OIDC 用户池 IdP 身份验证流程 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

OIDC 用户池 IdP 身份验证流程

当您的用户使用 OIDC IdP 登录您的应用程序时,他们会经过以下身份验证流程。

  1. 您的用户将登录 Amazon Cognito 内置登录页面,并获得通过 OIDC IdP(如 Salesforce)登录的选项。

  2. 您的用户将重定向到 OIDC IdP 的 authorization 终端节点。

  3. 在您的用户经过身份验证后,OIDC IdP 将使用授权代码重新导向至 Amazon Cognito。

  4. Amazon Cognito 与 OIDC IdP 交换此授权代码以获得访问令牌。

  5. Amazon Cognito 在您的用户池中创建或更新用户账户。

  6. Amazon Cognito 颁发应用程序持有者令牌,可能包括身份令牌、访问令牌和刷新令牌。

用户池 OIDC IdP 身份验证流程
注意

Amazon Cognito 会取消未在 5 分钟内完成的身份验证请求,并将用户重定向到托管 UI。页面随即显示 Something went wrong 错误消息。

OIDC 是基于 OAuth 2.0 的身份层,它指定 IdP 向 OIDC 客户端应用程序(信赖方)颁发的 JSON 格式的 (JWT) 身份令牌。有关将 Amazon Cognito 添加为 OIDC 信赖方的信息,请参阅适用于您 OIDC IdP 的文档。

当用户进行身份验证后,用户池将返回 ID、访问权限和刷新令牌。ID 令牌是用于身份管理的标准 OIDC 令牌,而访问令牌是标准 OAuth 2.0 令牌。