多个 Facebook 应用程序作为 AWS Cognito 联合身份的身份提供商答案

【问题标题】：Multiple Facebook Applications as Identity Provider for AWS Cognito Federated Identities多个 Facebook 应用程序作为 AWS Cognito 联合身份的身份提供商
【发布时间】：2016-10-07 03:10:51
【问题描述】：

我们使用 AWS Cognito（联合身份）来通过 facebook 和 google+ 提供登录。

我们正面临以下挑战。我们公司正在提供不同的应用程序，它们可以相互交互，因此我们希望经过身份验证的用户在一个 cognito 身份池中拥有一个身份。并利用同步商店跨应用程序。

对于 cognito，在使用 AWS 控制台时，您只能为每个 IdP 选择一个受众（client-id/app-id）。将许多 facebook 受众和 google+ 受众与一个 cognito 设置相关联对我们来说是有意义的。

通过 IAM 将 google+ 创建为 IdP，我们想出了如何设置许多 google+ 受众群体。这对我们来说非常好。我们正在努力寻找一种方法，如何通过 IAM-IdP 或任何其他方式配置许多 facebook 受众。

好吧，facebook 不是开放 id-connect 提供商，这似乎是问题所在。但我有点不想接受这一点。

你们中有人知道如何配置多个 facebook 应用程序以与一个 cognito 身份池相关联吗？非常欢迎解决方法。

附加信息：我们可以使用一个全球 facebook 应用程序，例如'OurCompany - Network'，就可以了。这样做的阻碍是，它会阻止我们使用安装跟踪进行 facebook 活动。如果您知道解决方法，这也是一个受欢迎的解决方案。

【问题讨论】：

你是怎么解决这个问题的？你的最终方法是什么？

标签： facebook facebook-graph-api amazon-web-services facebook-apps amazon-cognito

【解决方案1】：

我通过使用多个池来做到这一点，然后在角色级别允许两个池。这意味着我对该角色的信任关系如下所示：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "cognito-identity.amazonaws.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "cognito-identity.amazonaws.com:aud": [
            "<first cognito pool>",
            "<second cognito pool>"
          ]
        },
        "ForAnyValue:StringLike": {
          "cognito-identity.amazonaws.com:amr": "authenticated"
        }
      }
    }
  ]
}

【讨论】：

非常感谢。会试试这个。也许你可以帮我解决两个关于这个问题的进一步问题：1）如果一个用户通过 facebook 登录到两个池，他会有 2 个不同的认知 id 吗？ 2) 如果一个用户通过 facebook 登录到两个池，他会有 1 个 cognito 同步存储/或者他知道如何访问这两个池？
1) 是的，每次登录到 Cognito 池都会以不同的身份结束。 2) 不，两个独立的商店。不知道你为什么要支持这种行为，但我建议为共享数据创建一些统一标识符。
为我工作！谢谢！
如果你能接受这个答案会很好，@Torben 或者让我知道为什么它还不够。

【解决方案2】：

一种解决方法是使用Developer Authenticated Identities。在这种情况下，您需要自己验证 Facebook 令牌。

【讨论】：