我已经让我的 cognito 用户池 cloudformation 模板正常工作,并将其集成到我的 api 网关中。但不知何故,我仍然必须手动配置应用程序客户端设置、域和联合身份,以便为用户提供一个有效的登录门户。我一直在到处寻找自动化这些可能的解决方案,但我似乎找不到任何接近它的东西。
我想通过 cloudformation sam 模板自动配置应用程序客户端设置、域和联合身份,因此我不必手动执行这些操作。
任何建议都非常感谢。谢谢你。
(附加信息发布的附件)
问问题
16772 次
8 回答
42
我创建了两个 CloudFormation 自定义资源来应用 Cognito 应用程序客户端设置和域名。使用这些资源,您可以拥有这样的脚本:
UserPoolTestClient:
Type: 'AWS::Cognito::UserPoolClient'
Properties:
ClientName: UserPoolTestClient
GenerateSecret: true
UserPoolId: !Ref UserPoolTest
UserPoolTestClientSettings:
Type: 'Custom::CognitoUserPoolClientSettings'
Properties:
ServiceToken: !GetAtt CloudFormationCognitoUserPoolClientSettings.Arn
UserPoolId: !Ref UserPoolTest
UserPoolClientId: !Ref UserPoolTestClient
SupportedIdentityProviders:
- COGNITO
CallbackURL: 'https://www.amazon.com'
LogoutURL: 'https://www.google.com'
AllowedOAuthFlowsUserPoolClient: true
AllowedOAuthFlows:
- code
AllowedOAuthScopes:
- openid
UserPoolTestDomain:
Type: 'Custom::CognitoUserPoolDomain'
Properties:
ServiceToken: !GetAtt CloudFormationCognitoUserPoolDomain.Arn
UserPoolId: !Ref UserPoolTest
Domain: 'userpool-test-01'
完整的代码在这里。
于 2018-06-22T03:18:31.153 回答
33
更新:自 2019 年底以来,AWS Cloudformation 原生支持应用程序客户端设置、域和联合身份。查看其他答案。
看起来没有办法通过 CloudFormation 提供应用程序集成 -> 域名和联合 -> 身份提供者。
我发现只有用户池客户端(常规设置-> 应用程序客户端)的参考,但它不会配置应用程序集成-> 应用程序客户端设置。
如果您需要自动化为用户池提供域名、身份提供商和应用程序客户端设置的过程,您可以通过创建自定义脚本 (AWS CLI) 或 Lambda (AWS SDK) 来实现,这应该在堆栈部署后执行。
**更新**
查看显示 CloudFormation 自定义资源与 Lambda的使用情况的优秀示例(答案如下)。
于 2018-04-10T08:57:00.847 回答
10
CloudFormation 已添加资源AWS::Cognito::UserPoolDomain来管理用户池域:
Type: AWS::Cognito::UserPoolDomain
Properties:
CustomDomainConfig:
CertificateArn: !Ref CertificateArn
Domain: "your.custom.domain.com"
UserPoolId: !Ref UserPool
此外,还向AWS::Cognito::UserPoolClient添加了配置:
Type: AWS::Cognito::UserPoolClient
Properties:
AllowedOAuthFlows:
- String
AllowedOAuthFlowsUserPoolClient: Boolean
AllowedOAuthScopes:
- String
AnalyticsConfiguration:
AnalyticsConfiguration
CallbackURLs:
- String
ClientName: String
DefaultRedirectURI: String
ExplicitAuthFlows:
- String
GenerateSecret: Boolean
LogoutURLs:
- String
ReadAttributes:
- String
RefreshTokenValidity: Integer
SupportedIdentityProviders:
- String
UserPoolId: String
WriteAttributes:
- String
于 2019-10-08T11:33:38.777 回答
5
从昨天开始,AWS CloudFormation 增加了对直接配置域名、身份和其他设置的原生支持: https ://aws.amazon.com/about-aws/whats-new/2019/10/amazon-cognito-increases-cloudformation-support /
这种新的支持包括安全和自动配置托管 UI 域、配置托管 UI 的自定义、配置 IdentityProvider、配置高级安全功能的行为和配置资源服务器的能力,所有这些都直接在 CloudFormation 中进行。
(感谢我的同事 Bernhard 的这次更新)
于 2019-10-08T08:59:09.380 回答
2
非常受 Rosberg Linhares 示例的启发,但在 python 中,并使用AWS cfn helper模块:
如果你用这段代码写一个 lambda 函数,基本上是使用 boto3 来做客户端应用程序的设置
from crhelper import CfnResource
import boto3
from copy import copy
# setup the cfn helper
helper = CfnResource()
client = boto3.client('cognito-idp')
# these wrappers return the function unaltered, so we can chain them to apply
# the function in both create and update
@helper.create
@helper.update
def update_on_create(event, _):
params = copy(event['ResourceProperties'])
del params['ServiceToken']
client.update_user_pool_client(**params)
# don't do anything on delete. Deleting the client app is handled by the template
@helper.delete
def delete_user_pool_client(event, _):
pass
def handler(event, context):
helper(event, context)
那么你的cloudformation将是相似的,例如
UserPoolClient:
Type: AWS::Cognito::UserPoolClient
Properties:
ClientName: 'TestClient'
GenerateSecret: true
UserPoolId: !Ref UserPool
UserPoolClientSettings:
Type: Custom::CognitoUserPoolClientSettings
DependsOn:
- LambdaForAppClientSettings
- UserPoolClient
Properties:
ServiceToken: !GetAtt LambdaForAppClientSettings.Arn
UserPoolId: !Ref UserPool
ClientId: !Ref UserPoolClient
CallbackURLs:
- https://www.amazon.com
SupportedIdentityProviders:
- COGNITO
由于client.update_user_pool_client(**params). 您必须确保Propertiescloudformation 自定义资源映射中的键与 boto3 所需的完全匹配。检查boto3 文档以获取可能的参数列表。
于 2019-09-24T16:55:15.903 回答
2
我为自己和其他想要尝试的人推出了这 3 种资源的解决方案。 https://github.com/cyrfer/cloudformation-custom-resource-provider
于 2019-07-09T06:10:59.523 回答
2
正如 matsev 和 Gregor 所指出的,这现在可以通过 cloudformation 轻松完成。这意味着同时不推荐使用已接受的答案和链接到已接受答案的答案。
请参阅文档:
这是我自己的模板中的一个示例:
UserPoolClient:
Type: "AWS::Cognito::UserPoolClient"
Properties:
ClientName: !Sub ${AppName}-${Env}-appsync-client
GenerateSecret: false
UserPoolId: !Ref UserPool
SupportedIdentityProviders:
- COGNITO
- Facebook
#- SignInWithApple
- Google
AllowedOAuthFlowsUserPoolClient: true
AllowedOAuthFlows:
- code
AllowedOAuthScopes:
- email
- openid
- profile
- aws.cognito.signin.user.admin
CallbackURLs:
- !Sub ${AppName}://
DefaultRedirectURI: !Sub ${AppName}://
LogoutURLs:
- !Sub ${AppName}://
DependsOn:
- GoogleCognitoUserPoolIdentityProvider
#- AppleUserPoolIdentityProvider
- FacebookCognitoUserPoolIdentityProvider
CognitoUserPoUserPoolDomain:
Type: AWS::Cognito::UserPoolDomain
Properties:
UserPoolId: !Ref UserPool
Domain: !Sub ${AppName}-${Env}
FacebookCognitoUserPoolIdentityProvider:
Type: AWS::Cognito::UserPoolIdentityProvider
Properties:
ProviderName: Facebook
AttributeMapping:
email: email
ProviderDetails:
client_id: TODOYourFacebookAppId
client_secret: TODOYourFacebookAppSecret
authorize_scopes: email,public_profile
ProviderType: Facebook
UserPoolId: !Ref UserPool
GoogleCognitoUserPoolIdentityProvider:
Type: AWS::Cognito::UserPoolIdentityProvider
Properties:
ProviderName: Google
AttributeMapping:
email: email
ProviderDetails:
client_id: TODOYourGoogleAppId
client_secret: TODOYourGoogleAppSecret
authorize_scopes: email openid profile
ProviderType: Google
UserPoolId: !Ref UserPool
于 2021-03-16T18:20:05.957 回答
2
我想添加一个不同的解决方案(由 Mickael 建议),因为 CloudFormation 的设置很复杂;此命令行将在创建 CloudFormation 堆栈后创建您的域:
aws cognito-idp create-user-pool-domain --domain test-domain --user-pool-id eu-west-1_xxxxxxxx
在您的自动部署中,您可以添加一个设置域的脚本。不如 CF 上的所有东西那么好,但它可以工作
于 2018-11-22T07:51:35.200 回答