亚马逊 Cognito 条款 - Amazon Cognito
常规用户池身份池
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 Cognito 条款

Amazon Cognito 为网络和移动应用程序提供凭证。它借鉴并建立在身份和访问管理中常见的术语之上。有许多通用身份和访问条款指南可供选择。部分示例包括:

以下列表描述了亚马逊 Cognito 独有的术语或在亚马逊 Cognito 中具有特定上下文的术语。

常规

此列表中的术语并不是 Amazon Cognito 所特有的,在身份和访问管理从业者中得到了广泛认可。以下不是术语的详尽列表,而是本指南中有关其特定 Amazon Cognito 上下文的指南。

App

通常是移动应用程序。在本指南中,应用程序通常是连接到 Amazon Cognito 的 Web 应用程序或移动应用程序的简写。

基于属性的访问控制 (ABAC)

一种模型,在这种模型中,应用程序根据用户的属性(例如其职称或部门)来确定对资源的访问权限。Amazon Cognito 强制执行 ABAC 的工具包括用户池中的 ID 令牌和身份池中的委托人标签

授权服务器

生成 JSON 网络令牌的基于 Web 的系统。Amazon Cognito 用户池联合终端节点是用户池中两种身份验证和授权方法的授权服务器组件。另一种方法是用户池 API

机密应用程序、服务器端应用程序

用户远程连接的应用程序,其代码位于应用程序服务器上,并且可以访问机密。这通常是一个 Web 应用程序。

Identity provider (IdP) (身份提供商 (IdP))

一种存储和验证用户身份的服务。Amazon Cognito 可以向外部提供商请求身份验证,并成为应用程序的 IdP。

JSON 网络令牌 (JWT)

一个 JSON 格式的文档,其中包含有关经过身份验证的用户的声明。ID 令牌对用户进行身份验证,访问令牌授权用户,刷新令牌更新凭证。Amazon Cognito从外部提供商那里接收令牌,并向应用程序发放令牌,或者. Amazon STS

多重身份验证 (MFA)

要求用户在提供用户名和密码后提供额外的身份验证。Amazon Cognito 用户池为本地用户提供了 MFA 功能。

OAuth 2.0(社交)提供商

提供 JWT 访问和刷新令牌的用户池或身份池的 Id P。在用户进行身份验证后,Amazon Cognito 用户池会自动与社交提供商进行互动。

OpenID Connect (OIDC) 提供商

用户池或身份池的 IdP,用于扩展 OAuth 规范以提供 ID 令牌。在用户进行身份验证后,Amazon Cognito 用户池会自动与 OIDC 提供商进行交互。

公共应用程序

一种在设备上自包含的应用程序,其代码存储在本地,并且无法访问密钥。这通常是一个移动应用程序。

资源服务器

具有访问控制功能的 API。Amazon Cognito 用户池还使用资源服务器来描述用于定义与 API 交互的配置的组件。

基于角色的访问控制 (RBAC)

一种根据用户的职能名称授予访问权限的模型。Amazon Cognito 身份池通过区分 IAM 角色来实现 RBAC。

服务提供商 (SP)、依赖方 (RP)

依赖 IdP 来断言用户值得信赖的应用程序。Amazon Cognito 充当外部服务提供商 IdPs,对基于应用程序的 SP 充当 IdP。

samlProvid

用户池或身份池的 IdP,用于生成经过数字签名的断言文档,您的用户会将其传递给 Amazon Cognito。

通用唯一标识符 (UUID)

应用于对象的 128 位标签。Amazon Cognito UUID 在每个用户池或身份池中都是唯一的。

用户目录

向其他系统提供该信息的用户及其属性的集合。Amazon Cognito 用户池是用户目录,也是用于合并来自外部用户目录的用户的工具。

用户池

当您在本指南中看到以下列表中的术语时,它们指的是用户池的特定功能或配置。

亚马逊 Cognito 用户池 API

一组身份验证和授权 API 操作,您可以使用 Amazon SDK 将其添加到您的应用程序中。API 可以登录本地用户关联用户

自适应身份验证

一种高级安全功能,可检测潜在的恶意活动并为用户配置文件应用额外的安全保护。

高级安全功能

一个可选组件,用于添加用户安全工具。

应用程序客户端

一种组件,用于将用户池的设置定义为一个应用程序的 IdP。

回调网址,重定向 URI

应用程序客户端中的设置和对用户池联合终端节点的请求中的参数。回传 URL 是您的应用程序中经过身份验证的用户的初始目的地。

已泄露的凭证

一种高级安全功能,可检测攻击者可能知道的用户密码,并对用户配置文件应用额外的安全保护。

确认

确定是否满足了允许新用户登录的先决条件的过程。确认通常通过电子邮件地址或电话号码验证来完成。

自定义身份验证

使用 Lambda 触发器扩展身份验证流程,用于定义其他用户质询和响应。

设备认证

一种身份验证过程,将 MFA 替换为使用可信设备的 ID 的登录。

外部提供商、第三方提供商

与用户池有信任关系的 IdP。

联合用户

用户池中由外部提供商进行身份验证的用户。

联邦终端节点

用户池网域上的一组网页,用于托管与之交互的 IdPs 服务和应用程序。

托管 UI

用户池域上的一组交互式网页,用于托管用户身份验证服务。

Lambda 触发器

其中一种函数 Amazon Lambda ,用户池可以在用户身份验证过程的关键时刻自动调用。您可以使用 Lambda 触发器自定义身份验证结果。

本地用户

用户池用户目录中的用户配置文件,不是通过向外部提供商进行身份验证而创建的。

关联用户

来自外部提供商的用户,其身份与本地用户合并。

代币自定义

令牌生成前 Lambda 触发器的结果,该触发器在运行时修改用户的 ID 或访问令牌。

用户池、亚马逊 Cognito 身份提供商cognito-idp、Amazon Cognito 用户池

一种 Amazon 资源,为使用 OID IdPs C 的应用程序提供身份验证和授权服务。

用户池域

您添加到用户池中的网站名称。该域是托管 UI联合终端节点的基本 URL。

验证

确认用户拥有电子邮件地址或电话号码的过程。用户池向输入了新电子邮件地址或电话号码的用户发送验证码。当他们向 Amazon Cognito 提交代码时,他们将验证自己对消息目标的所有权,并且可以从用户池中接收其他消息。另请参阅确认

用户个人资料、用户账户

用户目录中用户的条目。所有用户的用户池中都有个人资料。

身份池

当您在本指南中看到以下列表中的术语时,它们指的是身份池的特定功能或配置。

访问控制属性

在身份池中实现基于属性的访问控制。身份池将用户属性作为标签应用于用户证书。

基本(经典)身份验证

一种身份验证过程,您可以在其中自定义对用户凭证的请求。

已经过开发人员验证的身份

使用开发者凭证授权身份池用户凭证的身份池用户凭证的身份验证过程。

开发者证书

身份池管理员的 IAM API 密钥。

增强的身份验证

一种身份验证流程,它根据您在身份池中定义的逻辑选择 IAM 角色并应用委托人标签。

求同

一个 UUID,用于将应用程序用户及其用户凭据链接到与身份池存在信任关系的外部用户目录中的个人资料。

身份池、亚马逊 Cognito 联合身份、亚马逊 Cognito 身份、cognito-identity

一种 Amazon 资源,为使用临时 Amazon 证书的应用程序提供身份验证和授权服务。

未经验证的 身份

尚未使用身份池 IdP 登录的用户。您可以允许用户在进行身份验证之前为单个 IAM 角色生成有限的用户证书。

用户凭证

用户在身份池身份验证后收到的临时 Amazon API 密钥。