OIDC 用户池 IdP 身份验证流程 - Amazon Cognito
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

OIDC 用户池 IdP 身份验证流程

当您的用户使用 OIDC IdP 登录您的应用程序时,这就是身份验证流程。

  1. 您的用户将登录 Amazon Cognito 内置登录页面,并获得通过 OIDC IdP (如 Salesforce) 登录的选项。

  2. 您的用户将重定向到 OIDC IdP 的 authorization 终端节点。

  3. 在您的用户经过身份验证后,OIDC IdP 将使用授权代码重定向至 Amazon Cognito。

  4. Amazon Cognito 将与 OIDC IdP 交换此授权代码以获得访问令牌。

  5. Amazon Cognito 在您的用户池中创建或更新用户账户。

  6. Amazon Cognito 颁发应用程序持有者令牌,可能包括身份、访问和刷新令牌。

用户池 OIDC IdP 身份验证流程
注意

5 分钟内未完成的请求将被取消,并重定向至登录页面,然后会显示 Something went wrong 错误消息。

OIDC 是基于 OAuth 2.0 的身份层,它指定 IdP 向 OIDC 客户端应用程序 (信赖方) 颁发的 JSON 格式的 (JWT) 身份令牌。有关将 Amazon Cognito 添加为 OIDC 信赖方的信息,请参阅您的 OIDC IdP 的文档。

当用户进行身份验证后,用户池将返回 ID、访问权限和刷新令牌。ID 令牌是用于身份管理的标准 OIDC 令牌,而访问令牌是标准 OAuth 2.0 令牌。