View a markdown version of this page

ID 제공업체 및 신뢰 당사자 엔드포인트 - Amazon Cognito
OIDC 발급자

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

ID 제공업체 및 신뢰 당사자 엔드포인트

페더레이션 엔드포인트는 사용자 풀에서 사용하는 인증 표준 중 하나의 목적을 제공하는 사용자 풀 엔드포인트입니다. 여기에는 ID 제공업체 및 신뢰 당사자 모두의 사용자 풀 역할을 위한 SAML ACS URLs, OIDC 검색 엔드포인트 및 서비스 엔드포인트가 포함됩니다. 페더레이션 엔드포인트는 인증 흐름을 시작하고, IdP로부터 인증 증명을 수신하고, 클라이언트에 토큰을 발급합니다. IdP, 애플리케이션 및 관리자와 상호 작용하지만 사용자와는 상호 작용하지 않습니다.

이 페이지 이후의 전체 페이지 주제에는 사용자 풀에 도메인을 추가할 때 사용할 수 있는 OAuth 2.0 및 OIDC 공급자 엔드포인트에 대한 세부 정보가 나와 있습니다. 다음 차트는 모든 페더레이션 엔드포인트의 목록입니다.

사용자 풀 도메인의 예는 다음과 같습니다.

  1. 접두사 도메인: mydomain.auth.us-east-1.amazoncognito.com

  2. 사용자 지정 도메인auth.example.com

사용자 풀 페더레이션 엔드포인트
엔드포인트 URL 설명 액세스 방법
https://사용자 풀 도메인 /oauth2/authorize 사용자를 관리형 로그인으로 리디렉션하거나 IdP를 사용하여 로그인합니다. 사용자 인증을 시작하기 위해 고객 브라우저에서 호출됩니다. 권한 부여 엔드포인트을(를) 참조하세요.
https://사용자 풀 도메인/oauth2/token 인증 코드 또는 클라이언트 보안 인증 요청에 따라 토큰을 반환합니다. 앱에서 토큰을 검색하도록 요청했습니다. Token 엔드포인트을(를) 참조하세요.
https://사용자 풀 도메인/oauth2/userInfo 액세스 토큰의 OAuth 2.0 범위 및 사용자 자격 증명을 기반으로 사용자 속성을 반환합니다. 앱에서 사용자 프로필을 검색하도록 요청했습니다. userInfo 엔드포인트을(를) 참조하세요.
https://사용자 풀 도메인/oauth2/revoke 새로 고침 토큰 및 연결된 액세스 토큰을 취소합니다. 앱에서 토큰을 취소하도록 요청했습니다. 취소 엔드포인트을(를) 참조하세요.
https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/openid-configuration 사용자 풀의 OIDC 아키텍처 디렉터리입니다.1 앱에서 사용자 풀 발급자 메타데이터를 찾도록 요청했습니다.
https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/jwks.json Amazon Cognito 토큰을 검증하는 데 사용할 수 있는 퍼블릭 키입니다.2 앱에서 JWT를 확인하도록 요청했습니다.
https://Your user pool domain/oauth2/idpresponse 소셜 아이덴티티 제공업체는 권한 부여 코드를 통해 사용자를 이 엔드포인트로 리디렉션해야 합니다. Amazon Cognito는 페더레이션 사용자를 인증할 때 토큰의 코드를 사용합니다. OIDC IdP 로그인에서 IdP 클라이언트 콜백 URL로 리디렉션됩니다.
https://Your user pool domain/saml2/idpresponse SAML 2.0 ID 제공업체와의 통합을 위한 ACS(Assertion Consumer Response) URL입니다. SAML 2.0 IdP에서 ACS URL 또는 IdP 시작 로그인의 시작 지점3으로 리디렉션됩니다.
https://사용자 풀 도메인/saml2/logout SAML 2.0 ID 제공업체와의 통합을 위한 단일 로그아웃(SLO) URL입니다. SAML 2.0 IdP에서 단일 로그아웃(SLO) URL로 리디렉션됩니다. POST 바인딩만 허용합니다.

1 openid-configuration 문서는 엔드포인트가 OIDC 및 OAuth2 사양을 준수하도록 유지하는 추가 정보로 언제든지 업데이트될 수 있습니다.

2 jwks.json JSON 파일은 언제든지 새 퍼블릭 토큰 서명 키를 사용하여 업데이트될 수 있습니다.

3 IdP 시작 SAML 로그인에 대한 자세한 내용은 섹션을 참조하세요IdP 시작 SAML 로그인 구현.

OpenID Connect 및 OAuth 표준에 대한 자세한 내용은 OpenID Connect 1.0OAuth 2.0을 참조하세요.

OIDC 발급자로서의 Amazon Cognito 사용자 풀

Amazon Cognito 사용자 풀은 OpenID Connect(OIDC) 자격 증명 공급자 역할을 하며 애플리케이션 라이브러리가 OIDC 페더레이션에 사용할 수 있는 발급자 역할을 합니다. OIDC 페더레이션용 애플리케이션 라이브러리는 아래에 설명된 두 가지 경로를 자동 검색 엔드포인트로 참조할 수 있습니다. 이 엔드포인트는의 JSON 웹 키 세트(JWKS) /.well-known/jwks.json 및의 OIDC 검색 메타데이터에 대한 액세스를 제공합니다. /.well-known/openid-configuration여기서 애플리케이션은 권한 부여, 토큰 및 userInfo 엔드포인트를 검색할 수 있습니다.

OIDC 자동 검색을 지원하는 애플리케이션은 이러한 잘 알려진 엔드포인트를 쿼리하여 자동으로 구성할 수 있습니다. 자동 검색을 지원하지 않는 애플리케이션의 경우 이전 섹션에 나열된 특정 OIDC 엔드포인트로 애플리케이션을 하드코딩할 수 있습니다.

사용자 풀 발급자 유형
원래 발급자

사용자 풀에 대한 현재 기본 발급자 구성입니다. 발급자 URL은 사용자 풀의 리전에서 호스팅되며 해당 리전에 고유한 OIDC 엔드포인트를 제공합니다.

원래 발급자는 형식을 사용합니다https://cognito-idp.us-east-1.amazonaws.com/us-east-1_EXAMPLE.

업데이트된 발급자

다중 리전 복제를 포함하여 모든 사용자 풀에 권장됩니다. 업데이트된 발급자는 여러 리전에서 동일한 JWKS 콘텐츠를 호스팅하므로 복원력과 효율성이 향상됩니다.

업데이트된 발급자는 형식을 사용합니다. https://issuer-cognito-idp.us-east-1.amazonaws.com/us-east-1_EXAMPLE여기서 리전은 사용자 풀 AWS 리전 의 기본입니다.

주제