AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门。
OIDC 用户池 IdP 身份验证流程
当您的用户使用 OIDC IdP 登录您的应用程序时,这就是身份验证流程。
-
您的用户将登录 Amazon Cognito 内置登录页面,并获得通过 OIDC IdP (如 Salesforce) 登录的选项。
-
您的用户将重定向到 OIDC IdP 的
authorization终端节点。 -
在您的用户经过身份验证后,OIDC IdP 将使用授权代码重定向至 Amazon Cognito。
-
Amazon Cognito 将与 OIDC IdP 交换此授权代码以获得访问令牌。
-
Amazon Cognito 在您的用户池中创建或更新用户账户。
-
Amazon Cognito 颁发应用程序持有者令牌,可能包括身份、访问和刷新令牌。
OIDC 是基于 OAuth 2.0 的身份层,它指定 IdP 向 OIDC 客户端应用程序 (信赖方) 颁发的 JSON 格式的 (JWT) 身份令牌。有关将 Amazon Cognito 添加为 OIDC 信赖方的信息,请参阅您的 OIDC IdP 的文档。
当用户进行身份验证后,用户池将返回 ID、访问权限和刷新令牌。ID 令牌是用于身份管理的标准 OIDC 令牌,而访问令牌是标准 OAuth 2.0 令牌。