Как использовать Amazon Cognito в качестве поставщика удостоверений OpenID SSO
В настоящее время мы используем Google в качестве поставщика удостоверений OpenID для нашей веб-платформы. Нам нужно отойти от этого. Я открыл для себя Amazon Cognito (мы уже используем EC2 / S3 и все остальное).
Я обнаружил здесь well_known: https://cognito-idp.us-east-1.amazonaws.com/us-east-1_UxUwcIy3y/.well-known/openid-configuration
Затем я взял точка авторизации https://cognito-idp.us-east-1.amazonaws.com/us-east-1_UxUwcIy3y .
Однако независимо от того, что я ей передаю, включая response_type , scope , client_id , redirect_uri , он всегда дает мне:
{"code": "BadRequest", "message": "Сервер не понял запрошенную операцию.", "type": "client"}
Без другой информации.
Похоже, что нет какой-либо общедоступной документации по этой функции . Возможно ли то, что я пытаюсь сделать (заставить Cognito действовать как Google OpenID IDP)? Есть ли у кого-нибудь документация относительно того, что передать в authorization_endpoint. Я понимаю, что мобильный SDK Amazon Cognito позволяет встраивать систему единого входа в приложения, но, возможно, это невозможно сделать так, как я. Я уже настроил пул пользователей.
Я столкнулся с той же проблемой.
К сожалению, похоже, что OpenId Connect все еще не поддерживается для пользовательских пулов Cognito, и вам придется использовать пулы идентификации. На форуме AWS я нашел следующий ответ:
Конечная точка авторизации в настоящее время является просто заполнителем для нашей будущей версии, в которой я могу действовать как IDP OpenId, но на сегодняшний день она ничего не делает, и ожидаемая ошибка. Мы будем рассматривать это как запрос функции для наших будущих выпусков.
Как ни странно, потому что документация Использование токенов с пользовательскими пулами ссылается на спецификацию OpenId Connect.