基于应用程序客户端的多租户 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

基于应用程序客户端的多租户

通过基于应用程序客户端的多租户,您可以将同一用户映射到多个租户,而无需重新创建用户配置文件。您可以为每个租户创建一个应用程序客户端,并使租户外部 IdP 成为此应用程序客户端唯一可以使用的身份提供商。有关更多信息,请参阅配置用户池应用程序客户端

在使用托管 UI 对具有本机账户的用户进行身份验证时,您想要使用基于应用程序客户端的多租户。您必须考虑用户名、密码等。使用托管 UI 时,将创建一个会话 Cookie 以维护经过身份验证的用户的会话。该会话 Cookie 还在同一用户池中的应用程序客户端之间提供 SSO。会话 Cookie 的有效期为 1 小时。您无法更改会话 Cookie 的持续时间。

您可以在以下场景下使用基于应用程序客户端的多租户:

  • 您的应用程序在所有租户中具有相同的配置。例如,数据驻留和密码策略在所有租户中都相同。

  • 您的应用程序在用户与租户之间具有一对多映射。例如,一个用户可以使用同一个配置文件访问多个租户。

  • 您有一个仅限联合身份验证的多租户应用程序,其中租户将始终使用外部 IdP 登录您的应用程序。

  • 您有一个 B2B 多租户应用程序,且租户后端服务将使用客户端凭证授权访问您的服务。在这种情况下,您可以为每个租户创建应用程序客户端,并与租户后端服务共享客户端 ID 和密钥,以便进行计算机到计算机身份验证。

工作量级别

使用此方法的开发工作量很大。您必须实施与租户匹配的逻辑和用户界面,以便将用户与其租户的应用程序客户端进行匹配。