Usar o domínio de prefixo do Amazon Cognito para login gerenciado - Amazon Cognito
Pré-requisitosComo configurar um prefixo de domínio do Amazon CognitoVerificar a página de login

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar o domínio de prefixo do Amazon Cognito para login gerenciado

A experiência padrão para o login gerenciado é hospedada em um domínio pertencente à AWS. Essa abordagem é bem simples de usar: basta um nome de prefixo e a ativação estará feita. Porém, esse domínio não tem recursos que inspiram a confiança de um domínio personalizado. Não há diferença de custo entre a opção de domínio do Amazon Cognito e a opção de domínio personalizado. A única diferença é o domínio no endereço da web para o qual você direciona seus usuários. Para casos de redirecionamentos de IdP de terceiros e fluxos de credenciais de clientes, o domínio hospedado tem pouco efeito aparente. Um domínio personalizado é melhor nos casos em que os usuários fazem login com o login gerenciado e interagem com um domínio de autenticação que não corresponde ao domínio da aplicação.

O domínio hospedado do Amazon Cognito tem um prefixo de sua escolha, mas está hospedado no domínio raiz, amazoncognito.com. Veja um exemplo a seguir:

https://cognitoexample.auth.ap-south-1.amazoncognito.com

Todos os domínios de prefixo seguem este formato: prefix.auth.Região da AWS code.amazoncognito.com. Grupos de usuários de domínio personalizado podem hospedar as páginas de IU hospedada e login gerenciado em qualquer domínio que seja de sua propriedade.

nota

Para aumentar a segurança das aplicações do Amazon Cognito, os domínios principais dos endpoints do grupo de usuários são registrados na Public Suffix List (PSL). O PSL ajuda os navegadores da web dos usuários a estabelecer uma compreensão consistente dos endpoints do grupo de usuários e dos cookies que eles definem.

Os domínios principais do grupo de usuários usam os formatos a seguir.


auth.Region.amazoncognito.com
auth-fips.Region.amazoncognito.com

Para adicionar um cliente da aplicação e um domínio do grupo de usuários com o Console de gerenciamento da AWS, consulte Criar um cliente de aplicação.

Pré-requisitos

Antes de começar, você precisa de:

Como configurar um prefixo de domínio do Amazon Cognito

Você pode usar o Console de gerenciamento da AWS ou a AWS CLI ou a API para configurar um domínio de grupo de usuários.

Amazon Cognito console
Configurar um domínio

  1. Navegue até o menu Domínio em Identidade visual.

  2. Ao lado de Domínio, selecione Ações e clique em Criar domínio do Cognito. Se já tiver configurado um domínio de prefixo de grupo de usuários, selecione Excluir domínio do Cognito antes de criar seu novo domínio personalizado.

  3. Insira um prefixo de domínio disponível para usar com um Domínio do Amazon Cognito. Para obter mais informações sobre como configurar um Domínio personalizado, consulte Usar o próprio domínio para fazer login gerenciado.

  4. Escolha uma Versão de marca. Sua versão de marca se aplica a todas as páginas interativas nesse domínio. Seu grupo de usuários pode hospedar a identidade visual do login gerenciado ou da IU hospedada para todos os clientes da aplicação.

    nota

    Você pode ter um domínio personalizado e um domínio de prefixo, mas o Amazon Cognito só fornece o endpoint /.well-known/openid-configuration para o domínio personalizado.

  5. Escolha Criar.

CLI/API

Use os comandos a seguir para criar um prefixo de domínio personalizado e atribuí-lo ao grupo de usuários.

Para configurar um domínio de grupo de usuários

  • AWS CLI: aws cognito-idp create-user-pool-domain

    Exemplo: aws cognito-idp create-user-pool-domain --user-pool-id <user_pool_id> --domain <domain_name> --managed-login-version 2

  • Operação de API de grupos de usuários: CreateUserPoolDomain

Para obter informações sobre um domínio

  • AWS CLI: aws cognito-idp describe-user-pool-domain

    Exemplo: aws cognito-idp describe-user-pool-domain --domain <domain_name>

  • Operação de API de grupos de usuários: DescribeUserPoolDomain

Para excluir um domínio

  • AWS CLI: aws cognito-idp delete-user-pool-domain

    Exemplo: aws cognito-idp delete-user-pool-domain --domain <domain_name>

  • Operação de API de grupos de usuários: DeleteUserPoolDomain

Verificar a página de login

  • Verifique se a página de login está disponível no seu domínio hospedado do Amazon Cognito.

    
https://<your_domain>/login?response_type=code&client_id=<your_app_client_id>&redirect_uri=<your_callback_url>

O domínio é exibido na página Domain name (Nome do domínio) do console do Amazon Cognito. O ID de cliente do aplicativo e o URL de retorno de chamada são exibidos na página App client settings (Configurações do cliente do aplicativo).