Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie richte ich Google als Verbundidentitätsanbieter in einem Amazon Cognito-Benutzerpool ein?

Lesedauer: 5 Minute
0

Ich möchte Google als Verbundidentitätsanbieter (IdP) in einem Amazon Cognito-Benutzerpool verwenden.

Lösung

Einen Amazon-Cognito-Benutzerpool erstellen

Erstelle eine neue Anwendung in der Amazon Cognito-Konsole.

Erstellen eines Google API Console-Projekts

Melde dich mit dem Google-Konto bei der Google API-Konsole an und erstelle dann ein Google Cloud-Projekt. Die Schritte findest du unter Mit Google für das Web auf der Google Identity-Website anmelden und Ein Google Cloud-Projekt erstellen auf der Google Workspace-Website.

Konfigurieren des OAuth-Zustimmungsbildschirms

Führe die folgenden Schritte aus:

  1. Öffne die Google API-Konsole.
  2. Wähle im Navigationsbereich OAuth-Zustimmungsbildschirm aus.
  3. Konfiguriere die folgenden Pflichtfelder auf dem Einwilligungsformular:
    Geben Sie für Anwendungsname einen Namen ein.
    Geben Sie für Authorisierte Domains amazoncognito.com ein.
    Wichtig: Du musst diese Domain eingeben, um die Amazon-Cognito-Domain zu verwenden, wenn du eine OAuth-Client-ID erstellst.
  4. Wähle Speichern aus.

Abrufen der Anmeldeinformationen für den OAuth 2.0-Client

Führe die folgenden Schritte aus:

  1. Öffne die Google API-Konsole.
  2. Wähle auf der Seite Anmeldeinformationen die Option Anmeldeinformationen erstellen.
  3. Wähle OAuth-Client-ID aus.
  4. Wähle auf der Seite OAuth-Client-ID erstellen für Anwendungsart die Option Web-Anwendung aus.
  5. Konfiguriere folgende Einstellungen:
    Gib für Name einen Namen für die OAuth-Client-ID ein.
    Gib für Autorisierte JavaScript-Ursprünge die Amazon-Cognito-Domain ein, wie zum Beispiel: https://yourDomainPrefix.auth.region.amazoncognito.com.
    Hinweis: Ersetze yourDomainPrefix durch die Domain des Benutzerpools und Region durch die AWS-Region des Benutzerpools. 
    Gehe wie folgt vor, um das Domainpräfix und die Region des Benutzerpools zu ermitteln:
    Öffne die Amazon-Cognito-Konsole.
    Wähle in der linken Navigationsleiste Benutzerpools aus.
    Wähle den Benutzerpool.
    Wähle im linken Navigationsmenü App-Integration aus. Scrolle zum Abschnitt Domain, um das Domainpräfix und die Region zu finden.
    Gib für Authorized redirect URIs https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/idpresponse ein.
    Hinweis: Ersetze yourDomainPrefix und Region durch die Werte für den Benutzerpool.
  6. Notiere dir im OAuth-Client-Dialogfeld die Client-ID und das Client-Geheimnis.

Konfigurieren von Google als Verbund-IdP im Benutzerpool

Verwende die Amazon Cognito-Konsole, um den Benutzerpool mit einem sozialen IdP zu konfigurieren und die folgenden Einstellungen zu konfigurieren:

  • Wähle für Einen Identitätsanbieter hinzufügen die Option Google aus.
  • Ordne unter Attribute zwischen Google und dem Benutzerpool zuordnen das Benutzerpool-Attribut E-Mail dem Google-Attribut E-Mail zu.

Ändern der App-Client-Einstellungen für den Benutzerpool

Hinweis: In den App-Client-Einstellungen müssen die zugewiesenen Benutzerpool-Attribute beschreibbar sein. Weitere Informationen findest du unter Zuordnung von IdP-Attributen zu Profilen und Tokens.

Führe die folgenden Schritte aus:

  1. Öffne die Amazon-Cognito-Konsole.
  2. Wähle Benutzerpools und dann den Benutzerpool aus.
  3. Wähle die Registerkarte App-Integration aus.
  4. Wähle unter App-Client-Liste die Option App-Client erstellen aus.
  5. Konfiguriere folgende Einstellungen:
    Wähle als App-Typ die Option Öffentlicher Client aus und gib dann einen Namen für den App-Client ein.
    Wähle für Authentifizierungsabläufe ALLOW_USER_PASSWORD_AUTH und ALLOW_REFRESH_TOKEN_AUTH aus.
    Gib für Zugelassen Rückruf-URL(s) die URL ein, an die du deine Benutzer nach der Anmeldung weiterleiten möchtest. Gib zum Testen eine gültige URL ein, z. B. https://www.example.com/.
    Gib unter Abmelde-URL(s) die URL ein, zu der du deine Benutzer nach dem Abmelden umleiten möchtest. Gib zum Testen eine gültige URL ein, z. B. https://www.example.com/.
    Wähle für Identitätsanbieter die Optionen Cognito-Benutzerpool und Google aus.
    Wähle für den OAuth 2.0-Gewährungstyp die Option Implizite Gewährung aus.
    Wähle für OpenID-Connect-Bereiche die Optionen E-Mail, openid und Profil aus.
    Wichtig: Der implizite OAuth-Gewährungsablauf dient nur zu Testzwecken. Es hat sich bewährt, die Autorisierungscode-Gewährungtyp für Produktionssysteme zu verwenden.
  6. Wähle App-Client erstellen aus.

Weitere Informationen zu App-Client-Einstellungen findest du unter App-Client-Nutzungsbedingungen.

Erstellen der Endpunkt-URL

Verwende das folgende Format, um die URL des Anmeldeendpunkts für das von Amazon Cognito gehostete Web-UI zu erstellen:

https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl

Hinweis: Ersetze yourDomainPrefix durch die Domain des Benutzerpools und Region durch die Region des Benutzerpools. Ersetze yourClientId durch die ID des Amazon Cognito-App-Clients und redirectUrl durch die Callback-URL des App-Clients.

Befolge die folgenden Schritte, um das Domainpräfix und die Region des Benutzerpools zu ermitteln:

  1. Öffne die Amazon-Cognito-Konsole.
  2. Wähle in der linken Navigationsleiste **Benutzerpools ** aus.
  3. Wähle den Benutzerpool aus.
  4. Wähle im linken Navigationsmenü App-Integration aus.
  5. Scrolle zum Abschnitt Domain, um das Domainpräfix und die Region zu finden.

Gehe wie folgt vor, um die ClientID und redirectUrl zu finden:

  1. Öffne die Amazon-Cognito-Konsole.
  2. Wähle in der linken Navigationsleiste Benutzerpools.
  3. Wähle den Benutzerpool aus.
  4. Wähle im linken Navigationsmenü App-Integration aus.
  5. Scrolle zu App-Clients, um die ClientID und RedirectUrl zu finden.
    Hinweis: Wähle den App-Client aus, um seine Details einschließlich der konfigurierten Umleitungs-URLs anzuzeigen.

Testen der Endpunkt-URL

Führe die folgenden Schritte aus:

  1. Gib die URL des Anmeldeendpunkts im Webbrowser ein.
  2. Wähle auf der Webseite des Anmeldeendpunkts Weiter mit Google aus.
    Hinweis: Wenn dich die Seite zur Callback-URL des Amazon-Cognito-App-Clients weiterleitet, bist du im Browser bereits beim Google-Konto angemeldet. Die Benutzerpool-Token werden in der URL in der Adressleiste des Webbrowsers angezeigt.
  3. Wähle unter Mit Google anmelden das Google-Konto aus und melde dich dann an.

Nach der Authentifizierung wirst du zur Callback-URL des Amazon Cognito-App-Clients weitergeleitet. Die vom Benutzerpool ausgegebenen JSON-Web-Tokens (JWT) werden in der URL in der Adressleiste des Webbrowsers angezeigt.

Ähnliche Informationen

Verwendung von Anbietern sozialer Identitäten mit einem Benutzerpool

Benutzerpool-Anmeldung bei externen Identitätsanbietern

APIs in der API-Konsole auf der Google-Hilfe-Website verwalten

Themen
Security, Identity, & Compliance
Tags
Amazon Cognito
Sprache
Deutsch

Ähnliche Videos

Sieh dir das Video von Shwetha an, um mehr zu erfahren (7:06)
Sieh dir das Video von Shwetha an, um mehr zu erfahren (7:06)
AWS OFFICIALAktualisiert vor 7 Monaten

Relevanter Inhalt