeroberfläche an**

1. Melden Sie sich bei der [Amazon Cognito-Konsole](https://console.aws.amazon.com/cognito/home) an.

1. Wählen Sie im Navigationsbereich **User Pools** (Benutzerpools) aus und anschließend den Benutzerpool, den Sie bearbeiten möchten.

1. [Erstellen Sie über den Domain-Tab eine](cognito-user-pools-assign-domain.md) **Domain** oder aktualisieren Sie Ihre bestehende Domain. Stellen Sie unter **Branding-Version** Ihre Domain so ein, dass sie **Hosted UI (klassisch)** verwendet.

1. Wählen Sie das Menü **Verwaltete Anmeldung**.

1. Um die UI-Einstellungen für alle App-Clients anzupassen, suchen Sie **Style** unter **Einstellungen für gehostete Benutzeroberflächen** und wählen Sie **Bearbeiten** aus.

1. Um die UI-Einstellungen für einen App-Client anzupassen, rufen Sie das Menü **App-Clients** auf und wählen Sie den App-Client aus, den Sie ändern möchten. Suchen Sie dann nach dem **Stil der gehosteten Benutzeroberfläche (klassisch)** und wählen Sie **Überschreiben** aus. Wählen Sie **Bearbeiten** aus.

1. Um Ihre eigene Logo-Bilddatei hochzuladen, wählen Sie **Choose file** (Datei auswählen) oder **Replace current file** (Aktuelle Datei ersetzen) aus.

1. Um das gehostete UI-CSS anzupassen, laden Sie **CSS template.css** herunter und ändern Sie die Vorlage mit den Werten, die Sie anpassen möchten. Nur die Schlüssel, die in der Vorlage enthalten sind, können mit der gehosteten Benutzeroberfläche verwendet werden. Hinzugefügte CSS-Schlüssel werden nicht in Ihrer Benutzeroberfläche wiedergegeben. Nachdem Sie die CSS-Datei angepasst haben, wählen Sie **Choose file** (Datei auswählen) oder **Replace current file** (Aktuelle Datei ersetzen), um Ihre benutzerdefinierte CSS-Datei hochzuladen.

## Anpassen der gehosteten Benutzeroberfläche mit klassischem Branding in der Benutzerpools-API und mit AWS CLI
<a name="cognito-user-pools-app-ui-customization-cli-api"></a>

Verwenden Sie die folgenden Befehle für die Angabe von Einstellungen der Anpassung der App-Benutzeroberfläche für Ihren Benutzerpool.

**Verwenden Sie die folgenden API-Operationen, um die Einstellungen für die Anpassung der Benutzeroberfläche für eine integrierte App-Benutzeroberfläche eines Benutzerpools abzurufen.**
+ AWS CLI: `aws cognito-idp get-ui-customization`
+ AWS API: [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUICustomization.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUICustomization.html)

**Verwenden Sie die folgenden API-Operationen, um die Einstellungen für die Anpassung der Benutzeroberfläche für eine integrierte App-Benutzeroberfläche eines Benutzerpools festzulegen.**
+ AWS CLI aus der Bilddatei: `aws cognito-idp set-ui-customization --user-pool-id <your-user-pool-id> --client-id <your-app-client-id> --image-file fileb://"<path-to-logo-image-file>" --css ".label-customizable{ color: <color>;}"`
+ AWS CLI mit einem Bild, das als Base64-Binärtext codiert ist: `aws cognito-idp set-ui-customization --user-pool-id <your-user-pool-id> --client-id <your-app-client-id> --image-file <base64-encoded-image-file> --css ".label-customizable{ color: <color>;}"`
+ AWS API: [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUICustomization.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUICustomization.html)