Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan penyedia identitas OIDC dengan kumpulan pengguna
<a name="cognito-user-pools-oidc-idp"></a>

Pengguna dapat masuk ke aplikasi Anda menggunakan akun mereka yang ada dari penyedia identitas OpenID Connect (OIDC) (). IdPs Dengan penyedia OIDC, pengguna sistem masuk tunggal independen dapat memberikan kredensyal yang ada saat aplikasi Anda menerima token OIDC dalam format bersama kumpulan pengguna. Untuk mengonfigurasi IdP OIDC, siapkan iDP Anda untuk menangani kumpulan pengguna Anda sebagai RP dan konfigurasikan aplikasi Anda untuk menangani kumpulan pengguna Anda sebagai iDP. Amazon Cognito berfungsi sebagai langkah perantara antara beberapa OIDC IdPs dan aplikasi Anda. Kumpulan pengguna Anda menerapkan aturan pemetaan atribut ke klaim di ID dan token akses yang diteruskan penyedia Anda langsung ke kumpulan pengguna Anda. [Amazon Cognito kemudian mengeluarkan token baru berdasarkan atribut pengguna yang dipetakan dan penyesuaian tambahan apa pun yang Anda buat pada alur otentikasi dengan pemicu Lambda.](cognito-user-pools-working-with-lambda-triggers.md#lambda-triggers-for-federated-users)

Pengguna yang masuk dengan OIDC iDP tidak diharuskan memberikan kredensi atau informasi baru untuk mengakses aplikasi kumpulan pengguna Anda. Aplikasi Anda dapat secara diam-diam mengarahkan mereka ke IDP mereka untuk login, dengan kumpulan pengguna sebagai alat di latar belakang yang menstandarisasi format token untuk aplikasi Anda. Untuk mempelajari lebih lanjut tentang pengalihan iDP, lihat. [Otorisasi titik akhir](authorization-endpoint.md)

Seperti penyedia identitas pihak ketiga lainnya, Anda harus mendaftarkan aplikasi Anda ke penyedia OIDC dan mendapatkan informasi tentang aplikasi IDP yang ingin Anda sambungkan ke kumpulan pengguna Anda. Kumpulan pengguna OIDC iDP memerlukan ID klien, rahasia klien, cakupan yang ingin Anda minta, dan informasi tentang titik akhir layanan penyedia. Kumpulan pengguna Anda dapat menemukan titik akhir OIDC penyedia dari titik akhir penemuan atau Anda dapat memasukkannya secara manual. Anda juga harus memeriksa token ID penyedia dan membuat pemetaan atribut antara iDP dan atribut di kumpulan pengguna Anda.

![\[Alur autentikasi IdP OIDC kolam pengguna\]](http://docs.aws.amazon.com/id_id/cognito/latest/developerguide/images/flow-cup-oidc-endpoints.png)


Lihat [Aliran otentikasi IDP kumpulan pengguna OIDC](cognito-user-pools-oidc-flow.md) untuk detail selengkapnya tentang alur autentikasi ini.

**catatan**  
Masuk melalui pihak ketiga (federasi) tersedia di kolam pengguna Amazon Cognito. Fitur ini independen dari federasi OIDC dengan kumpulan identitas Amazon Cognito.

Anda dapat menambahkan IdP OIDC ke kumpulan pengguna Anda di Konsol Manajemen AWS, melalui AWS CLI, atau dengan metode API kumpulan pengguna. [CreateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateIdentityProvider.html)

**Topics**
+ [Prasyarat](#cognito-user-pools-oidc-idp-prerequisites)
+ [Daftarkan aplikasi dengan IDP OIDC](#cognito-user-pools-oidc-idp-step-1)
+ [Tambahkan IdP OIDC ke kumpulan pengguna Anda](#cognito-user-pools-oidc-idp-step-2)
+ [Uji konfigurasi IDP OIDC Anda](#cognito-user-pools-oidc-idp-step-3)
+ [Aliran otentikasi IDP kumpulan pengguna OIDC](cognito-user-pools-oidc-flow.md)

## Prasyarat
<a name="cognito-user-pools-oidc-idp-prerequisites"></a>

Sebelum memulai, Anda perlu melakukan hal berikut:
+ Kumpulan pengguna dengan klien aplikasi dan domain kumpulan pengguna. Untuk informasi selengkapnya, lihat [Membuat kolam pengguna](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).
+ IdP OIDC dengan konfigurasi berikut: 
  + Mendukung otentikasi `client_secret_post` klien. Amazon Cognito tidak memeriksa `token_endpoint_auth_methods_supported` klaim di titik akhir penemuan OIDC untuk IDP Anda. Amazon Cognito tidak mendukung otentikasi `client_secret_basic` klien. Untuk informasi selengkapnya tentang otentikasi klien, lihat [Otentikasi Klien di dokumentasi](https://openid.net/specs/openid-connect-core-1_0.html#ClientAuthentication) OpenID Connect.
  + Hanya menggunakan HTTPS untuk endpoint OIDC seperti`openid_configuration`,, `userInfo` dan. `jwks_uri`
  + Hanya menggunakan port TCP 80 dan 443 untuk titik akhir OIDC.
  + Hanya menandatangani token ID dengan algoritma HMAC-SHA, ECDSA, atau RSA.
  + Menerbitkan `kid` klaim ID kunci di dalamnya `jwks_uri` dan menyertakan `kid` klaim dalam tokennya.
  + Menyajikan kunci publik yang tidak kedaluwarsa dengan rantai kepercayaan CA root yang valid.

## Daftarkan aplikasi dengan IDP OIDC
<a name="cognito-user-pools-oidc-idp-step-1"></a>

Sebelum menambahkan OIDC iDP ke konfigurasi kumpulan pengguna dan menetapkannya ke klien aplikasi, Anda menyiapkan aplikasi klien OIDC di iDP Anda. Kumpulan pengguna Anda adalah aplikasi relying-party yang akan mengelola otentikasi dengan IDP Anda.

**Untuk mendaftar dengan IdP OIDC**

1. Buat akun developer dengan IdP OIDC.  
**Tautan ke OIDC IdPs**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/cognito/latest/developerguide/cognito-user-pools-oidc-idp.html)

1. Daftarkan URL domain pool pengguna Anda dengan `/oauth2/idpresponse` endpoint dengan IDP OIDC Anda. Hal ini memastikan bahwa IdP OIDC nanti menerimanya dari Amazon Cognito ketika mengautentikasi pengguna.

   ```
   https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/idpresponse
   ```

1. Pilih [cakupan](cognito-user-pools-define-resource-servers.md#cognito-user-pools-define-resource-servers-about-scopes) yang ingin dibagikan direktori pengguna dengan kumpulan pengguna Anda. Ruang lingkup **openid** diperlukan untuk OIDC IdPs untuk menawarkan informasi pengguna apa pun. Ruang `email` lingkup diperlukan untuk memberikan akses ke `email` dan `email_verified` [klaim](https://openid.net/specs/openid-connect-basic-1_0.html#StandardClaims). Cakupan tambahan dalam spesifikasi OIDC adalah `profile` untuk semua atribut pengguna dan untuk dan`phone`. `phone_number` `phone_number_verified`

1. IdP OIDC memberi Anda ID klien dan rahasia klien. Perhatikan nilai-nilai ini dan tambahkan ke konfigurasi OIDC iDP yang Anda tambahkan ke kumpulan pengguna Anda nanti.

**Contoh: Gunakan Salesforce sebagai IdP OIDC dengan kolam pengguna Anda**

 Anda menggunakan IdP OIDC ketika Anda ingin membangun kepercayaan antara IDP yang kompatibel dengan OIDC seperti Salesforce dan kumpulan pengguna Anda.

1. [Buat akun](https://developer.salesforce.com/signup) di situs web Developer Salesforce.

1. [Masuk](https://developer.salesforce.com) melalui akun developer yang Anda siapkan di langkah sebelumnya.

1. Dari halaman Salesforce Anda, lakukan salah satu hal berikut:
   +  Jika Anda menggunakan Lightning Experience, pilih ikon setup gear, lalu pilih **Setup Home**.
   +  Jika Anda menggunakan Salesforce Classic dan Anda melihat **Penyiapan** di header antarmuka pengguna, pilih itu.
   +  Jika Anda menggunakan Salesforce Classic dan Anda tidak melihat **Penyiapan** di header, pilih nama Anda dari bilah navigasi atas, lalu pilih **Penyiapan** dari daftar tarik-turun.

1. Di bilah navigasi kiri, pilih **Pengaturan Perusahaan**. 

1. Pada bilah navigasi, pilih **Domain**, masukkan domain, dan pilih **Buat**. 

1. Di bilah navigasi kiri, di bawah **Alat Platform**, pilih **Aplikasi**. 

1. Pilih **Pengelola Aplikasi**.

1. 

   1. Pilih **Aplikasi baru yang terhubung**.

   1. Lengkapi bidang yang diperlukan.

      Di bawah **URL Mulai**, masukkan URL di `/authorize` titik akhir untuk domain kumpulan pengguna yang masuk dengan IDP Salesforce Anda. Saat pengguna mengakses aplikasi yang terhubung, Salesforce mengarahkan mereka ke URL ini untuk menyelesaikan proses masuk. Kemudian Salesforce mengarahkan pengguna ke URL callback yang telah Anda kaitkan dengan klien aplikasi Anda.

      ```
      https://mydomain.auth.us-east-1.amazoncognito.com/authorize?response_type=code&client_id=<your_client_id>&redirect_uri=https://www.example.com&identity_provider=CorpSalesforce
      ```

   1. Aktifkan **OAuth pengaturan** dan masukkan URL `/oauth2/idpresponse` titik akhir untuk domain kumpulan pengguna Anda di URL **Callback**. Ini adalah URL tempat Salesforce mengeluarkan kode otorisasi yang ditukar Amazon Cognito dengan token. OAuth 

      ```
      https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/idpresponse
      ```

1. Pilih [cakupan](https://openid.net/specs/openid-connect-basic-1_0.html#Scopes) Anda. Anda harus menyertakan **openid** lingkup. **Untuk memberikan akses ke **email** dan [klaim](https://openid.net/specs/openid-connect-basic-1_0.html#StandardClaims) **email\$1verified**, tambahkan cakupan email.** Pisahkan cakupan berdasarkan spasi.

1. Pilih **Buat**.

   Dalam Salesforce, ID klien disebut **Kunci Konsumen**, dan rahasia klien adalah **Rahasia Konsumen**. Perhatikan ID klien dan rahasia klien Anda. Anda akan menggunakannya di bagian selanjutnya.

## Tambahkan IdP OIDC ke kumpulan pengguna Anda
<a name="cognito-user-pools-oidc-idp-step-2"></a>

Setelah mengatur IDP, Anda dapat mengonfigurasi kumpulan pengguna untuk menangani permintaan autentikasi dengan OIDC iDP.

------
#### [ Amazon Cognito console ]

**Tambahkan OIDC iDP di konsol**

1. Masuk ke [Konsol Amazon Cognito](https://console.aws.amazon.com/cognito/home). Jika diminta, masukkan AWS kredensil Anda.

1. Pilih **User Pools** dari menu navigasi.

1. Pilih kolam pengguna yang ada dari daftar, atau [buat kolam pengguna](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Pilih menu **Penyedia sosial dan eksternal**, lalu pilih **Tambahkan penyedia identitas**.

1. Pilih **OpenID Connect IDP**.

1. Masukkan **nama Penyedia** yang unik.

1. Masukkan ID **Klien** IDP. Ini adalah ID klien aplikasi yang Anda buat di OIDC iDP Anda. ID klien yang Anda berikan haruslah penyedia OIDC yang telah Anda konfigurasi dengan url callback. `https://[your user pool domain]/oauth2/idpresponse`

1. Masukkan rahasia **Klien** IDP. Ini harus menjadi rahasia klien untuk klien aplikasi yang sama dari langkah sebelumnya.

1. <a name="cognito-user-pools-oidc-step-2-substep-9"></a>Masukkan **cakupan resmi** untuk penyedia ini. Cakupan menentukan grup atribut pengguna mana (seperti `name` dan`email`) yang akan diminta aplikasi Anda dari penyedia Anda. Lingkup harus dipisahkan oleh spasi, mengikuti spesifikasi [OAuth2.0](https://tools.ietf.org/html/rfc6749#section-3.3).

   IDP Anda mungkin meminta pengguna untuk menyetujui pemberian atribut ini ke aplikasi Anda saat mereka masuk.

1. Pilih **metode permintaan Atribut**. IdPsmungkin mengharuskan permintaan ke `userInfo` titik akhir mereka diformat sebagai salah satu atau`GET`. `POST` `userInfo`Titik akhir Amazon Cognito memerlukan `HTTP GET` permintaan, misalnya.

1. Pilih **metode Pengaturan** untuk cara yang Anda inginkan kumpulan pengguna Anda untuk menentukan jalur ke titik akhir OIDC-Federation kunci di IDP Anda. Biasanya, IdPs host `/well-known/openid-configuration` endpoint di URL basis penerbit. Jika hal ini terjadi pada penyedia Anda, opsi **Isi otomatis melalui URL penerbit** meminta Anda untuk URL dasar itu, mencoba mengakses `/well-known/openid-configuration` jalur dari sana, dan membaca titik akhir yang tercantum di sana. Anda mungkin memiliki jalur titik akhir non-tipikal atau ingin meneruskan permintaan ke satu atau beberapa titik akhir melalui proxy alternatif. Dalam hal ini, pilih **Input manual** dan tentukan jalur untuk`authorization`,, `token``userInfo`, dan `jwks_uri` titik akhir.
**catatan**  
URL harus dimulai dengan `https://`, dan tidak boleh diakhiri dengan garis miring `/`. Hanya nomor port 443 dan 80 yang dapat digunakan dengan URL ini. Misalnya, Salesforce menggunakan URL ini:  
`https://login.salesforce.com`   
Jika Anda memilih pengisian otomatis, dokumen penemuan harus menggunakan HTTPS untuk nilai berikut:`authorization_endpoint`,`token_endpoint`,`userinfo_endpoint`, dan`jwks_uri`. Jika tidak, login akan gagal.

1. Konfigurasikan aturan pemetaan atribut Anda di bawah atribut **Map antara penyedia OpenID Connect** dan kumpulan pengguna Anda. **Atribut kumpulan pengguna** adalah atribut *tujuan* di profil pengguna Amazon Cognito dan atribut OpenID **Connect adalah atribut** *sumber* yang Anda ingin Amazon Cognito temukan dalam klaim atau respons ID-token. `userInfo` Amazon Cognito secara otomatis memetakan **sub** klaim OIDC `username` di profil pengguna tujuan.

   Untuk informasi selengkapnya, lihat [Memetakan atribut iDP ke profil dan token](cognito-user-pools-specifying-attribute-mapping.md).

1. Pilih **Tambahkan penyedia identitas**.

1. Dari menu **Klien aplikasi**, pilih klien aplikasi dari daftar. Arahkan ke tab **Halaman login** dan di bawah **konfigurasi halaman login terkelola**, pilih **Edit**. Temukan **penyedia Identitas** dan tambahkan OIDC iDP baru Anda.

1. Pilih **Simpan perubahan**.

------
#### [ API/CLI ]

Lihat konfigurasi OIDC dalam contoh dua di. [CreateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateIdentityProvider.html#API_CreateIdentityProvider_Example_2) Anda dapat memodifikasi sintaks ini dan menggunakannya sebagai badan permintaan`CreateIdentityProvider`,`UpdateIdentityProvider`, atau file `--cli-input-json` input untuk [create-identity-provider](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/create-identity-provider.html).

------

## Uji konfigurasi IDP OIDC Anda
<a name="cognito-user-pools-oidc-idp-step-3"></a>

Dalam aplikasi Anda, Anda harus memanggil browser di klien pengguna sehingga mereka dapat masuk dengan penyedia OIDC mereka. Uji login dengan penyedia Anda setelah Anda menyelesaikan prosedur penyiapan di bagian sebelumnya. Contoh URL berikut memuat halaman login untuk kumpulan pengguna Anda dengan domain awalan.

```
https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize?response_type=code&client_id=1example23456789&redirect_uri=https://www.example.com
```

Tautan ini adalah halaman yang Amazon Cognito arahkan kepada Anda saat Anda membuka menu **Klien aplikasi, pilih klien** aplikasi, arahkan ke tab **Halaman Login, dan pilih **Lihat** halaman login**. Untuk informasi selengkapnya tentang domain kumpulan pengguna, lihat[Mengkonfigurasi domain kumpulan pengguna](cognito-user-pools-assign-domain.md). Untuk informasi selengkapnya tentang klien aplikasi, termasuk klien IDs dan callback URLs, lihat[Pengaturan khusus aplikasi dengan klien aplikasi](user-pool-settings-client-apps.md).

Contoh link berikut mengatur pengalihan diam ke `MyOIDCIdP` penyedia dari [Otorisasi titik akhir](authorization-endpoint.md) dengan parameter `identity_provider` query. URL ini melewati login kumpulan pengguna interaktif dengan login terkelola dan langsung menuju ke halaman masuk IDP.

```
https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize?identity_provider=MyOIDCIdP&response_type=code&client_id=1example23456789&redirect_uri=https://www.example.com
```

# Aliran otentikasi IDP kumpulan pengguna OIDC
<a name="cognito-user-pools-oidc-flow"></a>

Dengan login OpenID Connect (OIDC), kumpulan pengguna Anda mengotomatiskan alur login kode otorisasi dengan penyedia identitas (iDP) Anda. Setelah pengguna Anda menyelesaikan proses masuk dengan IDP mereka, Amazon Cognito mengumpulkan kode mereka di titik akhir penyedia eksternal. `oauth2/idpresponse` Dengan token akses yang dihasilkan, kumpulan pengguna Anda menanyakan titik akhir `userInfo` IDP untuk mengambil atribut pengguna. Kumpulan pengguna Anda kemudian membandingkan atribut yang diterima dengan aturan pemetaan atribut yang telah Anda siapkan dan mengisi profil pengguna dan token ID yang sesuai.

Cakupan OAuth 2.0 yang Anda minta dalam konfigurasi penyedia OIDC menentukan atribut pengguna yang disediakan idP ke Amazon Cognito. Sebagai praktik keamanan terbaik, hanya minta cakupan yang sesuai dengan atribut yang ingin Anda petakan ke kumpulan pengguna Anda. Misalnya, jika permintaan kumpulan pengguna`openid profile`, Anda akan mendapatkan semua atribut yang mungkin, tetapi jika Anda meminta, `openid email phone_number` Anda hanya akan mendapatkan alamat email dan nomor telepon pengguna. Anda dapat mengonfigurasi cakupan yang Anda [minta dari OIDC IdPs](cognito-user-pools-oidc-idp.md#cognito-user-pools-oidc-step-2-substep-9) agar berbeda dari yang Anda otorisasi dan minta dalam permintaan otentikasi [klien aplikasi dan kumpulan](user-pool-settings-client-apps.md#user-pool-settings-client-apps-scopes) pengguna.

Saat pengguna masuk ke aplikasi menggunakan OIDC iDP, kumpulan pengguna akan menjalankan alur autentikasi berikut.

1. Pengguna mengakses halaman login login terkelola Anda, dan memilih untuk masuk dengan OIDC iDP mereka.

1. Aplikasi Anda mengarahkan browser pengguna ke titik akhir otorisasi kumpulan pengguna Anda.

1. Kumpulan pengguna Anda mengalihkan permintaan ke titik akhir otorisasi OIDC iDP.

1. IDP Anda menampilkan prompt login.

1. Dalam aplikasi Anda, sesi pengguna Anda menampilkan prompt masuk untuk OIDC iDP.

1. Pengguna memasukkan kredensialnya untuk IDP atau menyajikan cookie untuk sesi yang sudah diautentikasi.

1. Setelah pengguna Anda mengautentikasi, iDP OIDC mengalihkan ke Amazon Cognito dengan kode otorisasi.

1. Kumpulan pengguna Anda menukar kode otorisasi untuk ID dan token akses. Amazon Cognito menerima token akses saat Anda mengonfigurasi IDP dengan cakupan. `openid` Klaim dalam token ID dan `userInfo` respons ditentukan oleh cakupan tambahan dari konfigurasi IDP Anda, misalnya `profile` dan. `email`

1. IDP Anda mengeluarkan token yang diminta.

1. Kumpulan pengguna Anda menentukan jalur ke `jwks_uri` titik akhir iDP dari penerbit dalam konfigurasi iDP URLs Anda dan meminta kunci penandatanganan token dari titik akhir set kunci web JSON (JWKS).

1. IdP mengembalikan kunci penandatanganan dari titik akhir JWKS.

1. Kumpulan pengguna Anda memvalidasi token IDP dari data tanda tangan dan kedaluwarsa dalam token.

1. Kumpulan pengguna Anda mengotorisasi permintaan ke titik akhir `userInfo` IDP dengan token akses. IDP merespons dengan data pengguna berdasarkan cakupan token akses.

1. Kumpulan pengguna Anda membandingkan token ID dan `userInfo` respons dari iDP dengan aturan pemetaan atribut di kumpulan pengguna Anda. Ini menulis atribut iDP yang dipetakan ke atribut profil kumpulan pengguna.

1. Amazon Cognito menerbitkan token pembawa aplikasi Anda, yang mungkin termasuk identitas, akses, dan token penyegaran.

1. Aplikasi Anda memproses token kumpulan pengguna dan menandatangani pengguna.

![\[Alur autentikasi IdP OIDC kolam pengguna\]](http://docs.aws.amazon.com/id_id/cognito/latest/developerguide/images/flow-cup-oidc-endpoints.png)


**catatan**  
Amazon Cognito membatalkan permintaan otentikasi yang tidak selesai dalam 5 menit, dan mengarahkan pengguna ke login terkelola. Halaman menampilkan pesan `Something went wrong` kesalahan.

OIDC adalah lapisan identitas di atas OAuth 2.0, yang menentukan token identitas berformat JSON (JWT) yang dikeluarkan oleh IdPs aplikasi klien OIDC (pihak yang mengandalkan). Lihat dokumentasi untuk IdP OIDC Anda untuk informasi tentang menambahkan Amazon Cognito sebagai pihak yang mengandalkan OIDC.

Saat pengguna mengautentikasi dengan pemberian kode otorisasi, kumpulan pengguna mengembalikan ID, akses, dan token penyegaran. Token ID adalah token [OIDC](http://openid.net/specs/openid-connect-core-1_0.html) standar untuk manajemen identitas, dan token akses adalah token [OAuth 2.0](https://oauth.net/2/) standar. Untuk informasi selengkapnya tentang jenis hibah yang dapat didukung oleh klien aplikasi kumpulan pengguna Anda, lihat[Otorisasi titik akhir](authorization-endpoint.md).

## Bagaimana kumpulan pengguna memproses klaim dari penyedia OIDC
<a name="how-a-cognito-user-pool-processes-claims-from-an-oidc-provider"></a>

Saat pengguna Anda menyelesaikan proses masuk dengan penyedia OIDC pihak ketiga, login terkelola akan mengambil kode otorisasi dari iDP. Kumpulan pengguna Anda menukar kode otorisasi untuk akses dan token ID dengan `token` titik akhir IDP Anda. Kumpulan pengguna Anda tidak meneruskan token ini ke pengguna atau aplikasi Anda, tetapi menggunakannya untuk membuat profil pengguna dengan data yang ditampilkan dalam klaim dalam tokennya sendiri.

 Amazon Cognito tidak secara independen memvalidasi token akses. Sebagai gantinya, ia meminta informasi atribut pengguna dari `userInfo` titik akhir penyedia dan mengharapkan permintaan ditolak jika token tidak valid.

Amazon Cognito memvalidasi token ID penyedia dengan pemeriksaan berikut:

1. Periksa apakah penyedia menandatangani token dengan algoritma dari set berikut: RSA, HMAC, Elliptic Curve.

1. Jika penyedia menandatangani token dengan algoritma penandatanganan asimetris, periksa apakah ID kunci penandatanganan dalam `kid` klaim token terdaftar di titik `jwks_uri` akhir penyedia. Amazon Cognito menyegarkan kunci penandatanganan dari titik akhir JWKS dalam konfigurasi iDP Anda untuk setiap token ID IDP yang diprosesnya.

1. Bandingkan tanda tangan token ID dengan tanda tangan yang diharapkan berdasarkan metadata penyedia.

1. Bandingkan `iss` klaim dengan penerbit OIDC yang dikonfigurasi untuk IDP.

1. Bandingkan `aud` klaim yang cocok dengan ID klien yang dikonfigurasi di iDP, atau berisi ID klien yang dikonfigurasi jika ada beberapa nilai dalam klaim. `aud`

1. Periksa apakah stempel waktu dalam `exp` klaim tidak sebelum waktu saat ini.

Kumpulan pengguna Anda memvalidasi token ID, lalu mencoba permintaan ke `userInfo` titik akhir penyedia dengan token akses penyedia. Ini mengambil informasi profil pengguna yang cakupan dalam token akses mengotorisasi untuk dibaca. Kumpulan pengguna Anda kemudian mencari atribut pengguna yang telah Anda tetapkan seperti yang diperlukan dalam kumpulan pengguna Anda. Anda harus membuat pemetaan atribut dalam konfigurasi penyedia Anda untuk atribut yang diperlukan. Kumpulan pengguna Anda memeriksa token ID penyedia dan `userInfo` responsnya. Kumpulan pengguna Anda menulis semua klaim yang mencocokkan aturan pemetaan dengan atribut pengguna di profil pengguna kumpulan pengguna. Kumpulan pengguna Anda mengabaikan atribut yang cocok dengan aturan pemetaan tetapi tidak diperlukan dan tidak ditemukan dalam klaim penyedia.