Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie richte ich meinen Application Load Balancer ein, um Benutzer über einen Amazon-Cognito-Benutzerpool in einem anderen AWS-Konto zu authentifizieren?

Lesedauer: 4 Minute
0

Ich möchte die Amazon Cognito-Authentifizierung mit meinem Application Load Balancer über einen Amazon Cognito-Benutzerpool verwenden. Mein Benutzerpool befindet sich jedoch in einem anderen AWS-Konto.

Lösung

In der folgenden Lösung ist Konto B das Konto, dem der Application Load Balancer gehört und Konto A ist das Konto, dem der Benutzerpool gehört.

Einen Application Load Balancer erstellen

Wenn du bereits über einen Application Load Balancer verfügst, fahre mit dem nächsten Abschnitt fort.

Wenn du keinen Application Load Balancer hast, erstelle einen mit einem HTTPS-Listener.

Hinweis: Nur HTTPS-Listener unterstützen die Regelaktionstypen authenticate-cognito und authenticate-oidc.

Den DNS-Namen des Application Load Balancers in Konto B abrufen

Führe die folgenden Schritte in Konto B aus:

  1. Öffne die Amazon Elastic Compute Cloud (Amazon EC2)-Konsole.
  2. Wähle im Navigationsbereich Load Balancers aus.
  3. Wähle deinen Application Load Balancer aus.
  4. Notiere dir auf der Registerkarte Beschreibung den DNS-Namen des Load Balancers, den du in einem späteren Schritt verwenden möchtest.

Einen Benutzerpool in Konto A erstellen und konfigurieren

Wenn du bereits einen Benutzerpool in dem anderen Konto hast, fahre mit dem nächsten Abschnitt fort.

Wenn du keinen Benutzerpool hast, führe die folgenden Schritte in Konto A aus:

  1. Erstelle einen Amazon Cognito-Benutzerpool mit einem App-Client.
    Hinweis: Wenn du einen App-Client erstellst, kannst du eine von vier Optionen wählen: herkömmliche Web-App, Single-Page-App, mobile App und M2M-Authentifizierung. Wenn du dich für eine herkömmliche Web-App oder M2M-Authentifizierung entscheidest, wird ein App-Client mit einem Client-Geheimnis generiert.
  2. Öffne die Amazon-Cognito-Konsole.
  3. Notiere dir im Abschnitt Benutzerpool-Übersicht für den Benutzerpool die Benutzerpool-ID, die du in einem späteren Schritt verwenden möchtest.
  4. Wähle auf der Registerkarte Branding die Option Domain. Füge einen Amazon Cognito-Domainnamen für den Benutzerpool hinzu. Der Domainname ist ein eindeutiges Domainpräfix, das die von Cognito gehostete Benutzeroberfläche benötigt.
  5. Wähle unter Anwendungen die Option App-Clients.
  6. Wähle den App-Client aus, den du aktualisieren möchtest.
  7. Führe auf der App-Client-Seite die folgenden Schritte aus:
    Aktiviere Client-Geheimnis anzeigen.
    Notiere dir die App-Client-ID und den App-Client-Schlüssel, um sie in einem späteren Schritt zu verwenden.
  8. Füge unter Gehostete Benutzeroberfläche die Callback-URLs https://load-balancer-dns-name/oauth2/idpresponse und https://custom-domain-name/oauth2/idpresponse hinzu.
  9. Wähle für Autorisierungscode erteilen die Option „OAuth 2.0-Erteilungstypen“.
  10. Wähle openid für OAuth 2.0-Bereiche.
  11. Wähle Änderungen speichern.

Die OIDC-Konfigurationsdetails des Benutzerpools abrufen

Um den Benutzerpool als OpenID Connect (OIDC) Identity Provider (IdP) auf dem Application Load Balancer einzurichten, musst du die OIDC-Konfigurations-Endpunktdetails abrufen.

Gehe wie folgt vor, um die Konfigurationsdetails abzurufen:

  1. Gib im Browser die URL https://cognito-idp.region.amazonaws.com/userPoolId/.well-known/openid-configuration ein.
    Hinweis: Ersetze Region durch die AWS-Region des Benutzerpools, z. B. us-east-1, und userPoolId durch die ID des Benutzerpools.
  2. Notiere dir in der JSON-Antwort, die im Browser angezeigt wird, die Werte aus den folgenden Feldern:
    authorization_endpoint
    issuer
    scopes_supported
    token_endpoint
    userinfo_endpoint

Application Load Balancer in Konto B konfigurieren

Führe die folgenden Schritte in Konto B aus:

  1. Öffne die Amazon-EC2-Konsole.
  2. Wähle deinen Application Load Balancer aus.
  3. Wähle auf der Registerkarte Listener und Regeln die Regel „HTTPS:443“ aus.
  4. Wähle unter Regeln verwalten die Option Regel bearbeiten aus.
  5. Wähle die Standardregeln aus.
  6. Wähle unter Aktionen die Option Regel bearbeiten aus.
  7. Wähle unter Aktion Standard die Option Benutzer authentifizieren aus.
    Hinweis: OIDC-Identitätsanbieter ist standardmäßig ausgewählt.
  8. Gib die Werte, die du notiert hast, in die folgenden Felder ein:
    Gib für Aussteller den Aussteller-Wert ein.
    Gib für Authorisierungs-Endpunkt den Wert „authorization_endpoint“ ein.
    Gib für Token-Endpunkt den Wert „token_endpoint“ ein.
    Gib für Benutzerinfo-Endpunkt den Wert „userinfo_endpoint“ ein.
    Gib als Client-ID die App-Client-ID ein.
    Gib für Client_Geheimnis das App-Client-Geheimnis ein.
  9. Wähle Speichern aus.

Testen des Setups

Führe die folgenden Schritte aus:

  1. Gib im Browser die URL des Application Load Balancers ein.
  2. Stelle sicher, dass du zur von Cognito gehosteten Benutzeroberfläche weitergeleitet wurdest.
  3. Melde dich mit gültigen Benutzeranmeldeinformationen an.

Hinweis: Um Fehler zu vermeiden, stelle sicher, dass alle URLs Kleinbuchstaben verwenden.

Ähnliche Informationen

Vereinfachen der Anmeldung mit der integrierten Application-Load-Balancer-Authentifizierung

Authentifizieren von Benutzern mithilfe eines Application Load Balancer

Listener-Regeln für deinen Application Load Balancer

IdP-Authentifizierungsablauf für OIDC-Benutzerpools

Themen
Security, Identity, & Compliance
Tags
Amazon Cognito
Sprache
Deutsch
AWS OFFICIALAktualisiert vor 6 Monaten

Relevanter Inhalt