用户群体联合身份验证端点和托管 UI 参考
当您向用户群体分配域时,Amazon Cognito 会激活此处列出的公开网页。您的域用作所有应用程序客户端的中央接入点。它们包括托管 UI,您的用户可以在其中注册、登录(登录端点)和注销(注销端点)。有关这些资源的标签的更多信息,请参阅 设置和使用 Amazon Cognito 托管 UI 和联合身份验证端点。
这些页面还包括允许您的用户群体与第三方 SAML、OpenID Connect (OIDC) 和 OAuth 2.0 身份提供者 (IdP) 进行通信的公有 Web 资源。要使用联合身份提供者登录用户,您的用户必须向交互式托管 UI 登录端点或 OIDC 对端点授权发起请求。授权端点将您的用户重定向到托管 UI 或 IdP 登录页面。
您的应用程序还可以使用 Amazon Cognito 用户群体 API 登录本地用户。本地用户仅存在于您的用户群体目录中,无需通过外部 IdP 进行联合身份验证。
除了托管 UI 和联合身份验证端点之外,Amazon Cognito 还集成了适用于 Android、iOS、JavaScript 等的 SDK。这些 SDK 提供了使用 Amazon Cognito API 服务端点执行用户群体 API 操作的工具。有关服务端点的更多信息,请参阅 Amazon Cognito 身份端点和限额。
警告
请不要固定 Amazon Cognito 域的终端实体或中间传输层安全性协议(TLS)凭证。Amazon 管理所有用户群体端点和前缀域的所有凭证。支持 Amazon Cognito 证书的信任链中的证书颁发机构 (CA) 会动态轮换和续订。当您将应用程序固定到中间证书或叶证书时,如果 Amazon 轮换证书,应用程序可能会失败而不发出通知。
而应将应用程序固定到所有可用的 Amazon 根证书