OIDC 用户池 IdP 身份验证流程
当您的用户使用 OIDC IdP 登录您的应用程序时,他们会经过以下身份验证流程。
-
您的用户将登录 Amazon Cognito 内置登录页面,并获得通过 OIDC IdP(如 Salesforce)登录的选项。
-
您的用户将重定向到 OIDC IdP 的
authorization
终端节点。 -
在您的用户经过身份验证后,OIDC IdP 将使用授权代码重新导向至 Amazon Cognito。
-
Amazon Cognito 与 OIDC IdP 交换此授权代码以获得访问令牌。
-
Amazon Cognito 在您的用户池中创建或更新用户账户。
-
Amazon Cognito 颁发应用程序持有者令牌,可能包括身份令牌、访问令牌和刷新令牌。

Amazon Cognito 会取消未在 5 分钟内完成的身份验证请求,并将用户重定向到托管 UI。页面随即显示 Something
went wrong
错误消息。
OIDC 是基于 OAuth 2.0 的身份层,它指定 IdP 向 OIDC 客户端应用程序(信赖方)颁发的 JSON 格式的 (JWT) 身份令牌。有关将 Amazon Cognito 添加为 OIDC 信赖方的信息,请参阅适用于您 OIDC IdP 的文档。
当用户进行身份验证后,用户池将返回 ID、访问权限和刷新令牌。ID 令牌是用于身份管理的标准 OIDC