AWS Cognito zur Absicherung / nicht zum Login

Falc410

Vice Admiral
Registriert
Juni 2006
Beiträge
6.504
Kennt sich zufällig jemand mit Cognito aus? Meine Idee war, es als Absicherung vor einen Webserver zu schalten, d.h. im Application Load Balancer wird man zuerst zu Cognito geleitet, muss sich dort authentifzieren und kann erst dann die Webseite erreichen. Nur bekomme ich das nicht hin. Ich bin mir nicht sicher ob die Webapplikation zwingend OAuth oder ähnliches unterstützen muss und mit Cognito kommunizieren muss oder nicht.
 
Ist da Cognito nicht ein bisschen Overkill? Da du keine Authentifizierung brauchst, könnte man über eine config Datei in dem .ebextensions Ordner auch klassische htpasswd bzw. htaccess Dateien platzieren und das ganz einfach mit nem Password schützen.

Ansonsten hätte ich diese Anleitung gefunden, die laut Beschreibung genau dass macht, was du brauchst. Hast du die schon ausprobiert?
 
Nein, htpasswd ist leider nicht ausreichend (Vorgabe) und wir haben bereits Cognito mit einem Userpool für Grafana, dort musste ich aber in Grafana einiges konfigurieren, z.B. App Client ID, App Client Secret und die Callback URLs die ich aus Cognito bekommen habe.
Die andere Anwendung soll zu einem späteren Zeitpunk auch in Cognito integriert werden aber bis es soweit ist, soll einfach eben noch die Auth davorgeschaltet werden. Und ich verwende genau den ALB wie in deiner Anleitung (so eine ähliche hatte ich auch schon bei AWS in den Doks gefunden). Ich schau nochmal drüber ob ich da etwas finde, da sieht es ja so aus, als ob das funktionieren müsste was ich mir vorstelle.

Im Moment bekomme ich immer ein Redirect Mismatch Fehler weil meine WebApp weder eine Client ID noch sonst was kennt und somit mit Cognito gar nicht kommuniziert - und diesen Rückkanal weiß ich nicht, wie ich den ignorieren kann. Im ALB ist eine Rule: wenn Zugriff weiter zu Cognito. d.h. ich gehe auf die URL und bekomme den Redirect zu Cognito, kann mich da anmelden und danach gehts aber nicht weiter. :(

Bei Grafana hat das geklappt wenn man OAuth halt komplett durchkonfiguriert und die Callback URLs entsprechend setzt. Aber das habe ich im Moment halt alles nicht. Im Prinzip will ich das vor eine "statische" Webseite schalten.
 
Hat übrigens funktioniert so wie ich mir das vorstelle. Danke nochmal für die Anleitung - war hilfreich.
 
Zurück
Oben