OIDC 用户池 IdP 身份验证流程 - Amazon Cognito
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

OIDC 用户池 IdP 身份验证流程

当您的用户使用 OIDC IdP 登录您的应用程序时,这就是身份验证流程。

  1. 您的用户将登录 Amazon Cognito 内置登录页面,并获得通过 OIDC IdP (如 Salesforce) 登录的选项。

  2. 您的用户将重定向到 OIDC IdP 的 authorization 终端节点。

  3. 在您的用户经过身份验证后,OIDC IdP 将使用授权代码重定向至 Amazon Cognito。

  4. Amazon Cognito 将与 OIDC IdP 交换此授权代码以获得访问令牌。

  5. Amazon Cognito 在您的用户池中创建或更新用户账户。

  6. Amazon Cognito 颁发应用程序持有者令牌,可能包括身份、访问和刷新令牌。

用户池 OIDC IdP 身份验证流程
注意

5 分钟内未完成的请求将被取消,并重定向至登录页面,然后会显示 Something went wrong 错误消息。

OIDC 是基于 OAuth 2.0 的身份层,它指定 IdP 向 OIDC 客户端应用程序 (信赖方) 颁发的 JSON 格式的 (JWT) 身份令牌。有关将 Amazon Cognito 添加为 OIDC 信赖方的信息,请参阅您的 OIDC IdP 的文档。

当用户进行身份验证后,用户池将返回 ID、访问权限和刷新令牌。ID 令牌是用于身份管理的标准 OIDC 令牌,而访问令牌是标准 OAuth 2.0 令牌。