Wie richte ich Google als Verbundidentitätsanbieter in einem Amazon Cognito-Benutzerpool ein?

Lesedauer: 5 Minute
0

Ich möchte Google als Verbundidentitätsanbieter (IdP) in einem Amazon Cognito-Benutzerpool verwenden.

Behebung

Erstellen eines Amazon-Cognito-Benutzerpools mit einem App-Client und Domain-Namen

Führe die folgenden Schritte aus:

  1. Erstelle einen neuen Benutzerpool.
    Hinweis: Beim Erstellen eines Benutzerpools wird standardmäßig das Standardattribut E-Mail ausgewählt.
  2. Erstelle einen App-Client im Benutzerpool.
  3. Füge einen Domain-Namen für den Benutzerpool hinzu.

Erstellen eines Google API Console-Projekts

Führe die folgenden Schritte aus:

  1. Melde dich mit dem Google-Konto bei Google API Console an. Weitere Informationen findest du unter APIs in API Console verwalten auf der Google-Hilfe-Website.
  2. Wähle im Dashboard (APIs & Services) ERSTELLEN aus.
  3. Gib unter Neues Projekt einen Projektnamen ein.
  4. Wähle für Ort die Option BROWSEN aus, und wähle dann einen Speicherort aus.
  5. Wähle ERSTELLEN aus.

Weitere Informationen findest du unter Mit Google für Web anmelden auf der Google Identity-Website.

Konfigurieren des OAuth-Zustimmungsbildschirms

Führe die folgenden Schritte aus:

  1. Öffne die Google API Console und wähle dann im linken Navigationsbereich OAuth-Zustimmungsbildschirm aus.
  2. Fülle die folgenden Pflichtfelder auf dem Einwilligungsformular aus:
    Gib für Anwendungsname einen Namen ein.
    Gib für Authorisierte Domains amazoncognito.com ein.
    Wichtig: Du musst diese Domain eingeben, damit du die Amazon-Cognito-Domain verwenden kannst, wenn du eine OAuth-Client-ID erstellst.
  3. Wähle Speichern.

Weitere Informationen findest du unter OAuth-Zustimmungsbildschirm abschließen auf der Google Workspace-Website.

Abrufen der Anmeldeinformationen für den OAuth 2.0-Client

Führe die folgenden Schritte aus:

  1. Öffne die Google API Console und wähle dann auf der Seite Anmeldeinformationen die Option Anmeldeinformationen erstellen aus.
  2. Wähle OAuth-Client-ID.
  3. Wähle auf der Seite OAuth-Client-ID erstellen für Anwendungsart die Option Web-Anwendung aus.
  4. Gib folgende Informationen ein:
    Gib für Name einen Namen für die OAuth-Client-ID ein.
    Gib für Autorisierte JavaScript-Ursprünge die Amazon-Cognito-Domain ein, zum Beispiel: https://yourDomainPrefix.auth.region.amazoncognito.com.
    Hinweis: Ersetze yourDomainPrefix und region durch die Werte für den Benutzerpool. Um diese Werte zu finden, öffne die Amazon Cognito-Konsole und navigiere zur Seite Domainname für den Benutzerpool.
    Gib für Authorized redirect URIs https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/idpresponse ein.
    Hinweis: Ersetze yourDomainPrefix und region durch die Werte für den Benutzerpool.
  5. Notiere dir im Dialogfeld OAuth Client die Client-ID und den Client-Schlüssel, die in einem späteren Schritt verwendet werden sollen.

Weitere Informationen findest du unter Verwenden von OAuth 2.0 für den Zugriff auf Google APIs auf der Google Identity-Website.

Konfigurieren von Google als Verbund-IdP im Benutzerpool

Führe die folgenden Schritte aus:

  1. Öffne die Amazon-Cognito-Konsole und wähle dann Benutzerpools aus.
  2. Wähle den Benutzerpool aus.
  3. Wähle die Registerkarte Anmeldeerlebnis aus.
  4. Wähle unter Anmeldung als Verbundidentitätsanbieter die Option Identitätsanbieter hinzufügen.
  5. Wähle Google aus.
  6. Gib unter Google-Verbund mit diesem Nutzerpool einrichten die folgenden Informationen ein:
    Gib unter Client-ID die Client-ID ein, die du notiert hast.
    Gib für Client-Geheimnis das Client-Geheimnis ein, das du notiert hast.
    Gib für Autorisierte Bereiche die OpenID der Profil-E-Mail ein.
  7. Ordne unter Attribute zwischen Google und dem Nutzerpool zuordnen das Nutzerpool-Attribut E-Mail dem Google-Attribut E-Mail zu.
  8. Wähle Ein weiteres Attribut hinzufügen und ordne das Benutzerpool-Attribut Benutzername dem Google-Attribut Benutzername zu.
  9. Wähle Identitätsanbieter hinzufügen aus.

Ändern der App-Client-Einstellungen für den Benutzerpool

Hinweis: In den App-Client-Einstellungen müssen die zugewiesenen Benutzerpool-Attribute beschreibbar sein. Weitere Informationen findest du unter Angeben von Identitätsanbieter-Attributzuordnungen für den Benutzerpool.

Führe die folgenden Schritte aus:

  1. Öffne die Amazon-Cognito-Konsole und wähle dann den Benutzerpool aus.
  2. Wähle die Registerkarte App-Integration.
  3. Wähle unter App-Client-Liste die Option App-Client erstellen aus.
  4. Gib folgende Informationen ein:
    Wähle als App-Typ die Option Öffentlicher Client aus und gib dann einen Namen für den App-Client ein.
    Wähle für Authentifizierungsabläufe ALLOW_USER_PASSWORD_AUTH und ALLOW_REFRESH_TOKEN_AUTH aus.
    Gib für Zugelassen Callback-URL(s) die URL ein, zu der die Benutzer nach der Anmeldung weitergeleitet werden sollen. Gib zum Testen eine gültige URL ein, z. B. https://www.example.com/.
    Gib unter Abmelde-URL(s) die URL ein, zu der die Benutzer nach dem Abmelden weitergeleitet werden sollen. Gib zum Testen eine gültige URL ein, z. B. https://www.example.com/.
    Wähle für Identitätsanbieter die Optionen Cognito-Benutzerpool und Google aus.
    Wähle für den OAuth 2.0-Gewährungstyp die Option Implizite Gewährung aus.
    Wähle für OpenID-Connect-Bereiche die Optionen E-Mail, openid und Profil aus.
    Wichtig: Der implizite OAuth-Gewährungsablauf dient nur zu Testzwecken. Es hat sich bewährt, die Autorisierungscode-Gewährungtyp für Produktionssysteme zu verwenden.
  5. Wähle App-Client erstellen aus.

Weitere Informationen findest du unter Nutzungsbedingungen für App-Clients.

Erstellen der Endpunkt-URL

Verwende die Werte aus dem Benutzerpool, um die URL des Anmeldeendpunkts für das von Amazon Cognito gehostete Web-UI zu erstellen.

Beispiel-URL: https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl

Hinweis: Ersetze yourDomainPrefix und region durch die Werte für den Benutzerpool. Um diese Werte zu finden, öffne die Amazon Cognito-Konsole und navigiere zur Seite Domainname für den Benutzerpool. Ersetze yourClientId durch die ID des Amazon Cognito-App-Clients und redirectUrl durch die Callback-URL des App-Clients. Diese Werte findest du auf der Seite App-Client-Einstellungen für den Benutzerpool.

Weitere Informationen findest du unter Anmeldungs-Endpunkt.

Testen der Endpunkt-URL

Führe die folgenden Schritte aus:

  1. Gib die URL des Anmeldeendpunkts im Webbrowser ein.
  2. Wähle auf der Webseite des Anmeldeendpunkts Weiter mit Google aus.
    Hinweis: Wenn du zur Callback-URL des Amazon-Cognito-App-Clients weitergeleitet wirst, bist du im Browser bereits beim Google-Konto angemeldet. Die Benutzerpool-Token werden in der URL in der Adressleiste des Webbrowsers angezeigt.
  3. Wähle unter Mit Google anmelden das Google-Konto aus und melde dich an.

Nach der Authentifizierung wirst du zur Callback-URL des Amazon Cognito-App-Clients weitergeleitet. Die vom Benutzerpool ausgegebenen JSON-Web-Tokens (JWT) werden in der URL in der Adressleiste des Webbrowsers angezeigt.

Hinweis: Ein JavaScript-SDK generiert die URL des Anmeldeendpunkts. Dieses SDK analysiert auch die JWT-Token in der URL.

Ähnliche Informationen

Verwendung von Anbietern sozialer Identitäten mit einem Benutzerpool

Hinzufügen einer Benutzerpool-Anmeldung über einen Drittanbieter

AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr