Bỏ qua nội dung
User Pool (CUP)
- Lưu thông tin của user có thể login
- Tích hợp cùng web app và mobile
- Tích hợp login bằng social, OpenIDConnect, SAML
- Return JWT khi login
- Base64 Encoded
- Phải verify signature trước khi sử dụng JWT
- Payload chứa đủ các thông tin về user + cognito
- Sử dụng sub trong payload là ID để lấy thông tin trong cognito database nếu cần
- Tích hợp cùng API Gateway + ALB (Sử dụng Rule)
- Có thể tạo, import User manual nếu cần
- Có thể custom logo và css trang authentication
- Có thể custom domain login (dùng kèm ACM được lưu ở us-east-1)
- Có thể tạo user group
- Có thể trigger Lambda synchronously khi có event như signup/authen, hoặc để custom template authentication/message SMS
- Có thể yêu cầu thêm MFA, email, phone nếu có đăng nhập bất thường như IP lạ, location mới, thiết bị mới…
- Tích hợp kèm Cloudwatch Logs
Identity Pool (Federated Identities) (CIP)
- Lưu temporary, limited-privilege credentials có quyền với các resource trên AWS
- Cho phép sử dụng source từ Social, Cognito User Pool, OpenID Connect, SAML, hoặc custom login server
- Cho phép guest
- Truy cập các service AWS trực tiếp hoặc thông qua API Gateway
- Apply default IAM Policy cho tất cả user chung hoặc define riêng theo user id, và guest role
Cognito + Application Load Balancer
User Pool
- Social login
- SAML, LDAP, Microsoft AD
- Phải sử dụng HTTPS Listener
Identity Provider: OpenID Connect
