我计划使用 IAM
和 cognito
身份池作为 OIDC 或 SAML 提供商。
我的目标是在没有任何第三方集成的情况下使用 AWS 作为提供商。
我查看了 IAM Identity Provider
并阅读了文档 https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html,但似乎我需要从第三方提供商处为 SAML 提供 Metadata document
或为 OIDC 提供 Provider URL and audience
。
有没有办法使用 AWS 作为提供者?我不想使用任何其他提供商。
答案 0 :(得分:0)
如果这是您的高级目标:
那么 Cognito 用户池可能就是您正在寻找的。这将提供基于标准的端点,以便您可以以首选方式编写 UI 和 API。
如果我没记错的话,身份池是一种用于获取用于访问用户特定 AWS 资源的 AWS 特定令牌的非标准解决方案。您应该能够在需要时通过让用户池与身份池通信来使用它。
注意事项
从应用程序的角度来看,第一步通常总是定位 Open ID Connect 元数据端点 - UI 和 API 中的许多安全库都会使用它。
Cognito 不是最成熟的系统,并且有一些烦恼和局限性。因此,保持基于 OAuth 2.0 和 Open ID Connect 的解决方案是值得的,以便您拥有最佳的长期选择 - 并且可以在需要时切换提供商......