View a markdown version of this page

身分提供者和依賴方端點 - Amazon Cognito
OIDC 發行者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

身分提供者和依賴方端點

聯合端點是使用者集區端點,其目的為使用者集區使用的其中一個身分驗證標準。其中包括 SAML ACS URLs、OIDC 探索端點,以及做為身分提供者和依賴方的使用者集區角色的服務端點。聯合端點會啟動身分驗證流程、從 IdPs 接收身分驗證證明,以及向用戶端發出權杖。它們會與 IdPs、應用程式和管理員互動,但不會與使用者互動。

此頁面之後的完整頁面主題包含 OAuth 2.0 和 OIDC 提供者端點的詳細資訊,這些端點會在您將網域新增至使用者集區時變成可用。下表是所有聯合端點的清單。

使用者集區網域的範例如下:

  1. 字首網域: mydomain.auth.us-east-1.amazoncognito.com

  2. 自訂網域: auth.example.com

使用者集區聯合端點
端點 URL 說明 如何存取
https://您的使用者集區網域/oauth2/authorize 將使用者重新導向至受管登入或使用其 IdP 登入。 在客戶瀏覽器中調用 以開始使用者身分驗證。請參閱 授權端點
https://您的使用者集區網域/oauth2/token 根據授權碼或用戶憑證請求傳回權杖。 應用程式請求擷取字符。請參閱 權杖端點
https://您的使用者集區網域/oauth2/userInfo 根據存取權杖中的 OAuth 2.0 範圍和使用者身分傳回使用者屬性。 應用程式請求擷取使用者設定檔。請參閱 userInfo 端點
https://您的使用者集區網域/oauth2/revoke 撤銷重新整理權杖和關聯的存取權杖。 應用程式請求撤銷權杖。請參閱 撤銷端點
https://cognito-idp.區域.amazonaws.com/您的使用者集區 ID/.well-known/openid-configuration 使用者集區的 OIDC 架構目錄。1 應用程式請求尋找使用者集區發行者中繼資料。
https://cognito-idp.區域.amazonaws.com/您的使用者集區 ID/.well-known/jwks.json 您可以使用公有金鑰來驗證 Amazon Cognito 權杖。2 應用程式請求驗證 JWTs。
https://Your user pool domain/oauth2/idpresponse 社交身分提供者必須透過授權碼將您的使用者重新導向至此端點。Amazon Cognito 在對您的聯合身分使用者進行身分驗證時,將代碼兌換為權杖。 從 OIDC IdP 登入重新導向為 IdP 用戶端回呼 URL。
https://您的使用者集區網域/saml2/idpresponse 與 SAML 2.0 身分提供者整合的聲明消費者回應 (ACS) URL。 從 SAML 2.0 IdP 重新導向為 ACS URL,或 IdP 起始登入的起始點3
https://您的使用者集區 domain/saml2/logout 與 SAML 2.0 身分提供者整合的單一登出 (SLO) URL。 從 SAML 2.0 IdP 重新導向為單一登出 (SLO) URL。僅接受 POST 繫結。

1 openid-configuration 文件可能會隨時更新,並提供其他資訊,讓端點符合 OIDC 和 OAuth2 規格。

2jwks.jsonJSON 檔案可能隨時使用新的公有字符簽署金鑰更新至 。

3 如需 IdP 起始 SAML 登入的詳細資訊,請參閱 實作 IdP 起始的 SAML 登入

如需 OpenID Connect 和 OAuth 標準的詳細資訊,請參閱 OpenID Connect 1.0OAuth 2.0

作為 OIDC 發行者的 Amazon Cognito 使用者集區

Amazon Cognito 使用者集區做為 OpenID Connect (OIDC) 身分提供者,做為應用程式程式庫可用於 OIDC 聯合的發行者。OIDC 聯合的應用程式程式庫可以參考兩個不同的路徑,如下所述做為自動探索端點。此端點可讓您存取位於 的 JSON Web Key Set (JWKS) /.well-known/jwks.json和位於 的 OIDC 探索中繼資料/.well-known/openid-configuration,其中應用程式可以探索授權、字符和 userInfo 端點。

支援 OIDC Autodiscovery 的應用程式可以透過查詢這些已知的端點來自動自行設定。對於不支援自動探索的應用程式,您可以使用上一節列出的特定 OIDC 端點來硬式編碼您的應用程式。

使用者集區發行者類型
原始發行者

使用者集區的目前預設發行者組態。發行者 URL 託管於使用者集區的 區域,並提供該區域的 OIDC 端點。

原始發行者採用 格式https://cognito-idp.us-east-1.amazonaws.com/us-east-1_EXAMPLE

已更新發行者

建議用於所有使用者集區,包括用於多區域複寫。更新的發行者在多個區域中託管相同的 JWKS 內容,從而提高彈性和效率。

更新的發行者採用格式 https://issuer-cognito-idp.us-east-1.amazonaws.com/us-east-1_EXAMPLE,其中區域是使用者集 AWS 區域 區的主要區域。

主題