Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Benutzerinteraktives verwaltetes Login und klassische Endpunkte für gehostete Benutzeroberflächen
Amazon Cognito aktiviert die verwalteten Anmeldeendpunkte in diesem Abschnitt, wenn Sie Ihrem Benutzerpool eine Domain hinzufügen. Dies sind Webseiten, auf denen Ihre Benutzer die wichtigsten Authentifizierungsvorgänge eines Benutzerpools abschließen können. Sie enthalten Seiten für Passwortverwaltung, Multi-Faktor-Authentifizierung (MFA) und Attributüberprüfung.
Die Webseiten, aus denen sich die verwaltete Anmeldung zusammensetzt, sind Frontend-Webanwendungen für interaktive Benutzersitzungen mit Ihren Kunden. Ihre App muss die verwaltete Anmeldung in den Browsern Ihrer Benutzer aufrufen. Amazon Cognito unterstützt keinen programmatischen Zugriff auf die Webseiten in diesem Kapitel. Die Verbund-Endpunkte in der [Identitätsanbieter und Endpunkte der vertrauenden Partei](federation-endpoints.md), die eine JSON-Antwort zurückgeben, können direkt in Ihrem App-Code abgefragt werden. Die [Autorisieren des Endpunkts](authorization-endpoint.md) leitet entweder zur verwalteten Anmeldung oder zu einer IdP-Anmeldeseite weiter und muss auch in den Browsern der Benutzer geöffnet werden.
Alle Benutzerpool-Endpunkte akzeptieren Datenverkehr von IPv4 und IPv6 Quell-IP-Adressen.
In den Themen in diesem Handbuch werden häufig verwendete Endpunkte für verwaltete Anmeldung und klassische gehostete Benutzeroberflächen ausführlich beschrieben. Der Unterschied zwischen der verwalteten Anmeldung und der gehosteten Benutzeroberfläche ist sichtbar und funktioniert nicht. Mit Ausnahme `/passkeys/add` von: Alle Pfade werden von den beiden Versionen des Brandings für verwaltete Logins gemeinsam genutzt.
Amazon Cognito stellt die folgenden Webseiten bereit, wenn Sie Ihrem Benutzerpool eine Domain zuweisen.
**Verwaltete Anmelde-Endpunkte**
| Endpunkt-URL | Description | Zugriff darauf |
| --- | --- | --- |
| https://Your user pool domain/login | Meldet lokale Benutzer und Verbundbenutzer im Benutzerpool an. | Weiterleitung von Endpunkten wie [Autorisieren des Endpunkts](authorization-endpoint.md), `/logout` und `/confirmforgotPassword`. Siehe [Login-Endpunkt](login-endpoint.md). |
| https://Your user pool domain/logout | Meldet Benutzer des Benutzerpools ab. | Direkt-Link. Siehe [Logout-Endpunkt](logout-endpoint.md). |
| https:///ConfirmUser Your user pool domain | Bestätigt Benutzer, die einen E-Mail-Link ausgewählt haben, um ihr Benutzerkonto zu verifizieren. | Der Benutzer hat einen Link in einer E-Mail-Nachricht ausgewählt. |
| https:///signup Your user pool domain | Registriert einen neuen Benutzer. Die Seite /login leitet die Benutzer an /signup weiter, wenn sie Sign up (Registrieren) auswählen. | Direkter Link mit den gleichen Parametern wie `/oauth2/authorize`. |
| https:///confirm Your user pool domain | Nachdem Ihr Benutzerpool einen Bestätigungscode an einen Benutzer gesendet hat, der sich angemeldet hat, fordert er Ihren Benutzer auf, den Code einzugeben. | Nur Weiterleitung von `/signup`. |
| https://Your user pool domain/Passwort vergessen | Fordert die Benutzer zur Eingabe des Benutzernamens auf und sendet einen Code zum Zurücksetzen des Passworts. Die Seite /login leitet die Benutzer an /forgotPassword weiter, wenn sie Forgot your password? (Passwort vergessen?) auswählen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cognito/latest/developerguide/managed-login-endpoints.html) |
| https:///ConfirmForgotPassword Your user pool domain | Fordert die Benutzer auf, den Code zum Zurücksetzen des Passworts und anschließend ein neues Passwort einzugeben. Die Seite /forgotPassword leitet die Benutzer an /confirmforgotPassword weiter, wenn sie Reset your password (Passwort zurücksetzen) auswählen. | Nur Weiterleitung von /forgotPassword. |
| https://Your user pool domain/resendcode | Sendet einen neuen Bestätigungscode an einen Benutzer, der sich in Ihrem Benutzerpool angemeldet hat. | Nur Weiterleitung von **Neuen Code senden** unter `/confirm`. |
| https:///passkeys/add Your user pool domain | [Registriert einen neuen Hauptschlüssel.](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passkey) Nur bei verwalteter Anmeldung verfügbar. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cognito/latest/developerguide/managed-login-endpoints.html) |
**Topics**
+ [Der Endpunkt für die verwaltete Anmeldung: `/login`](login-endpoint.md)
+ [Der Endpunkt für die verwaltete Anmeldung und Abmeldung: `/logout`](logout-endpoint.md)
# Der Endpunkt für die verwaltete Anmeldung: `/login`
Der Anmeldeendpunkt ist ein Authentifizierungsserver und ein Umleitungsziel von[Autorisieren des Endpunkts](authorization-endpoint.md). Er ist der Einstiegspunkt für die verwaltete Anmeldung, wenn Sie keinen Identitätsanbieter angeben. Wenn Sie eine Weiterleitung zum Anmeldeendpunkt generieren, wird die Anmeldeseite geladen und dem Benutzer werden die für den Client konfigurierten Authentifizierungsoptionen angezeigt.
**Anmerkung**
Der Anmeldeendpunkt ist eine Komponente der verwalteten Anmeldung. Rufen Sie in Ihrer App Verbundseiten und verwaltete Anmeldeseiten auf, die zum Anmeldeendpunkt weiterleiten. Der direkte Zugriff von Benutzern auf den Anmeldeendpunkt hat sich als Methode nicht bewährt.
## GET /login
Der `/login`-Endpunkt unterstützt `HTTPS GET` nur für die erste Anfrage Ihres Benutzers. Ihre App ruft die Seite in einem Browser wie Chrome oder Firefox auf. Wenn Sie zu `/login` von der weiterleiten[Autorisieren des Endpunkts](authorization-endpoint.md), werden alle Parameter weitergegeben, die Sie in Ihrer ersten Anfrage angegeben haben. Der Anmeldeendpunkt unterstützt alle Anforderungsparameter des Autorisierungsendpunkts. Sie können auch direkt auf den Anmeldeendpunkt zugreifen. Es hat sich als Methode bewährt, die Sitzungen aller Benutzer mit `/oauth2/authorize` zu starten.
**Beispiel — Fordere den Benutzer auf, sich anzumelden**
Dieses Beispiel zeigt einen Anmeldebildschirm an.
```
GET https://mydomain.auth.us-east-1.amazoncognito.com/login?
response_type=code&
client_id=ad398u21ijw3s9w3939&
redirect_uri=https://YOUR_APP/redirect_uri&
state=STATE&
scope=openid+profile+aws.cognito.signin.user.admin
```
**Beispiel — Antwort**
Der Authentifikationsserver wird mit Autorisierungs-Code und -Status zurück an Ihre App geleitet. Der Server muss den Code und den Status an die Abfragezeichenfolge-Parameter zurücksenden und nicht an das Fragment.
```
HTTP/1.1 302 Found
Location: https://YOUR_APP/redirect_uri?code=AUTHORIZATION_CODE&state=STATE
```
## Vom Benutzer initiierte Anmeldeanfrage
Nachdem Ihr Benutzer den `/login`-Endpunkt geladen hat, kann er einen Benutzernamen und ein Passwort eingeben und **Anmelden** wählen. Wenn er dies tut, generiert er eine `HTTPS POST`-Anfrage mit denselben Header-Anforderungsparametern wie die `GET`-Anfrage und einem Anforderungstext mit seinem Benutzernamen, Passwort und einem Gerätefingerabdruck.
# Der Endpunkt für die verwaltete Anmeldung und Abmeldung: `/logout`
Der `/logout`-Endpunkt ist ein Umleitungsendpunkt. Es meldet den Benutzer ab und leitet entweder zu einer autorisierten Abmelde-URL für Ihren App-Client oder zum Endpunkt weiter. `/login` Die verfügbaren Parameter in einer GET-Anfrage an den `/logout` Endpunkt sind auf Anwendungsfälle der verwalteten Anmeldung mit Amazon Cognito zugeschnitten.
Der Abmelde-Endpunkt ist eine Front-End-Webanwendung für interaktive Benutzersitzungen mit Ihren Kunden. Ihre App muss diesen und andere verwaltete Anmeldeendpunkte in den Browsern Ihrer Benutzer aufrufen.
Um Ihren Benutzer zur verwalteten Anmeldung weiterzuleiten, um sich erneut anzumelden, fügen Sie Ihrer Anfrage einen `redirect_uri` Parameter hinzu. Eine `logout`-Anfrage mit einem `redirect_uri`-Parameter muss auch Parameter für Ihre nachfolgende Anfrage an den [Login-Endpunkt](login-endpoint.md) enthalten, wie `client_id`, `response_type` und `scope`.
Um Ihren Benutzer auf eine von Ihnen gewählte Seite weiterzuleiten, fügen Sie Ihrem App-Client die Option **Zulässige Abmeldung URLs** hinzu. Fügen Sie in den Anfragen Ihrer Benutzer an den `logout`-Endpunkt `logout_uri`- und `client_id`-Parameter hinzu. Wenn der Wert von `logout_uri` einer der **zulässigen Abmeldungen URLs** für Ihren App-Client entspricht, leitet Amazon Cognito Benutzer zu dieser URL weiter.
Mit Single Logout (SLO) für SAML 2.0 IdPs leitet Amazon Cognito Ihren Benutzer zunächst an den SLO-Endpunkt weiter, den Sie in Ihrer IdP-Konfiguration definiert haben. Nachdem Ihr IdP Ihren Benutzer zurück zu geleitet hat`saml2/logout`, antwortet Amazon Cognito mit einer weiteren Weiterleitung auf die `redirect_uri` oder `logout_uri` von Ihrer Anfrage. Weitere Informationen finden Sie unter [SAML-Benutzer mit Single Sign-Out abmelden](cognito-user-pools-saml-idp-sign-out.md).
Der Abmeldeendpunkt meldet Benutzer nicht von OIDC oder Anbietern sozialer Identitäten ab (). IdPs Um Benutzer von ihrer Sitzung mit einem externen IdP abzumelden, leiten Sie sie zur Abmeldeseite für diesen Anbieter weiter.
## GET/Abmeldung
Der `/logout` Endpunkt unterstützt ausschließlich `HTTPS GET`. Der Benutzerpool-Client übermittelt diese Anfrage in der Regel über den Systembrowser. Der Browser ist normalerweise ein Custom Chrome Tab bei Android oder Safari Control View bei iOS.
### Anforderungsparameter
*Client-ID*
Die App-Client-ID für Ihre Anwendung. Um eine Client-ID für Ihre App abzurufen, müssen Sie die App im Benutzerpool registrieren. Weitere Informationen finden Sie unter [Anwendungsspezifische Einstellungen mit App-Clients](user-pool-settings-client-apps.md).
Erforderlich.
*Abmelde-Uri*
Leiten Sie Ihren Benutzer mit einem Parameter *logout-uri* auf eine benutzerdefinierte Abmeldeseite um. Legen Sie seinen Wert auf die **sign-out URL** (Abmelde-URL) des App-Clients fest, an die Sie Ihren Benutzer umleiten möchten, nachdem er sich abgemeldet hat. Verwenden Sie *logout\$1uri* nur mit einem *client\$1id*-Parameter. Weitere Informationen finden Sie unter [Anwendungsspezifische Einstellungen mit App-Clients](user-pool-settings-client-apps.md).
Sie können auch den *logout\$1uri*-Parameter verwenden, um Ihren Benutzer auf die Anmeldeseite eines anderen App-Clients umzuleiten. Legen Sie die Anmeldeseite für den anderen App-Client als **Allowed callback URL** (Zulässige Rückruf-URL) in Ihrem App-Client fest. Legen Sie in Ihrer Anforderung an den `/logout`-Endpunkt den Wert des *logout\$1uri*-Parameters auf die URL-codierte Anmeldeseite fest.
Amazon Cognito benötigt entweder einen *logout\$1uri*- oder einen *redirect\$1uri*-Parameter in der Anforderung an den `/logout`-Endpunkt. Ein *logout\$1uri*-Parameter leitet Ihren Benutzer auf eine andere Website um. Wenn sowohl die Parameter *logout\$1uri* als auch *redirect\$1uri* in Ihrer Anfrage an den `/logout`-Endpunkt enthalten sind, verwendet Amazon Cognito ausschließlich den Parameter *logout\$1uri* und überschreibt damit den Parameter *redirect\$1uri*.
*`nonce`*
(Optional) Ein zufälliger Wert, den Sie der Anfrage hinzufügen können. Der von Ihnen bereitgestellte Nonce-Wert ist im ID-Token enthalten, das Amazon Cognito ausgibt. Zum Schutz vor Replay-Angriffen kann Ihre App den `nonce`-Anspruch im ID-Token untersuchen und mit dem vergleichen, den Sie generiert haben. Weitere Informationen zum `nonce`-Anspruch finden Sie unter [ID-Token-Validierung](https://openid.net/specs/openid-connect-core-1_0.html#IDTokenValidation) im *OpenID Connect-Standard*.
**redirect\$1uri**
Leiten Sie Ihren Benutzer auf Ihre Anmeldeseite um, um sich mit einem Parameter *redirect\$1uri* zu authentifizieren. Legen Sie seinen Wert auf die **Allowed callback URL** (Zulässige Rückruf-URL) des App-Clients fest, an die Sie Ihren Benutzer umleiten möchten, nachdem er sich wieder angemeldet hat. Fügen Sie die Parameter *client\$1id*, *scope*, *state* und *response\$1type* hinzu, die Sie an Ihren `/login`-Endpunkt übergeben möchten.
Amazon Cognito benötigt entweder einen *logout\$1uri*- oder einen *redirect\$1uri*-Parameter in der Anforderung an den `/logout`-Endpunkt. Um Ihren Benutzer an Ihren `/login` Endpunkt weiterzuleiten, um sich erneut zu authentifizieren und Token an Ihre App zu übergeben, fügen Sie einen *redirect\$1uri-Parameter* hinzu. *Wenn sowohl die Parameter *logout\$1uri* als auch *redirect\$1uri* in Ihrer Anfrage an den `/logout` Endpunkt enthalten sind, überschreibt Amazon Cognito den Parameter *redirect\$1uri* und verarbeitet ausschließlich den Parameter logout\$1uri.*
*response\$1type*
Die OAuth 2.0-Antwort, die Sie von Amazon Cognito erhalten möchten, nachdem sich Ihr Benutzer angemeldet hat. `code`und `token` sind die gültigen Werte für den Parameter *response\$1type*.
Erforderlich, wenn Sie einen *redirect\$1uri*-Parameter verwenden.
*state*
Wenn Ihre Anwendung einer Anfrage einen *State-Parameter* hinzufügt, gibt Amazon Cognito seinen Wert an Ihre App zurück, wenn der `/oauth2/logout` Endpunkt Ihren Benutzer umleitet.
Fügen Sie diesen Wert Ihren Anfragen hinzu, um sich vor [CSRF](https://en.wikipedia.org/wiki/Cross-site_request_forgery)-Angriffen zu schützen.
Sie können den Wert eines Parameters `state` nicht auf eine URL-codierte JSON-Zeichenfolge festlegen. Um eine Zeichenfolge, die diesem Format entspricht, in einem `state` Parameter zu übergeben, kodieren Sie die Zeichenfolge auf Base64 und dekodieren Sie sie dann in Ihrer Anwendung.
Dringend empfohlen, wenn Sie einen *redirect\$1uri*-Parameter verwenden.
*scope*
Die OAuth 2.0-Bereiche, die Sie von Amazon Cognito anfordern möchten, nachdem Sie sie mit einem *redirect\$1uri-Parameter* abgemeldet haben. Amazon Cognito leitet Ihren Benutzer an den `/login`-Endpunkt mit dem *scope*-Parameter in Ihrer Anforderung an den `/logout`-Endpunkt um.
Optional, wenn Sie einen *redirect\$1uri*-Parameter verwenden. Wenn Sie keinen *scope*-Parameter angeben, leitet Amazon Cognito Ihren Benutzer an den `/login`-Endpunkt mit einem *scope*-Parameter um. Wenn Amazon Cognito Ihren Benutzer umleitet und automatisch `scope` ausfüllt, enthält der Parameter alle autorisierten Bereiche für Ihren App-Client.
### Beispielanfragen
**Beispiel — Abmelden und Benutzer zum Client weiterleiten**
Amazon Cognito leitet Benutzersitzungen an die URL im Wert von `logout_uri` weiter und ignoriert dabei alle anderen Anforderungsparameter, wenn Anfragen `logout_uri` und `client_id` enthalten. Bei dieser URL muss es sich um eine autorisierte Abmelde-URL für den App-Client handeln.
Im Folgenden finden Sie ein Beispiel für eine Anfrage zur Abmeldung und Weiterleitung zu `https://www.example.com/welcome`.
```
GET https://mydomain.auth.us-east-1.amazoncognito.com/logout?
client_id=1example23456789&
logout_uri=https%3A%2F%2Fwww.example.com%2Fwelcome
```
**Beispiel — Melden Sie sich ab und fordern Sie den Benutzer auf, sich als ein anderer Benutzer anzumelden**
Wenn Anfragen ausgelassen werden, `logout_uri` aber ansonsten die Parameter angeben, die eine wohlgeformte Anfrage an den Autorisierungsendpunkt ausmachen, leitet Amazon Cognito Benutzer zur verwalteten Anmeldung weiter. Der Abmelde-Endpunkt hängt die Parameter in Ihrer ursprünglichen Anfrage an das Weiterleitungsziel an.
Die zusätzlichen Parameter, die Sie der Abmeldeanforderung hinzufügen, müssen in der Liste unter enthalten sein. [Anforderungsparameter](#get-logout-request-parameters) Beispielsweise unterstützt der Abmeldeendpunkt keine automatische IdP-Umleitung mit `identity_provider` oder `idp_identifier` -Parametern. Der Parameter `redirect_uri` in einer Anfrage an den Abmeldeendpunkt ist keine Abmelde-URL, sondern eine post-sign-in URL, die Sie an den Autorisierungsendpunkt weiterleiten möchten.
Im Folgenden finden Sie eine Beispielanforderung, die einen Benutzer abmeldet, zur Anmeldeseite weiterleitet und nach der Anmeldung einen Autorisierungscode bereitstellt. `https://www.example.com`
```
GET https://mydomain.auth.us-east-1.amazoncognito.com/logout?
response_type=code&
client_id=1example23456789&
redirect_uri=https%3A%2F%2Fwww.example.com&
state=example-state-value&
nonce=example-nonce-value&
scope=openid+profile+aws.cognito.signin.user.admin
```