Wie richte ich Google als Verbundidentitätsanbieter in einem Amazon Cognito-Benutzerpool ein?
Ich möchte Google als Verbundidentitätsanbieter (IdP) in einem Amazon Cognito-Benutzerpool verwenden.
Behebung
Erstellen eines Amazon-Cognito-Benutzerpools mit einem App-Client und Domain-Namen
Führe die folgenden Schritte aus:
- Erstelle einen neuen Benutzerpool.
Hinweis: Beim Erstellen eines Benutzerpools wird standardmäßig das Standardattribut E-Mail ausgewählt. - Erstelle einen App-Client im Benutzerpool.
- Füge einen Domain-Namen für den Benutzerpool hinzu.
Erstellen eines Google API Console-Projekts
Führe die folgenden Schritte aus:
- Melde dich mit dem Google-Konto bei Google API Console an. Weitere Informationen findest du unter APIs in API Console verwalten auf der Google-Hilfe-Website.
- Wähle im Dashboard (APIs & Services) ERSTELLEN aus.
- Gib unter Neues Projekt einen Projektnamen ein.
- Wähle für Ort die Option BROWSEN aus, und wähle dann einen Speicherort aus.
- Wähle ERSTELLEN aus.
Weitere Informationen findest du unter Mit Google für Web anmelden auf der Google Identity-Website.
Konfigurieren des OAuth-Zustimmungsbildschirms
Führe die folgenden Schritte aus:
- Öffne die Google API Console und wähle dann im linken Navigationsbereich OAuth-Zustimmungsbildschirm aus.
- Fülle die folgenden Pflichtfelder auf dem Einwilligungsformular aus:
Gib für Anwendungsname einen Namen ein.
Gib für Authorisierte Domains amazoncognito.com ein.
Wichtig: Du musst diese Domain eingeben, damit du die Amazon-Cognito-Domain verwenden kannst, wenn du eine OAuth-Client-ID erstellst. - Wähle Speichern.
Weitere Informationen findest du unter OAuth-Zustimmungsbildschirm abschließen auf der Google Workspace-Website.
Abrufen der Anmeldeinformationen für den OAuth 2.0-Client
Führe die folgenden Schritte aus:
- Öffne die Google API Console und wähle dann auf der Seite Anmeldeinformationen die Option Anmeldeinformationen erstellen aus.
- Wähle OAuth-Client-ID.
- Wähle auf der Seite OAuth-Client-ID erstellen für Anwendungsart die Option Web-Anwendung aus.
- Gib folgende Informationen ein:
Gib für Name einen Namen für die OAuth-Client-ID ein.
Gib für Autorisierte JavaScript-Ursprünge die Amazon-Cognito-Domain ein, zum Beispiel: https://yourDomainPrefix.auth.region.amazoncognito.com.
Hinweis: Ersetze yourDomainPrefix und region durch die Werte für den Benutzerpool. Um diese Werte zu finden, öffne die Amazon Cognito-Konsole und navigiere zur Seite Domainname für den Benutzerpool.
Gib für Authorized redirect URIs https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/idpresponse ein.
Hinweis: Ersetze yourDomainPrefix und region durch die Werte für den Benutzerpool. - Notiere dir im Dialogfeld OAuth Client die Client-ID und den Client-Schlüssel, die in einem späteren Schritt verwendet werden sollen.
Weitere Informationen findest du unter Verwenden von OAuth 2.0 für den Zugriff auf Google APIs auf der Google Identity-Website.
Konfigurieren von Google als Verbund-IdP im Benutzerpool
Führe die folgenden Schritte aus:
- Öffne die Amazon-Cognito-Konsole und wähle dann Benutzerpools aus.
- Wähle den Benutzerpool aus.
- Wähle die Registerkarte Anmeldeerlebnis aus.
- Wähle unter Anmeldung als Verbundidentitätsanbieter die Option Identitätsanbieter hinzufügen.
- Wähle Google aus.
- Gib unter Google-Verbund mit diesem Nutzerpool einrichten die folgenden Informationen ein:
Gib unter Client-ID die Client-ID ein, die du notiert hast.
Gib für Client-Geheimnis das Client-Geheimnis ein, das du notiert hast.
Gib für Autorisierte Bereiche die OpenID der Profil-E-Mail ein. - Ordne unter Attribute zwischen Google und dem Nutzerpool zuordnen das Nutzerpool-Attribut E-Mail dem Google-Attribut E-Mail zu.
- Wähle Ein weiteres Attribut hinzufügen und ordne das Benutzerpool-Attribut Benutzername dem Google-Attribut Benutzername zu.
- Wähle Identitätsanbieter hinzufügen aus.
Ändern der App-Client-Einstellungen für den Benutzerpool
Hinweis: In den App-Client-Einstellungen müssen die zugewiesenen Benutzerpool-Attribute beschreibbar sein. Weitere Informationen findest du unter Angeben von Identitätsanbieter-Attributzuordnungen für den Benutzerpool.
Führe die folgenden Schritte aus:
- Öffne die Amazon-Cognito-Konsole und wähle dann den Benutzerpool aus.
- Wähle die Registerkarte App-Integration.
- Wähle unter App-Client-Liste die Option App-Client erstellen aus.
- Gib folgende Informationen ein:
Wähle als App-Typ die Option Öffentlicher Client aus und gib dann einen Namen für den App-Client ein.
Wähle für Authentifizierungsabläufe ALLOW_USER_PASSWORD_AUTH und ALLOW_REFRESH_TOKEN_AUTH aus.
Gib für Zugelassen Callback-URL(s) die URL ein, zu der die Benutzer nach der Anmeldung weitergeleitet werden sollen. Gib zum Testen eine gültige URL ein, z. B. https://www.example.com/.
Gib unter Abmelde-URL(s) die URL ein, zu der die Benutzer nach dem Abmelden weitergeleitet werden sollen. Gib zum Testen eine gültige URL ein, z. B. https://www.example.com/.
Wähle für Identitätsanbieter die Optionen Cognito-Benutzerpool und Google aus.
Wähle für den OAuth 2.0-Gewährungstyp die Option Implizite Gewährung aus.
Wähle für OpenID-Connect-Bereiche die Optionen E-Mail, openid und Profil aus.
Wichtig: Der implizite OAuth-Gewährungsablauf dient nur zu Testzwecken. Es hat sich bewährt, die Autorisierungscode-Gewährungtyp für Produktionssysteme zu verwenden. - Wähle App-Client erstellen aus.
Weitere Informationen findest du unter Nutzungsbedingungen für App-Clients.
Erstellen der Endpunkt-URL
Verwende die Werte aus dem Benutzerpool, um die URL des Anmeldeendpunkts für das von Amazon Cognito gehostete Web-UI zu erstellen.
Beispiel-URL: https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl
Hinweis: Ersetze yourDomainPrefix und region durch die Werte für den Benutzerpool. Um diese Werte zu finden, öffne die Amazon Cognito-Konsole und navigiere zur Seite Domainname für den Benutzerpool. Ersetze yourClientId durch die ID des Amazon Cognito-App-Clients und redirectUrl durch die Callback-URL des App-Clients. Diese Werte findest du auf der Seite App-Client-Einstellungen für den Benutzerpool.
Weitere Informationen findest du unter Anmeldungs-Endpunkt.
Testen der Endpunkt-URL
Führe die folgenden Schritte aus:
- Gib die URL des Anmeldeendpunkts im Webbrowser ein.
- Wähle auf der Webseite des Anmeldeendpunkts Weiter mit Google aus.
Hinweis: Wenn du zur Callback-URL des Amazon-Cognito-App-Clients weitergeleitet wirst, bist du im Browser bereits beim Google-Konto angemeldet. Die Benutzerpool-Token werden in der URL in der Adressleiste des Webbrowsers angezeigt. - Wähle unter Mit Google anmelden das Google-Konto aus und melde dich an.
Nach der Authentifizierung wirst du zur Callback-URL des Amazon Cognito-App-Clients weitergeleitet. Die vom Benutzerpool ausgegebenen JSON-Web-Tokens (JWT) werden in der URL in der Adressleiste des Webbrowsers angezeigt.
Hinweis: Ein JavaScript-SDK generiert die URL des Anmeldeendpunkts. Dieses SDK analysiert auch die JWT-Token in der URL.
Ähnliche Informationen
Verwendung von Anbietern sozialer Identitäten mit einem Benutzerpool
Hinzufügen einer Benutzerpool-Anmeldung über einen Drittanbieter

Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 4 Jahren
- AWS OFFICIALAktualisiert vor einem Monat
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren