第 3 步 向用户池添加社交登录(可选)
您可以允许应用程序用户通过社交身份提供商(IdP)(如 Facebook、Google、亚马逊和 Apple)进行登录。无论您的用户是直接登录还是通过第三方登录,所有用户都在用户池中有一个配置文件。如果您不想添加通过社交登录身份提供商进行的登录,请跳过此步骤。
步骤 1:向社交 IdP 注册
在使用 Amazon Cognito 创建社交 IdP 之前,必须向社交 IdP 注册应用程序才能接收客户端 ID 和客户端密钥。
-
创建 Facebook 开发人员账户
。 -
使用 Facebook 凭证登录
。 -
在 My Apps(我的应用程序)菜单上,选择 Create New App(创建新的应用程序)。
-
输入 Facebook 应用程序的名称,然后选择 Create App ID(创建应用程序 ID)。
-
在左侧导航栏上,选择 Settings(设置),然后选择 Basic(基本)。
-
记下 App ID(应用程序 ID)和 App Secret(应用程序密钥)。您将在下一节中使用它们。
-
从页面底部选择 + Add Platform(+ 添加平台)。
-
选择 Save changes(保存更改)。
-
为 App Domains(应用程序域)输入用户池域。
https://
your_user_pool_domain
-
选择 Save changes(保存更改)。
-
从导航栏中,选择 Products(产品),然后选择 Facebook Login(Facebook 登录)中的 Set up(设置)。
-
从导航栏中,选择 Facebook Login(Facebook 登录),然后选择 Settings(设置)。
在 Valid OAuth Redirect URIs(有效的 OAuth 重定向 URI)中输入重定向 URL。重定向 URL 将包含具有
/oauth2/idpresponse
端点的用户池域。https://
your_user_pool_domain
/oauth2/idpresponse -
选择 Save changes(保存更改)。
-
创建 Amazon 开发人员账户
。 -
使用 Amazon 凭证登录
。 -
您需要创建一个 Amazon 安全配置文件才能接收 Amazon 客户端 ID 和客户端密钥。
从页面顶部的导航栏中选择 Apps and Services(应用程序和服务),然后选择 Login with Amazon。
-
选择 Create a Security Profile(创建安全配置文件)。
-
输入 Security Profile Name(安全配置文件名称)、Security Profile Description(安全配置文件描述)和 Consent Privacy Notice URL(同意隐私声明 URL)。
-
选择 Save(保存)。
-
选择 Client ID(客户端 ID)和 Client Secret(客户端密钥)以显示客户端 ID 和密钥。您将在下一节中使用它们。
-
将鼠标悬停在齿轮图标上并选择 Web Settings(Web 设置),然后选择 Edit(编辑)。
-
将用户池域输入到 Allowed Origins(允许的源)中。
https://
<your-user-pool-domain>
-
将具有
/oauth2/idpresponse
端点的用户池域输入到 Allowed Return URLs(允许的返回 URL)中。https://
<your-user-pool-domain>
/oauth2/idpresponse -
选择 Save(保存)。
有关 Google Cloud 平台中的 OAuth 2.0 的更多信息,请参阅 Google Workspace for Developers 文档中的了解身份验证和授权
-
创建 Google 开发人员账户
。 -
从顶部导航栏中,选择 Select a project(选择项目)。如果您在 Google 平台中已经有项目,则此菜单会改为显示您的原定设置项目。
-
选择 NEW PROJECT(新建项目)。
-
输入产品的名称,然后选择 CREATE(创建)。
-
在左侧导航栏上,选择 APIs and Services(API 和服务),然后选择 Oauth consent screen(Oauth 同意屏幕)。
-
输入应用程序信息,App domain(应用程序域)、Authorized domains(已授权的域)和 Developer contact information(开发人员联系信息)。例如,您的 Authorized domains(已授权的域)必须包括
amazoncognito.com
和自定义域的根,例如example.com
。选择 SAVE AND CONTINUE(保存并继续)。 -
1. 在 Scopes(范围)下,选择 Add or remove scopes(添加或删除范围),然后至少选择以下 OAuth 范围。
-
.../auth/userinfo.email
-
.../auth/userinfo.profile
-
openid
-
-
在 Test users(测试用户)下,选择 Add users(添加用户)。输入您的电子邮件地址和任何其他授权测试用户,然后选择 SAVE AND CONTINUE(保存并继续)。
-
再次展开左侧导航栏,选择 APIs and Services(API 和服务),然后选择 Credentials(凭证)。
-
依次选择 CREATE CREDENTIALS(创建凭证)和 OAuth client ID(OAuth 客户端 ID)。
-
选择 Application type(应用程序类型)并为客户端提供 Name(名称)。
-
在 Authorized JavaScript origins(已授权的 JavaScript 源)下,选择 ADD URI(添加 URI)。输入用户群体域。
https://
<your-user-pool-domain>
-
在 Authorized redirect URIs(已授权的重新导向 URI)下,选择 ADD URI(添加 URI)。输入指向用户群体域的
/oauth2/idpresponse
端点的路径。https://
<your-user-pool-domain>
/oauth2/idpresponse -
选择 CREATE(创建)。
-
安全地存储 Google 在 Your client ID(您的客户端 ID)和 Your client secret(您的客户端密钥)下显示的值。当您添加 Google IdP 时,请向 Amazon Cognito 提供这些值。
有关设置“通过 Apple 登录”的更多信息,请参阅 Apple 开发人员文档中的配置环境以通过 Apple 登录
-
创建 Apple 开发人员账户
。 -
使用 Apple 凭证登录
。 -
在左侧导航栏上,选择 Certificates, Identifiers & Profiles(证书、标识符和配置文件)。
-
在左侧导航栏上,选择 Identifiers (标识符)。
-
在 Identifiers (标识符) 页面上,选择 + 图标。
-
在 Register a New Identifier (注册新标识符) 页面上,选择 App IDs (应用程序 ID),然后选择 Continue (继续)。
-
在 Select a type(选择类型)页面上,选择 App(应用程序),然后选择 Continue(继续)。
-
在 Register an App ID(注册应用程序 ID)页面上,执行以下操作:
-
在 Description(说明)下,输入说明。
-
在 App ID Prefix(应用程序 ID 前缀)下,输入 Bundle ID(捆绑包 ID)。记下 App ID Prefix(应用程序 ID 前缀)下的值。在步骤 2:将社交 IdP 添加到用户池中选择 Apple 作为身份提供商后,您将使用此值。
-
在 Capabilities(功能)下,选择 Sign In with Apple,然后选择 Edit(编辑)。
-
在 Sign in with Apple: App ID Configuration(通过 Apple 登录:应用程序 ID 配置)页面上,选择将应用程序设置为主应用程序或与其他应用程序 ID 分组在一起,然后选择 Save(保存)。
-
选择 Continue(继续)。
-
-
在 Confirm your App ID(确认您的应用程序 ID)页面上,选择 Register(注册)。
-
在 Identifiers (标识符) 页面上,选择 + 图标。
-
在 Register a New Identifier(注册新标识符)页面上,选择 Services IDs(服务 ID),然后选择 Continue(继续)。
-
在 Register an Services ID(注册服务 ID)页面上,执行以下操作:
-
在 Description(描述)下方,键入描述。
-
在 Identifier(标识符)下方,键入标识符。记下此服务 ID,因为在步骤 2:将社交 IdP 添加到用户池中选择 Apple 作为身份提供商后需要此值。
-
选择 Continue(继续),然后选择 Register(注册)。
-
-
从 Identifiers(标识符)页中选择您刚创建的 Services ID(服务 ID)。
-
选择 Sign In with Apple(使用苹果账号登录),然后选择 Configure(配置)。
-
在 Web Authentication Configuration(Web 身份验证配置)页上,选择您先前创建的应用程序 ID 作为 Primary App ID(主应用程序 ID)。
-
在 Website URLs(网站 URL)旁边选择 + 图标。
-
在 Domains and subdomains(域名和子域)下,输入不带
https://
前缀的用户群体域。<your-user-pool-domain>
-
在 Return URLs(返回 URL)下,输入指向用户群体域的
/oauth2/idpresponse
端点的路径。https://
<your-user-pool-domain>
/oauth2/idpresponse -
选择 Next(下一步),然后选择 Done(完成)。您不需要验证域。
-
选择 Continue(继续),然后选择 Save(保存)。
-
-
在左侧导航栏上,选择 Keys (密钥)。
-
在 Keys(密钥)页面上,选择 + 图标。
-
在 Register a New Key(注册新密钥)页面上,执行以下操作:
-
在 Key Name(密钥名称)下,输入密钥名称。
-
选择 Sign In with Apple,然后选择 Configure(配置)。
-
在 Configure Key(配置密钥)页上,选择您先前创建的应用程序 ID 作为 Primary App ID(主应用程序 ID)。选择 Save(保存)。
-
选择 Continue(继续),然后选择 Register(注册)。
-
-
在 Download Your Key(下载您的密钥)页面上,选择 Download(下载)以下载私有密钥并记下显示的 Key ID(密钥 ID),然后选择 Done(完成)。在步骤 2:将社交 IdP 添加到用户池中选择 Apple 作为身份提供商后,您将需要此私有密钥和在此页面上显示的 Key ID(密钥 ID)值。
步骤 2:将社交 IdP 添加到用户池
在本节中,您使用上一节中的客户端 ID 和客户端密钥在用户池中配置社交 IdP。
步骤 3:测试社交 IdP 配置
可以通过使用前两节中的元素来创建登录 URL。使用此 URL 测试社交 IdP 配置。
https://
<your_user_pool_domain>
/login?response_type=code&client_id=<your_client_id>
&redirect_uri=https://www.example.com
您可以在用户池 Domain name(域名)控制台页上找到您的域。client_id 位于 App client settings(应用程序客户端设置)页上。对于 redirect_uri 参数,使用您的回调 URL。这是页面的 URL,在页面中,您的用户在身份验证成功后将被重定向。
Amazon Cognito 会取消未在 5 分钟内完成的身份验证请求,并将用户重定向到托管 UI。页面随即显示 Something went wrong
错误消息。
下一步
第 4 步 将使用 SAML 身份提供商的登录添加到用户池(可选)