常见 Amazon Cognito 术语和概念 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

常见 Amazon Cognito 术语和概念

Amazon Cognito 为 Web 和移动应用程序提供凭证。它借鉴身份和访问管理中的常见术语并在此基础上构建。有许多关于通用身份和访问管理术语的指南可供参考。部分示例包括:

以下列表说明了 Amazon Cognito 独有的术语或在 Amazon Cognito 中具有特定上下文的术语。

常规

此列表中的术语并非特定于 Amazon Cognito,而是在身份和访问管理从业人员中得到广泛认可的术语。以下并不是术语的详尽列表,而是关于这些术语在本指南中的特定 Amazon Cognito 上下文中的解释。

应用

通常是一个移动应用程序。在本指南中,应用通常是连接到 Amazon Cognito 的 Web 应用程序或移动应用程序的简写。

基于属性的访问控制(ABAC)

一种模型,在这种模型中,应用程序根据用户的属性(例如其职位或部门)来确定对资源的访问权限。实施 ABAC 的 Amazon Cognito 工具包括用户池中的 ID 令牌和身份池中的主体标签

授权服务器

一个基于 Web 的系统,可生成 JSON 网络令牌。Amazon Cognito 用户池联合身份验证端点是用户池中两种身份验证和授权方法的授权服务器组件。另一种方法是用户池 API

机密应用程序、服务器端应用程序

用户远程连接的应用程序,其代码位于应用程序服务器上,并且可以访问密钥。这通常是 Web 应用程序。

Identity provider (IdP) (身份提供商 (IdP))

一个存储和验证用户身份的服务。Amazon Cognito 可以向外部提供者请求身份验证,并可以成为应用程序的 IdP。

JSON Web 令牌(JWT)

一个 JSON 格式的文档,其中包含有关经过身份验证的用户的声明。ID 令牌对用户进行身份验证,访问令牌授权用户,刷新令牌更新凭证。Amazon Cognito 从外部提供者那里接收令牌,并向应用程序或 Amazon STS 发放令牌。

多重身份验证 (MFA)

要求用户在提供用户名和密码后提供额外的身份验证。Amazon Cognito 用户池具有本地用户的 MFA 特征。

OAuth 2.0(社交)提供者

用户池或身份池的 IdP,用于提供 JWT 访问令牌和刷新令牌。在用户进行身份验证后,Amazon Cognito 用户池自动与社交提供者进行交互。

OpenID Connect(OIDC)提供者

用户池或身份池的 IdP,用于扩展 OAuth 规格以提供 ID 令牌。在用户进行身份验证后,Amazon Cognito 用户池自动与 OIDC 提供者进行交互。

公共应用程序

设备上的一个独立应用程序,其代码存储在本地,并且无法访问密钥。这通常是移动应用程序。

资源服务器

具有访问控制的 API。Amazon Cognito 用户池还使用资源服务器来描述组件,该组件定义了用于与 API 进行交互的配置。

基于角色的访问控制 (RBAC)

一个根据用户的职能名称授予访问权限的模型。Amazon Cognito 身份池通过区分 IAM 角色来实施 RBAC。

服务提供者(SP)、依赖方(RP)

依赖 IdP 来断言用户值得信赖的应用程序。Amazon Cognito 充当外部 IdP 的 SP,充当基于应用程序的 SP 的 IdP。

SAMLprovider

用户池或身份池的 IdP,用于生成经过数字签名的断言文档,您的用户会将该文档传递给 Amazon Cognito。

通用唯一标识符(UUID)

应用于对象的 128 位标签。Amazon Cognito UUID 在每个用户池或身份池中都是唯一的,但不遵循特定的 UUID 格式。

用户目录

一组用户及其属性,可以向其他系统提供该信息。Amazon Cognito 用户池是用户目录,也是用于整合外部用户目录中用户的工具。

用户池

当您在本指南中看到以下列表中的术语时,它们指的是用户池的特定特征或配置。

Amazon Cognito 用户池 API

一组身份验证和授权 API 操作,您可以使用 Amazon SDK 将其添加到您的应用程序中。该 API 可以登录本地用户关联用户

自适应身份验证

一项高级安全特征,用于检测潜在的恶意活动并为用户配置文件增加额外的安全保护。

高级安全特征

一个可选组件,用于添加用户安全工具。

应用程序客户端

一个组件,用于将用户池的设置定义为一个应用程序的 IdP。

回调 URL、重定向 URI

应用程序客户端中的一项设置,以及向用户池联合身份验证端点发送的请求中的参数。回调 URL 是您的应用程序中经过身份验证的用户的初始目的地。

已泄露的凭证

一项高级安全特征,用于检测攻击者可能知道的用户密码,并为用户配置文件增加额外的安全保护。

确认

一个过程,用于确定已满足先决条件,可允许新用户登录。通常通过电子邮件地址或电话号码验证来完成确认。

自定义身份验证

使用 Lambda 触发器的身份验证过程的一个扩展,定义了额外的用户质询和响应。

设备身份验证

一个身份验证过程,将 MFA 替换为使用可信设备 ID 的登录。

外部提供者、第三方提供者

与用户池存在信任关系的 IdP。

联合用户

用户池中由外部提供者进行身份验证的用户。

联合身份验证端点

您的用户池域中的一组网页,用于托管与 IdP 和应用程序进行交互的服务。

托管 UI

您的用户池域中的一组交互网页,用于托管进行用户身份验证的服务。

Lambda 触发器

Amazon Lambda 中的一个函数,用户池可以在用户身份验证过程的关键点自动调用该函数。您可以使用 Lambda 触发器自定义身份验证结果。

本地用户

用户池用户目录中的用户配置文件,它不是通过外部提供者进行身份验证而创建。

关联用户

来自外部提供者的用户,其身份与本地用户合并。

令牌自定义

令牌生成前 Lambda 触发器的结果,该触发器在运行时修改用户的 ID 令牌或访问令牌。

用户池、Amazon Cognito 身份提供者、cognito-idp、Amazon Cognito 用户池

一项 Amazon 资源,为与 OIDC IdP 配合使用的应用程序提供身份验证和授权服务。

用户池域

您添加到用户池的网站名称。该域是托管 UI联合身份验证端点的基本 URL。

验证

确认用户拥有电子邮件地址或电话号码的过程。用户池向输入新电子邮件地址或电话号码的用户发送代码。当他们向 Amazon Cognito 提交代码时,他们会验证自己对消息目的地的所有权,并且可以从用户池中接收其他消息。另请参阅确认

用户配置文件、用户账户

用户目录中的用户条目。所有用户在其用户池中都有配置文件。

身份池

当您在本指南中看到以下列表中的术语时,它们指的是身份池的特定特征或配置。

访问控制属性

身份池中基于属性的访问控制的一种实施。身份池将用户属性作为标签应用于用户凭证。

基本(经典)身份验证

一个身份验证过程,您可以在这个过程中自定义对用户凭证的请求。

已经过开发人员验证的身份

一个身份验证过程,在这个过程中使用开发人员凭证授权身份池用户凭证

开发人员凭证

身份池管理员的 IAM API 密钥。

增强型身份验证

一个身份验证流程,根据您在身份池中定义的逻辑选择 IAM 角色并应用主体标签。

求同

一个 UUID,用于将应用程序用户及其用户凭证链接到与身份池存在信任关系的外部用户目录中的配置文件。

身份池、Amazon Cognito 联合身份、Amazon Cognito 身份、cognito-identity

一项 Amazon 资源,为使用临时 Amazon 凭证的应用程序提供身份验证和授权服务。

未经验证的 身份

尚未使用身份池 IdP 登录的用户。您可以允许用户在进行身份验证之前为单个 IAM 角色生成有限的用户凭证。

用户凭证

用户在身份池身份验证后收到的临时 Amazon API 密钥。