Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione di un dominio di bacino d'utenza
<a name="cognito-user-pools-assign-domain"></a>

La configurazione di un dominio è una parte facoltativa della configurazione di un pool di utenti. Un dominio con pool di utenti ospita funzionalità per l'autenticazione degli utenti, la federazione con provider di terze parti e i flussi OpenID Connect (OIDC). Dispone di *accesso gestito*, un'interfaccia predefinita per operazioni chiave come la registrazione, l'accesso e il recupero della password. Ospita anche gli endpoint OpenID Connect (OIDC) standard come authorize[, [UserInfo](userinfo-endpoint.md) e [token](token-endpoint.md),](authorization-endpoint.md) per l'autorizzazione machine-to-machine (M2M) e altri flussi di autenticazione e autorizzazione OIDC e 2.0. OAuth 

Gli utenti si autenticano con pagine di accesso gestite nel dominio associato al pool di utenti. Hai due opzioni per configurare questo dominio: puoi utilizzare il dominio ospitato predefinito di Amazon Cognito oppure puoi configurare un dominio personalizzato di tua proprietà.

L'opzione di dominio personalizzato offre più opzioni di flessibilità, sicurezza e controllo. Ad esempio, un dominio familiare di proprietà dell'organizzazione può incoraggiare la fiducia degli utenti e rendere più intuitiva la procedura di accesso. Tuttavia, l'approccio personalizzato al dominio richiede alcuni costi aggiuntivi, come la gestione del certificato SSL e della configurazione DNS.

Gli endpoint di rilevamento OIDC, `/.well-known/openid-configuration` per endpoint URLs e `/.well-known/jwks.json` per le chiavi di firma dei token, non sono ospitati nel tuo dominio. Per ulteriori informazioni, consulta [Endpoint del provider di identità e del relying party](federation-endpoints.md).

Capire come configurare e gestire il dominio per il pool di utenti è un passo importante per integrare l'autenticazione nell'applicazione. L'accesso con l'API dei pool di utenti e un AWS SDK può essere un'alternativa alla configurazione di un dominio. Il modello basato su API fornisce i token direttamente in una risposta API, ma per le implementazioni che utilizzano le funzionalità estese dei pool di utenti come IdP OIDC, è necessario configurare un dominio. Per ulteriori informazioni sui modelli di autenticazione disponibili nei pool di utenti, vedere. [Comprendere l'API, l'OIDC e l'autenticazione delle pagine di accesso gestite](authentication-flows-public-server-side.md#user-pools-API-operations)

**Topics**
+ [Cose da sapere sui domini dei pool di utenti](#cognito-user-pools-assign-domain-things-to-know)
+ [Utilizzo del dominio con prefisso Amazon Cognito per l'accesso gestito](cognito-user-pools-assign-domain-prefix.md)
+ [Utilizzo del proprio dominio per l'accesso gestito](cognito-user-pools-add-custom-domain.md)

## Cose da sapere sui domini dei pool di utenti
<a name="cognito-user-pools-assign-domain-things-to-know"></a>

I domini dei pool di utenti sono un punto di servizio per le parti che si affidano a OIDC nelle applicazioni e per gli elementi dell'interfaccia utente. Considerate i seguenti dettagli quando pianificate l'implementazione di un dominio per il vostro pool di utenti.

**Termini riservati**  
Non puoi utilizzare il testo `aws` o `cognito` il nome di un dominio con prefisso Amazon Cognito. `amazon`

**Gli endpoint Discovery si trovano su un dominio diverso**  
Gli [endpoint `.well-known/openid-configuration` di rilevamento](federation-endpoints.md) del pool di utenti `.well-known/jwks.json` non fanno parte del dominio personalizzato o con prefisso del pool di utenti. Il percorso verso questi endpoint è il seguente.
+ `https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/openid-configuration`
+ `https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/jwks.json`

**Ora effettiva delle modifiche al dominio**  
Amazon Cognito può impiegare fino a un minuto per avviare o aggiornare la versione di branding di un dominio con prefisso. La propagazione delle modifiche a un dominio personalizzato può richiedere fino a cinque minuti. La propagazione dei nuovi domini personalizzati può richiedere fino a un'ora.

**Domini personalizzati e con prefisso contemporaneamente**  
Puoi configurare un pool di utenti con un dominio personalizzato e un dominio con prefisso di proprietà di. AWS Poiché gli [endpoint di rilevamento](federation-endpoints.md) del pool di utenti sono ospitati in un dominio diverso, servono solo il dominio *personalizzato*. Ad esempio, `openid-configuration` fornirai un unico valore per `"authorization_endpoint"` di`"https://auth.example.com/oauth2/authorize"`.

Quando in un pool di utenti sono presenti sia domini personalizzati che domini con prefisso, puoi utilizzare il dominio personalizzato con tutte le funzionalità di un provider OIDC. Il dominio con prefisso in un pool di utenti con questa configurazione non dispone di dispositivi di rilevamento o token-signing-key endpoint e deve essere utilizzato di conseguenza.

**Domini personalizzati preferiti come ID del relying party per la passkey**  
Quando si configura l'autenticazione del pool di utenti con [passkey](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passkey), è necessario impostare un ID relying party (RP). Se disponi di un dominio personalizzato e di un dominio con prefisso, puoi impostare l'ID RP solo come dominio personalizzato. **Per impostare un dominio con prefisso come ID RP nella console Amazon Cognito, elimina il dominio personalizzato o inserisci il nome di dominio completo (FQDN) del dominio con prefisso come dominio di terze parti.**

**Non utilizzare domini personalizzati a diversi livelli della gerarchia dei domini**  
**Puoi configurare pool di utenti separati per avere domini personalizzati nello stesso dominio di primo livello (TLD), ad esempio auth.example.com e auth2.example.com.** *Il cookie della sessione di accesso gestito è valido per un dominio personalizzato e per tutti i sottodomini, ad esempio \$1.auth.example.com.* *Per questo motivo, nessun utente delle tue applicazioni deve accedere all'accesso gestito per qualsiasi dominio e sottodominio principale.* Se i domini personalizzati utilizzano lo stesso TLD, mantienili allo stesso livello di sottodominio.

*Supponiamo che tu abbia un pool di utenti con il dominio personalizzato auth.example.com.* *Quindi crei un altro pool di utenti e assegni il dominio personalizzato uk.auth.example.com.* . Un utente accede con *auth.example.com*. *e riceve un cookie che il browser presenta a qualsiasi sito Web nel percorso wildcard \$1.auth.example.com.* *Quindi provano ad accedere a uk.auth.example.com.* . Passano un cookie non valido al dominio del pool di utenti e ricevono un errore anziché una richiesta di accesso. *Al contrario, un utente con un cookie per *\$1.auth.example.com non ha problemi ad avviare una sessione di accesso su auth2.example.com*.*

**Versione di branding**  
Quando crei un dominio, imposti una versione di **branding.** Le tue opzioni sono la nuova esperienza di accesso gestito e la classica esperienza di interfaccia utente ospitata. Questa scelta si applica a tutti i client di app che ospitano servizi nel tuo dominio.

# Utilizzo del dominio con prefisso Amazon Cognito per l'accesso gestito
<a name="cognito-user-pools-assign-domain-prefix"></a>

L'esperienza predefinita per l'accesso gestito è ospitata su un dominio proprietario. AWS Questo approccio presenta una bassa barriera all'ingresso: basta scegliere un nome di prefisso ed è attivo, ma non offre le caratteristiche di fiducia di un dominio personalizzato. Non c'è differenza di costo tra l'opzione di dominio Amazon Cognito e l'opzione di dominio personalizzato. L'unica differenza è il dominio dell'indirizzo web a cui indirizzi gli utenti. In caso di reindirizzamenti IdP di terze parti e flussi di credenziali client, il dominio ospitato ha scarso effetto visibile. Un dominio personalizzato è preferibile nei casi in cui gli utenti accedono con accesso gestito e interagiscono con un dominio di autenticazione che non corrisponde al dominio dell'applicazione.

Il dominio Amazon Cognito ospitato ha un prefisso a tua scelta, ma è ospitato nel dominio principale. `amazoncognito.com` Di seguito è riportato un esempio:

```
https://cognitoexample.auth.ap-south-1.amazoncognito.com
```

Tutti i domini con prefisso seguono questo formato:. `prefix` `auth`. *`Regione AWS code`*. `amazoncognito`. `com`. I pool di utenti di [dominio personalizzati](cognito-user-pools-add-custom-domain.md) possono ospitare l'accesso gestito o le pagine dell'interfaccia utente ospitate su qualsiasi dominio di tua proprietà.

**Nota**  
Per aumentare la sicurezza delle tue applicazioni Amazon Cognito, i domini principali degli endpoint del pool di utenti sono registrati nella [Public Suffix List (PSL)](https://publicsuffix.org/). La PSL aiuta i browser Web degli utenti a comprendere in modo coerente gli endpoint del pool di utenti e i cookie da essi impostati.  
I domini principali del pool di utenti hanno i seguenti formati.  

```
auth.Region.amazoncognito.com
auth-fips.Region.amazoncognito.com
```

Per aggiungere un client per l'app e un dominio del pool di utenti con Console di gestione AWS, consulta[Creazione di un client dell'app](user-pool-settings-client-apps.md#cognito-user-pools-app-idp-settings-console-create).

**Topics**
+ [Prerequisiti](#cognito-user-pools-assign-domain-prefix-prereq)
+ [Configurare un prefisso di dominio Amazon Cognito](#cognito-user-pools-assign-domain-prefix-step-1)
+ [Verifica la tua pagina di accesso](#cognito-user-pools-assign-domain-prefix-verify)

## Prerequisiti
<a name="cognito-user-pools-assign-domain-prefix-prereq"></a>

Prima di iniziare è necessario disporre di quanto segue:
+ Un bacino d'utenza con un client dell'App. Per ulteriori informazioni, consulta [Nozioni di base sui bacini d'utenza](getting-started-user-pools.md).

## Configurare un prefisso di dominio Amazon Cognito
<a name="cognito-user-pools-assign-domain-prefix-step-1"></a>

Puoi utilizzare l'API o the Console di gestione AWS AWS CLI o per configurare un dominio con pool di utenti.

------
#### [ Amazon Cognito console ]

**Configura un dominio**

1. Vai al menu **Dominio** sotto **Branding.**

1. Accanto a **Dominio**, scegli **Azioni** e seleziona **Crea dominio Cognito**. Se hai già configurato un dominio con prefisso del pool di utenti, scegli **Elimina dominio Cognito** prima di creare il tuo nuovo dominio personalizzato.

1. Inserisci un prefisso dominio disponibile da utilizzare con un **Dominio Amazon Cognito**. Per informazioni sulla configurazione di un **dominio personalizzato, consulta**. [Utilizzo del proprio dominio per l'accesso gestito](cognito-user-pools-add-custom-domain.md)

1. Scegli una **versione di branding**. La tua versione di branding si applica a tutte le pagine interattive con l'utente di quel dominio. Il tuo pool di utenti può ospitare l'accesso gestito o il branding dell'interfaccia utente ospitata per tutti i client dell'app.
**Nota**  
*Puoi avere un dominio personalizzato e un dominio con prefisso, ma Amazon Cognito serve solo `/.well-known/openid-configuration` l'endpoint per il dominio personalizzato.*

1. Scegli **Create (Crea)**.

------
#### [ CLI/API ]

Utilizza i seguenti comandi per creare un prefisso di dominio e assegnarlo al tuo bacino d'utenza.

**Per configurare un dominio del bacino d'utenza**
+ AWS CLI: `aws cognito-idp create-user-pool-domain`

  **Esempio**: `aws cognito-idp create-user-pool-domain --user-pool-id <user_pool_id> --domain <domain_name> --managed-login-version 2`
+ Funzionamento dell'API dei pool di utenti: [CreateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolDomain.html)

**Come ottenere le informazioni su un dominio**
+ AWS CLI: `aws cognito-idp describe-user-pool-domain`

  **Esempio**: `aws cognito-idp describe-user-pool-domain --domain <domain_name>`
+ Funzionamento dell'API dei pool di utenti: [DescribeUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeUserPoolDomain.html)

**Come eliminare un dominio**
+ AWS CLI: `aws cognito-idp delete-user-pool-domain`

  **Esempio**: `aws cognito-idp delete-user-pool-domain --domain <domain_name>`
+ Funzionamento dell'API dei pool di utenti: [DeleteUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DeleteUserPoolDomain.html)

------

## Verifica la tua pagina di accesso
<a name="cognito-user-pools-assign-domain-prefix-verify"></a>
+ Verifica che la pagina di accesso sia disponibile dal tuo dominio ospitato di Amazon Cognito.

  ```
  https://<your_domain>/login?response_type=code&client_id=<your_app_client_id>&redirect_uri=<your_callback_url>
  ```

Il dominio viene visualizzato nella pagina **Nome dominio** della console Amazon Cognito. L'ID del client app e l'URL di callback sono visualizzati nella pagina **App client settings (Impostazioni client dell'app)**.

# Utilizzo del proprio dominio per l'accesso gestito
<a name="cognito-user-pools-add-custom-domain"></a>

Dopo aver configurato un client per l'app, puoi configurare il tuo pool di utenti con un dominio personalizzato per i servizi di dominio dell'[accesso gestito](cognito-user-pools-managed-login.md). Con un dominio personalizzato, gli utenti possono accedere all'applicazione utilizzando il proprio indirizzo web anziché il [dominio con `amazoncognito.com` prefisso](cognito-user-pools-assign-domain-prefix.md) predefinito. I domini personalizzati migliorano la fiducia degli utenti nell'applicazione con un nome di dominio familiare, soprattutto quando il dominio principale corrisponde al dominio che ospita l'applicazione. I domini personalizzati possono migliorare la conformità ai requisiti di sicurezza organizzativi.

Un dominio personalizzato presenta alcuni prerequisiti, tra cui un pool di utenti, un client di app e un dominio Web di tua proprietà. I domini personalizzati richiedono anche un certificato SSL per il dominio personalizzato, gestito con AWS Certificate Manager (ACM) negli Stati Uniti orientali (Virginia settentrionale). Amazon Cognito crea una CloudFront distribuzione Amazon, protetta in transito con il tuo certificato ACM. Poiché sei il proprietario del dominio, devi creare un record DNS che indirizzi il traffico verso la CloudFront distribuzione del tuo dominio personalizzato.

Dopo che questi elementi sono pronti, puoi aggiungere il dominio personalizzato al tuo pool di utenti tramite la console o l'API di Amazon Cognito. Ciò comporta la specificazione del nome di dominio e del certificato SSL e quindi l'aggiornamento della configurazione DNS con l'alias target fornito. Dopo aver apportato queste modifiche, puoi verificare che la pagina di accesso sia accessibile nel tuo dominio personalizzato.

Il modo più semplice per creare un dominio personalizzato è utilizzare una zona ospitata pubblica in Amazon Route 53. La console Amazon Cognito può creare i record DNS corretti in pochi passaggi. Prima di iniziare, valuta la possibilità di [creare una zona ospitata su Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) per un dominio o sottodominio di tua proprietà.

**Topics**
+ [Aggiunta di un dominio personalizzato a un bacino d'utenza](#cognito-user-pools-add-custom-domain-adding)
+ [Prerequisiti](#cognito-user-pools-add-custom-domain-prereq)
+ [Fase 1: Inserimento del nome di dominio personalizzato](#cognito-user-pools-add-custom-domain-console-step-1)
+ [Fase 2: Aggiunta di una destinazione alias e di sottodomini](#cognito-user-pools-add-custom-domain-console-step-2)
+ [Fase 3: Verifica della pagina di accesso](#cognito-user-pools-add-custom-domain-console-step-3)
+ [Modifica del certificato SSL per il dominio personalizzato](#cognito-user-pools-add-custom-domain-changing-certificate)

## Aggiunta di un dominio personalizzato a un bacino d'utenza
<a name="cognito-user-pools-add-custom-domain-adding"></a>

Per aggiungere un dominio personalizzato al bacino d'utenza, devi specificare il nome di dominio nella console Amazon Cognito e fornire un certificato da gestire con [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/) (ACM). Dopo avere aggiunto il dominio, Amazon Cognito fornisce una destinazione alias che devi aggiungere alla configurazione DNS.

## Prerequisiti
<a name="cognito-user-pools-add-custom-domain-prereq"></a>

Prima di iniziare è necessario disporre di quanto segue:
+ Un bacino d'utenza con un client dell'App. Per ulteriori informazioni, consulta [Nozioni di base sui bacini d'utenza](getting-started-user-pools.md).
+ Un dominio Web di tua proprietà, Il relativo *dominio padre* deve avere un **record A** DNS valido. Puoi assegnare qualsiasi valore a questo record. Il padre può essere la root del dominio o un dominio figlio che è un gradino più in alto nella gerarchia dei domini. Ad esempio, se il dominio personalizzato è *auth.xyz.example.com*, Amazon Cognito deve poter risolvere *xyz.example.com* in un indirizzo IP. Per prevenire impatti accidentali sull'infrastruttura del cliente, Amazon Cognito non supporta l'uso di domini di primo livello (TLDs) per domini personalizzati. Per ulteriori informazioni, consulta la pagina relativa ai [nomi di dominio](https://tools.ietf.org/html/rfc1035).
+ La possibilità di creare un dominio secondario per il dominio personalizzato. Consigliamo l'**autenticazione per il nome del sottodominio**. Ad esempio: *auth.example.com*.
**Nota**  
Se non disponi di un [certificato jolly](https://en.wikipedia.org/wiki/Wildcard_certificate), potresti dover ottenere un nuovo certificato per il dominio secondario del tuo dominio personalizzato.
+ Un SSL/TLS certificato pubblico gestito da ACM negli Stati Uniti orientali (Virginia settentrionale). Il certificato deve essere in us-east-1 perché il certificato sarà associato a una distribuzione CloudFront in, un servizio globale.
+ Client browser che supportano Server Name Indication (SNI). La CloudFront distribuzione che Amazon Cognito assegna ai domini personalizzati richiede SNI. Non puoi modificare questa impostazione. Per ulteriori informazioni su SNI nelle CloudFront distribuzioni, consulta [Usare SNI per servire le richieste HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) nella *Amazon CloudFront * Developer Guide.
+ Un'applicazione che consente al server di autorizzazione del pool di utenti di aggiungere cookie alle sessioni utente. Amazon Cognito imposta diversi cookie necessari per le pagine di accesso gestite. Tra queste vi sono `cognito`, `cognito-fl` e `XSRF-TOKEN`. Sebbene ogni singolo cookie sia conforme ai limiti di dimensione del browser, le modifiche alla configurazione del pool di utenti potrebbero causare un aumento delle dimensioni dei cookie di accesso gestiti. Un servizio intermedio come un Application Load Balancer (ALB) davanti al tuo dominio personalizzato potrebbe imporre una dimensione massima dell'intestazione o una dimensione totale dei cookie. Se l'applicazione imposta anche i propri cookie, le sessioni degli utenti potrebbero superare questi limiti. Per evitare conflitti relativi ai limiti di dimensione, consigliamo all'applicazione di non impostare i cookie sul sottodominio che ospita i servizi di dominio del pool di utenti.
+ Autorizzazione ad aggiornare CloudFront le distribuzioni Amazon. A tale scopo, puoi associare la dichiarazione di policy IAM seguente a un utente nel tuo Account AWS:

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
           {
              "Sid": "AllowCloudFrontUpdateDistribution",
              "Effect": "Allow",
              "Action": [
                  "cloudfront:updateDistribution"
              ],
              "Resource": [
                  "*"
              ]
          }
      ]
  }
  ```

------

  Per ulteriori informazioni sull'autorizzazione delle azioni in CloudFront, consulta [Using Identity-Based Policies (](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/access-control-managing-permissions.html)IAM Policies) per. CloudFront

  Amazon Cognito inizialmente utilizza le tue autorizzazioni IAM per configurare la CloudFront distribuzione, ma la distribuzione è gestita da. AWS Non puoi modificare la configurazione della CloudFront distribuzione associata da Amazon Cognito al tuo pool di utenti. Ad esempio, non è possibile aggiornare le versioni TLS supportate nella policy di sicurezza.

## Fase 1: Inserimento del nome di dominio personalizzato
<a name="cognito-user-pools-add-custom-domain-console-step-1"></a>

È possibile aggiungere il dominio al bacino d'utenza utilizzando la console o l'API Amazon Cognito.

------
#### [ Amazon Cognito console ]

**Aggiungere il dominio al bacino d'utenza dalla console Amazon Cognito:**

1. Vai al menu **Dominio** sotto **Branding**.

1. Accanto a **Dominio**, seleziona **Operazioni**, quindi seleziona **Crea dominio personalizzato** o **Crea dominio Amazon Cognito**. Se hai già configurato un dominio personalizzato per un pool di utenti, scegli **Elimina dominio personalizzato** prima di creare il tuo nuovo dominio personalizzato.

1. Accanto a **Dominio**, scegli **Azioni** e seleziona **Crea dominio personalizzato**. Se hai già configurato un dominio personalizzato, scegli **Elimina dominio personalizzato** per eliminare il dominio esistente prima di creare il nuovo dominio personalizzato.

1. Alla voce **Custom domain (Dominio personalizzato)**, inserisci l'URL del dominio che vuoi utilizzare con Amazon Cognito. Il nome di dominio può contenere solo lettere minuscole, numeri e trattini. Non utilizzare un trattino come primo o ultimo carattere. Utilizzare i punti per separare i nomi di dominio secondario.

1. Alla voce **ACM certificate (Certificato ACM)**, scegli il certificato SSL che desideri utilizzare per il tuo dominio. Solo i certificati ACM negli Stati Uniti orientali (Virginia settentrionale) possono essere utilizzati con un dominio personalizzato Amazon Cognito, indipendentemente dal pool di Regione AWS utenti.

   Se non disponi di un certificato, è possibile utilizzare ACM per effettuare il provisioning di uno negli Stati Uniti orientali (Virginia settentrionale). Per ulteriori informazioni, consulta [Nozioni di base](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) nella *Guida per l'utente di AWS Certificate Manager *.

1. **Scegli una versione di branding.** La tua versione di branding si applica a tutte le pagine interattive con l'utente di quel dominio. Il tuo pool di utenti può ospitare l'accesso gestito o il branding dell'interfaccia utente ospitata per tutti i client dell'app.
**Nota**  
*Puoi avere un dominio personalizzato e un dominio con prefisso, ma Amazon Cognito serve solo `/.well-known/openid-configuration` l'endpoint per il dominio personalizzato.*

1. Scegli **Create** (Crea).

1. Amazon Cognito ti riporta al menu **Dominio**. Viene visualizzato un messaggio **Create an alias record in your domain's DNS (Crea un registro di alias nel DNS del tuo dominio)**. Prendi nota del **Domain (Dominio)** e della **Alias target (Destinazione alias)** visualizzati nella console. Saranno utilizzati nella fase successiva per indirizzare il traffico verso il dominio personalizzato.

------
#### [ API ]

Il seguente corpo della [CreateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolDomain.html)richiesta crea un dominio personalizzato.

```
{
   "Domain": "auth.example.com",
   "UserPoolId": "us-east-1_EXAMPLE",
   "ManagedLoginVersion": 2,
   "CustomDomainConfig": {
    "CertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
   }
}
```

------

## Fase 2: Aggiunta di una destinazione alias e di sottodomini
<a name="cognito-user-pools-add-custom-domain-console-step-2"></a>

In questa fase, è possibile configurare, mediante il fornitore di servizi DNS (Domain Name Server), un alias che punti alla destinazione di alias della fase precedente. Se per la risoluzione dell'indirizzo DNS utilizzi Amazon Route 53, passa alla sezione **Come aggiungere una destinazione alias e un sottodominio utilizzando Route 53**.

### Per aggiungere una destinazione alias e un sottodominio all'attuale configurazione DNS
<a name="cognito-user-pools-add-custom-domain-console-step-2a"></a>
+ Se non utilizzi Route 53 per la risoluzione dell'indirizzo DNS, dovrai utilizzare gli strumenti di configurazione del tuo provider di servizi DNS per aggiungere la destinazione alias della fase precedente al registro DNS del tuo dominio. Il fornitore DNS dovrà inoltre configurare il sottodominio per il dominio personalizzato.

### Come aggiungere una destinazione alias e un sottodominio utilizzando Route 53
<a name="cognito-user-pools-add-custom-domain-console-step-2b"></a>

1. Accedi alla [console Route 53](https://console.aws.amazon.com/route53/). Se richiesto, inserisci le tue AWS credenziali.

1. Se non disponi di una zona ospitata pubblica in Route 53, creane una con una radice che sia l'elemento principale del tuo dominio personalizzato. Per ulteriori informazioni, consulta [Creazione di una zona ospitata pubblica](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) nella *Amazon Route 53 Developer Guide*.

   1. Scegli **Create Hosted Zone (Crea zona ospitata)**.

   1. Inserisci il dominio principale, ad esempio*auth.example.com*, del tuo dominio personalizzato*myapp.auth.example.com*, ad esempio dall'elenco dei **nomi di dominio**.

   1. Inserisci una **Descrizione** per la zona ospitata.

   1. Scegli un **Tipo** di zona ospitata di una **Zona ospitata pubblica** per consentire ai client pubblici di risolvere il tuo dominio personalizzato. La scelta della **Zona ospitata privata** non è supportata.

   1. Applica **Tag** come vuoi.

   1. Scegli **Crea zona ospitata**.
**Nota**  
Puoi anche creare una nuova zona ospitata per il tuo dominio personalizzato con una delega impostata nella zona ospitata principale che indirizza le query alla zona ospitata del sottodominio. Altrimenti, crea un record A. Questo metodo offre maggiore flessibilità e sicurezza con le zone ospitate. Per ulteriori informazioni, consulta la sezione [Creating a subdomain for a domain hosted through Amazon Route 53 (Creazione di un sottodominio per un dominio in hosting tramite Amazon Route 53)](https://aws.amazon.com/premiumsupport/knowledge-center/create-subdomain-route-53/).

1. Nella pagina **Hosted Zones (Zone ospitate)**, scegli il nome della tua zona ospitata.

1. Aggiungi un record DNS per il dominio principale del tuo dominio personalizzato, se non ne hai già uno. Crea un record DNS per il dominio principale con le seguenti proprietà:
   + **Nome del record**: lascia vuoto.
   + **Tipo di record**:`A`.
   + **Alias**: non abilitare.
   + **Valore**: inserisci un obiettivo a tua scelta. Questo record deve risolversi in *qualcosa*, ma il valore del record non ha importanza per Amazon Cognito.
   + **TTL**: imposta il TTL preferito o lascialo come predefinito.
   + **Politica di routing****: scegli Simple routing.**

1. Scegli **Crea record**. Di seguito è riportato un record di esempio per il dominio: *example.com*

   `example.com. 60 IN A 198.51.100.1`
**Nota**  
Amazon Cognito verifica che sia presente un registro DNS per il dominio principale del tuo dominio personalizzato per proteggerti dal dirottamento accidentale dei domini di produzione. Se non disponi di un registro DNS per il dominio principale, Amazon Cognito restituirà un errore quando si tenta di impostare il dominio personalizzato. Un record Start of Authority (SOA) non è un record DNS sufficiente ai fini della verifica del dominio principale.

1. Aggiungi un altro record DNS per il tuo dominio personalizzato con le seguenti proprietà:
   + **Nome del record**: il prefisso di dominio personalizzato, ad esempio per `auth` cui creare un record per. `auth.example.com`
   + **Tipo di record**:`A`.
   + **Alias**: Abilita.
   + **Indirizza il traffico verso**: scegli **Alias verso la distribuzione Cloudfront**. Inserisci il **target Alias che** hai registrato in precedenza, ad esempio. `123example.cloudfront.net`
   + **Politica di routing**: scegli **Simple** routing.

1. Scegli **Crea record**.
**Nota**  
I nuovi registri possono richiedere circa 60 secondi per la propagazione a tutti i server DNS di Route 53. Puoi utilizzare il metodo dell'[GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)API Route 53 per verificare che le modifiche si siano propagate. 

## Fase 3: Verifica della pagina di accesso
<a name="cognito-user-pools-add-custom-domain-console-step-3"></a>
+ Verifica che la pagina di accesso sia disponibile dal tuo dominio personalizzato.

  Accedi con il tuo dominio personalizzato e con il sottodominio immettendo questo indirizzo nel browser. Questo è un esempio di URL di un dominio personalizzato *example.com* con il *auth* sottodominio:

  ```
  https://myapp.auth.example.com/login?response_type=code&client_id=<your_app_client_id>&redirect_uri=<your_callback_url>
  ```

## Modifica del certificato SSL per il dominio personalizzato
<a name="cognito-user-pools-add-custom-domain-changing-certificate"></a>

Se necessario, puoi utilizzare Amazon Cognito per modificare il certificato che hai applicato al tuo dominio personalizzato.

Di solito, questa operazione non è necessaria dopo la procedura di rinnovo dei certificati con ACM. Quando rinnovi il certificato esistente in ACM, l'ARN del tuo certificato rimane invariato e il tuo dominio personalizzato utilizza automaticamente il nuovo certificato.

Tuttavia, se sostituisci il certificato esistente con uno nuovo, ACM assegna un nuovo ARN al nuovo certificato. Per applicare il nuovo certificato al dominio personalizzato, devi fornire questo ARN ad Amazon Cognito.

Dopo avere fornito il nuovo certificato, Amazon Cognito impiega fino a 1 ora per distribuirlo nel dominio personalizzato.

**Prima di iniziare**  
Prima di poter modificare il certificato in Amazon Cognito, devi aggiungerlo ad ACM. Per ulteriori informazioni, consulta [Nozioni di base](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) nella *Guida per l'utente di AWS Certificate Manager *.  
Quando aggiungi il certificato ad ACM, devi scegliere Stati Uniti orientali (Virginia settentrionale) come regione AWS .

Puoi modificare il tuo certificato utilizzando la console o l'API Amazon Cognito.

------
#### [ Console di gestione AWS ]

**Rinnovare un certificato dalla console Amazon Cognito:**

1. Accedi Console di gestione AWS e apri la console Amazon Cognito all'indirizzo. [https://console.aws.amazon.com/cognito/home](https://console.aws.amazon.com/cognito/home)

1. Scegli **Bacini d'utenza**.

1. Scegli il bacino d'utenza per cui desideri aggiornare il certificato.

1. Scegli il menu **Dominio**.

1. Scegli **Operazioni**, **Edit ACM certificate (Modifica del certificato ACM**.

1. Scegli il nuovo certificato che desideri associare al dominio personalizzato.

1. Scegli **Save changes** (Salva modifiche).

------
#### [ API ]

**Come rinnovare un certificato (API Amazon Cognito)**
+ Usa l'azione [UpdateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolDomain.html).

------