身份提供者和依赖方端点
联合身份验证端点是用户池端点,用于支持用户池使用的其中一个身份验证标准。这些端点包括 SAML ACS URL、OIDC 发现端点以及用户池角色(既可以作为身份提供者,也可以作为依赖方)的服务端点。联合身份验证端点启动身份验证流,从 IdP 那里接收身份验证证明,并向客户端发放令牌。他们与 IdP、应用程序和管理员交互,但不与用户直接交互。
在此页之后的整页主题包含有关 OAuth 2.0 和 OIDC 提供者端点的详细信息,这些端点会在您向用户池添加域后变得可用。下图是所有联合身份验证端点的列表。
用户池域的示例有:
-
前缀域:
mydomain.auth.us-east-1.amazoncognito.com -
自定义域:
auth.example.com
| 端点 URL | 描述 | 如何访问此端点 |
|---|---|---|
https://您的用户池域/oauth2/authorize |
将用户重定向到托管登录或使用其 IdP 登录。 | 在客户浏览器中调用以开始用户身份验证。请参阅对端点授权。 |
https://您的用户池域/oauth2/token |
根据授权码或客户端凭证请求返回令牌。 | 应用程序请求检索令牌。请参阅令牌端点。 |
https://您的用户池域/oauth2/userInfo |
根据访问令牌中的 OAuth 2.0 范围和用户身份返回用户属性。 | 应用程序请求检索用户配置文件。请参阅userInfo 端点。 |
https://您的用户池域/oauth2/revoke |
撤销刷新令牌和关联的访问令牌。 | 应用程序请求撤销令牌。请参阅撤销端点。 |
https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/openid-configuration |
用户池的 OIDC 架构的目录。1 | 应用程序请求查找用户池发布者元数据。 |
https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/jwks.json |
您可以用来验证 Amazon Cognito 令牌的公有密钥。2 | 应用程序请求验证 JWT。 |
https://您的用户池域/oauth2/idpresponse |
社交身份提供者必须使用授权码将用户重新导向到此端点。Amazon Cognito 在验证您的联合用户时将代码兑换为令牌。 | 已从 OIDC IdP 登录重定向为 IdP 客户端回调 URL。 |
https://Your user pool domain/saml2/idpresponse |
与 SAML 2.0 身份提供者集成所需的断言使用者响应(ACS)URL。 | 已从 SAML 2.0 IdP 重定向为 ACS URL,或 IdP 发起的登录的起点3。 |
https://您的用户池域/saml2/logout |
用于与 SAML 2.0 身份提供者集成的单点注销(SLO)URL。 | 已从 SAML 2.0 IdP 重定向为单点注销(SLO)URL。仅接受 POST 绑定。 |
1 可能会随时使用其他信息更新 openid-configuration 文档,以保持端点符合 OIDC 和 OAuth2 规范。
2 可能会随时使用新的公共令牌签名密钥更新 jwks.json JSON 文件。
3 有关 IdP 发起的 SAML 登录的更多信息,请参阅 实施 IdP 发起的 SAML 登录。
有关 OpenID Connect 和 OAuth 标准的更多信息,请参阅 OpenID Connect 1.0