Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfigurieren von Identitätsanbietern für Ihren Benutzerpool.
<a name="cognito-user-pools-identity-provider"></a>

Mit Benutzerpools können Sie die Anmeldung über eine Vielzahl von externen Identitätsanbietern () IdPs implementieren. Dieser Abschnitt des Handbuchs enthält Anweisungen zur Einrichtung dieser Identitätsanbieter mit Ihrem Benutzerpool in der Amazon Cognito Cognito-Konsole. Alternativ können Sie die Benutzerpools-API und ein AWS SDK verwenden, um Benutzerpool-Identitätsanbieter programmgesteuert hinzuzufügen. Weitere Informationen finden Sie unter [CreateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateIdentityProvider.html).

Zu den unterstützten Identitätsanbieter-Optionen gehören soziale Anbieter wie Facebook, Google und Amazon sowie OpenID Connect (OIDC) und SAML 2.0-Anbieter. Bevor Sie beginnen, richten Sie sich Administratoranmeldedaten für Ihren IdP ein. Für jeden Anbietertyp müssen Sie Ihre Anwendung registrieren, die erforderlichen Anmeldeinformationen abrufen und dann die Anbieterdetails in Ihrem Benutzerpool konfigurieren. Ihre Benutzer können sich dann mit ihren bestehenden Konten bei den verbundenen Identitätsanbietern bei Ihrer Anwendung registrieren und anmelden.

Das Menü **Soziale und externe Anbieter** unter **Authentifizierung** fügt den Benutzerpool hinzu und aktualisiert ihn IdPs. Weitere Informationen finden Sie unter [Benutzerpool-Anmeldung mit externen Identitätsanbietern](cognito-user-pools-identity-federation.md).

**Topics**
+ [Einrichten der Benutzeranmeldung mit einem sozialen IdP](#cognito-user-pools-facebook-provider)
+ [Einrichten der Benutzeranmeldung mit einem OIDC IdP](#cognito-user-pools-oidc-providers)
+ [Einrichten der Benutzeranmeldung mit einem SAML IdP](#cognito-user-pools-saml-providers)

## Einrichten der Benutzeranmeldung mit einem sozialen IdP
<a name="cognito-user-pools-facebook-provider"></a>

Sie können einen Verbund für Amazon-Cognito-Benutzerpools verwenden, um eine Integration von sozialen Identitäts-Anbietern vorzunehmen, wie Facebook, Google oder Login with Amazon.

Um einen Social Identity-Anbieter hinzuzufügen, erstellen Sie zunächst ein Entwickler-Konto bei dem Identitätsanbieter. Sobald Sie Ihr Entwicklerkonto haben, registrieren Sie Ihre Anwendung beim Identitätsanbieter. Der Identitätsanbieter erstellt eine App-ID und einen geheimen App-Schlüssel für Ihre Anwendung, und Sie konfigurieren diese Werte in Ihrem Amazon-Cognito-Benutzerpool.
+ [Google Identity Platform](https://developers.google.com/identity/)
+ [Facebook for Developers](https://developers.facebook.com/docs/facebook-login)
+ [Login mit Amazon](https://developer.amazon.com/login-with-amazon)
+ [Mit Apple anmelden](https://developer.apple.com/sign-in-with-apple/)

**So integrieren Sie die Benutzeranmeldung mit einem sozialen IdP**

1. Melden Sie sich bei der [Amazon Cognito-Konsole](https://console.aws.amazon.com/cognito/home) an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

1. Wählen Sie im Navigationsbereich erst **User Pools** (Benutzerpools) aus und anschließend den Benutzerpool, den Sie bearbeiten möchten.

1. Wählen Sie das Menü **Soziale Netzwerke und externe Anbieter**.

1. Wählen Sie **Add an identity provider** (Identitätsanbieter hinzufügen) aus oder den **Facebook**-, **Google**-, **Amazon**- oder **Apple**-Identitätsanbieter, den Sie konfiguriert haben. Suchen Sie danach nach **Identity provider information** (Informationen zu Identitätsanbietern) und wählen Sie **Edit** (Bearbeiten) aus. Weitere Informationen zum Hinzufügen eines Social-Identity-Anbieters finden Sie unter [Verwenden von Anbietern für soziale Identitäten mit einem Benutzerpool](cognito-user-pools-social-idp.md).

1. Geben Sie die Informationen Ihres Social-Identity-Anbieters ein, indem Sie je nach Wahl des IdP einen der folgenden Schritte ausführen:  
**Für Facebook, Google und Login with Amazon:**  
Geben Sie die App-ID und den geheimen App-Schlüssel ein, den Sie beim Erstellen Ihrer Client-App erhalten haben.  
**Mit Apple anmelden**  
Geben Sie die Service-ID ein, die Sie bei Apple angegeben haben, sowie die Team-ID, Schlüssel-ID und den privaten Schlüssel, den Sie beim Erstellen Ihres App-Clients erhalten haben.

1. Für **Authorize scopes** (Bereiche autorisieren) geben Sie den Namen der Social-Identity-Anbieterbereiche ein, die Sie Benutzerpool-Attributen zuordnen möchten. Bereiche definieren, auf welche Benutzerattribute (z. B. Name und E-Mail-Adresse) Sie mit Ihrer Anwendung zugreifen möchten. Verwenden Sie bei der Eingabe von Bereichen die folgenden Richtlinien basierend auf Ihrer Wahl des IdP:
   + **Facebook** – Trennen Sie Bereiche durch Kommas. Beispiel:

     `public_profile, email`
   + **Google, Login with Amazon und Mit Apple anmelden** – Trennen Sie Bereiche durch Leerzeichen. Beispiel:
     + **Google:** `profile email openid`
     + **Login with Amazon:** `profile postal_code`
     + **Mit Apple anmelden:** `name email`
**Anmerkung**  
Verwenden Sie für „Mit Apple anmelden“ (Konsole) die Kontrollkästchen zur Auswahl des Bereichs.

1. Wählen Sie **Änderungen speichern ** aus.

1. Wählen Sie im Menü **App-Clients** einen App-Client aus der Liste aus und wählen Sie dann **Bearbeiten** aus. Fügen Sie unter **Identity providers** (Identitätsanbieter) den neuen Social-Identity-Anbieter zum App-Client hinzu.

1. Wählen Sie **Änderungen speichern ** aus.

Weitere Informationen zu sozialen IdPs Netzwerken finden Sie unter[Verwenden von Anbietern für soziale Identitäten mit einem Benutzerpool](cognito-user-pools-social-idp.md).

## Einrichten der Benutzeranmeldung mit einem OIDC IdP
<a name="cognito-user-pools-oidc-providers"></a>

Sie können die Benutzeranmeldung in einen OpenID Connect (OIDC)-Identitätsanbieter integrieren, z. B. Salesforce oder Ping Identity.

**So fügen Sie einem Benutzerpool einen OIDC-Anbieter hinzu**

1. Melden Sie sich bei der [Amazon-Cognito-Konsole](https://console.aws.amazon.com/cognito/home) an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

1. Wählen Sie **User Pools** (Benutzerpools) aus dem Navigationsmenü aus.

1. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder [erstellen Sie einen neuen Benutzerpool](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Wählen Sie das Menü **Soziale Netzwerke und externe Anbieter** und wählen Sie **Identitätsanbieter hinzufügen** aus.

1. Wählen Sie einen **OpenID-Connect-Identitätsanbieter** aus.

1. Geben Sie einen eindeutigen Namen in **Provider name** (Anbietername) ein.

1. Geben Sie die Kunden-ID, die Sie von Ihrem Anbieter erhalten haben, in **Client ID** (Client-ID) ein.

1. Geben Sie das Kundengeheimnis, das Sie von Ihrem Anbieter erhalten haben, in **Client secret** (Client-Geheimnis) ein.

1. Geben Sie **Authorized scopes** (Autorisierte Bereiche) für diesen Anbieter ein. Bereiche definieren, welche Gruppen von Benutzerattributen (z. B. `name` und `email`) Ihre Anwendung von Ihrem Anbieter anfordert. Bereiche müssen gemäß der [OAuth 2.0-Spezifikation](https://tools.ietf.org/html/rfc6749#section-3.3) durch Leerzeichen getrennt werden.

   Ihr Benutzer wird aufgefordert, dem Versand dieser Attribute an Ihre Anwendung zuzustimmen.

1. Wählen Sie eine **Attributanforderungsmethode** aus, um Amazon Cognito die HTTP-Methode (entweder GET oder POST) bereitzustellen, mit der Amazon Cognito die Details des Benutzers vom Endpunkt **userInfo** abruft, der von Ihrem Anbieter betrieben wird.

1. Wählen Sie eine **Einrichtungsmethode**, um OpenID-Connect-Endpunkte abzurufen, entweder durch **Auto fill through issuer URL** (Automatisches Ausfüllen durch Aussteller-URL) oder **Manual input** (Manuelle Eingabe). Verwenden **Sie das automatische Ausfüllen der Aussteller-URL**, wenn Ihr Anbieter über einen öffentlichen `.well-known/openid-configuration` Endpunkt verfügt, an dem Amazon Cognito die URLs Endpunkte`authorization`, `token``userInfo`, und `jwks_uri` abrufen kann.

1. Geben Sie die Aussteller-URL oder`authorization`, `token``userInfo`, und den `jwks_uri` Endpunkt URLs Ihres IdP ein.
**Anmerkung**  
Sie können nur die Portnummern 443 und 80 mit Erkennung verwenden, die automatisch ausgefüllt und manuell eingegeben wurden URLs. Benutzeranmeldungen schlagen fehl, wenn Ihr OIDC-Anbieter nicht standardmäßige TCP-Ports verwendet.  
Die Aussteller-URL muss mit `https://` beginnen und darf nicht mit dem Zeichen `/` enden. Beispielsweise verwendet Salesforce diese URL:  
`https://login.salesforce.com`   
Das mit Ihrer Aussteller-URL verknüpfte `openid-configuration` Dokument muss HTTPS URLs für die folgenden Werte enthalten:`authorization_endpoint`, `token_endpoint``userinfo_endpoint`, und. `jwks_uri` Ebenso können Sie, wenn Sie **Manuelle Eingabe** wählen, nur HTTPS URLs eingeben.

1. Standardmäßig wird **sub** des OIDC-Anspruchs dem Benutzerpool-Attribut **Username** (Benutzername) zugeordnet. Sie können Benutzerpool-Attributen weitere OIDC-[Ansprüche](https://openid.net/specs/openid-connect-basic-1_0.html#StandardClaims) hinzufügen. Geben Sie den OIDC-Anspruch ein, und wählen Sie das entsprechende Benutzerpool-Attribut aus der Dropdown-Liste aus. Beispielsweise wird der Anspruch **email (E-Mail)** häufig dem Benutzerpool-Attribut **Email (E-Mail)** hinzugefügt.

1. Ordnen Sie Ihrem Benutzerpool zusätzliche Attribute von Ihrem Identitätsanbieter zu. Weitere Informationen finden Sie unter [Geben Sie die Identitätsanbieter-Attributzuordnungen für Ihren Benutzerpool an](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-specifying-attribute-mapping.html).

1. Wählen Sie **Erstellen** aus.

1. Wählen Sie im Menü **App-Clients** einen App-Client aus der Liste aus. Um den neuen SAML-Identitätsanbieter zum App-Client hinzuzufügen, navigieren Sie zur Registerkarte **Anmeldeseiten** und wählen Sie in der **Konfiguration der verwalteten Anmeldeseiten** die Option **Bearbeiten** aus.

1. Wählen Sie **Änderungen speichern ** aus.

Weitere Informationen zu OIDC IdPs finden Sie unter. [Verwendung von OIDC-Identitätsanbietern mit einem Benutzerpool](cognito-user-pools-oidc-idp.md)

## Einrichten der Benutzeranmeldung mit einem SAML IdP
<a name="cognito-user-pools-saml-providers"></a>

Sie können einen Verbund für Amazon-Cognito-Benutzerpools zur Integration mit einem SAML-Identitätsanbieter (IdP) verwenden. Sie stellen ein Metadaten-Dokument bereit, entweder durch Hochladen der Datei oder durch das Angeben einer Metadaten-Dokument-Endpunkt-URL. Informationen zum Abrufen von Metadatendokumenten für SAML IdPs von Drittanbietern finden Sie unter. [Konfiguration Ihres externen SAML-Identitätsanbieters](cognito-user-pools-integrating-3rd-party-saml-providers.md)

**So konfigurieren Sie einen SAML-2.0-Identitätsanbieter in Ihrem Benutzerpool:**

1. Melden Sie sich bei der [Amazon-Cognito-Konsole](https://console.aws.amazon.com/cognito/home) an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

1. Wählen Sie **User Pools** (Benutzerpools) aus.

1. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder [erstellen Sie einen neuen Benutzerpool](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Wählen Sie das Menü **Soziale Netzwerke und externer Anbieter** und wählen Sie **Identitätsanbieter hinzufügen** aus.

1. Wählen Sie einen **SAML**-Identitätsanbieter aus.

1. Geben Sie **IDs** durch Kommas getrennt ein. Eine ID weist Amazon Cognito an, dass die E-Mail-Adresse zu überprüfen, die ein Benutzer bei der Anmeldung eingibt. Anschließend wird der Benutzer zu dem Anbieter weitergeleitet, der seiner Domäne entspricht.

1. Wählen Sie **Add sign-out flow** (Abmeldeablauf hinzufügen) aus, wenn Amazon Cognito signierte Abmeldeanfragen an Ihren Anbieter senden soll, wenn sich ein Benutzer abmeldet. Konfigurieren Sie Ihren SAML 2.0-Identitätsanbieter so, dass er Abmeldeantworten an den `https://mydomain.auth.us-east-1.amazoncognito.com/saml2/logout` Endpunkt sendet, den Amazon Cognito erstellt, wenn Sie die verwaltete Anmeldung konfigurieren. Dieser `saml2/logout`-Endpunkt verwendet POST-Binding.
**Anmerkung**  
Wenn Sie diese Option auswählen und Ihr SAML-Identitätsanbieter eine signierte Abmeldeanforderung erwartet, müssen Sie auch das Signaturzertifikat konfigurieren, das von Amazon Cognito mit Ihrem SAML-IdP bereitgestellt wird.   
Der SAML-IdP verarbeitet die signierte Abmeldeanforderung und die Abmeldung Ihres Benutzers von der Amazon-Cognito-Sitzung.

1. Wählen Sie eine **Metadaten-Dokumentquelle** aus. Wenn Ihr Identitätsanbieter SAML-Metadaten unter einer öffentlichen URL anbietet, können Sie **Metadata document URL** (URL für Metadatendokumente) auswählen und die öffentliche URL eingeben. Wählen Sie andernfalls **Upload metadata document** (Hochladen eines Metadatendokuments) und anschließend eine Metadatendatei aus, die Sie zuvor von Ihrem Anbieter heruntergeladen haben.
**Anmerkung**  
Wenn Ihr Anbieter einen öffentlichen Endpunkt besitzt, empfehlen wir Ihnen, eine Metadaten-Dokument-URL einzugeben und kein Dokument hochzuladen. Wenn Sie die URL verwenden, aktualisiert Amazon Cognito Metadaten automatisch. Normalerweise werden die Metadaten alle sechs Stunden oder bevor sie ablaufen aktualisiert, je nachdem, was zuerst eintritt.

1. **Ordnen Sie Attribute zwischen Ihrem SAML-Anbieter und Ihrer Anwendung zu**, um SAML-Anbieterattribute dem Benutzerprofil in Ihrem Benutzerpool zuzuordnen. Fügen Sie die erforderlichen Attribute Ihres Benutzerpools in Ihre Attributzuordnung ein. 

   Wenn Sie beispielsweise das **Benutzerpool-Attribut** `email`auswählen, geben Sie den SAML-Attributnamen so ein, wie dieser in der SAML-Assertion Ihres Identitätsanbieters angezeigt wird. Ihr Identitätsanbieter bietet möglicherweise SAML-Assertions als Referenz an. Einige Identitätsanbieter verwenden einfache Namen wie z. B. `email`, während andere URL-formatierte Attributnamen verwenden, die wie folgt aussehen:

   ```
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   ```

1. Wählen Sie **Erstellen** aus.

**Anmerkung**  
Falls die Meldung `InvalidParameterException` angezeigt wird, während Sie einen SAML-IdP mit HTTPS-Metadaten-Endpunkt-URL erstellen, stellen Sie sicher, dass der Metadaten-Endpunkt eine korrekte SSL hat und ein gültiges SSL-Zertifikat vorliegt. Ein Beispiel für eine solche Ausnahme wäre „Fehler beim Abrufen von Metadaten von“. *<metadata endpoint>*

**So richten Sie den SAML-IdP zum Hinzufügen eines Signaturzertifikats ein**
+ Gehen Sie wie folgt vor, um das Zertifikat zu erhalten, das den öffentlichen Schlüssel enthält, den der IdP zur Überprüfung der signierten Abmeldeanforderung verwendet:

  1. Gehen Sie in Ihrem Benutzerpool zum Menü **Soziale Dienste und externe Anbieter**.

  1. Wählen Sie Ihren SAML-Anbieter aus,

  1. Wählen Sie **Signaturzertifikat anzeigen**.

Weitere Informationen zu SAML IdPs finden Sie unter[Verwendung von SAML-Identitätsanbietern mit einem Benutzerpool](cognito-user-pools-saml-idp.md).