本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
OIDC 用户池 IdP 身份验证流程
当用户使用 OIDC IdP 登录到应用程序时,这是身份验证流程。
-
您的用户将登录 Amazon Cognito 内置登录页面,并获得通过 OIDC IdP (如 Salesforce) 登录的选项。
-
您的用户将重定向到 OIDC IdP 的
authorization
终端节点。 -
对用户进行身份验证后,OIDC IdP 将使用授权代码重定向到 Amazon Cognito。
-
Amazon Cognito 与 OIDC IdP 交换授权代码以获得访问令牌。
-
Amazon Cognito 在您的用户池中创建或更新用户账户。
-
Amazon Cognito 颁发应用程序持有者令牌,可能包括身份、访问和刷新令牌。

5 分钟内未完成的请求将被取消,并重定向至登录页面,然后会显示 Something went wrong
错误消息。
OIDC 是基于 OAuth 2.0 的身份层,它指定 IdPs 向 OIDC 客户端应用程序(信赖方)颁发的 JSON 格式的 (JWT) 身份令牌。有关将 IdP 添加为 OIDC 信赖方的信息,请参阅 OIDC Amazon Cognito 的文档。
当用户进行身份验证后,用户池将返回 ID、访问权限和刷新令牌。ID 令牌是用于身份管理的标准 OIDC