Funktionen des Essentials-Plans - Amazon Cognito
Anpassen von Zugriffs-TokenE-Mail MFAVerhinderung der Wiederverwendung von PasswörternVerwaltete AnmeldungWahlbasierte Authentifizierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Funktionen des Essentials-Plans

Der Feature-Plan Essentials bietet die meisten der besten und neuesten Funktionen der Amazon Cognito Cognito-Benutzerpools. Wenn Sie vom Lite- zum Essentials-Plan wechseln, erhalten Sie neue Funktionen für Ihre verwalteten Anmeldeseiten, Multi-Faktor-Authentifizierung mit Einmalpasswörtern für E-Mail-Nachrichten, eine erweiterte Passwortrichtlinie und benutzerdefinierte Zugriffstoken. Wählen Sie up-to-date den Essentials-Plan für Ihre Benutzerpools, um die neuen Funktionen des Benutzerpools nutzen zu können.

Die folgenden Abschnitte bieten einen kurzen Überblick über die Funktionen, die Sie Ihrer Anwendung mit dem Essentials-Plan hinzufügen können. Ausführliche Informationen finden Sie auf den folgenden Seiten.

Weitere Ressourcen

Anpassen von Zugriffs-Token

Zugriffstoken für Benutzerpools gewähren Anwendungen Berechtigungen: zum Zugriff auf eine API, zum Abrufen von Benutzerattributen vom UserInfo-Endpunkt oder zum Einrichten einer Gruppenmitgliedschaft für ein externes System. In fortgeschrittenen Szenarien möchten Sie den standardmäßigen Zugriffstokendaten aus dem Benutzerpoolverzeichnis möglicherweise zusätzliche temporäre Parameter hinzufügen, die Ihre Anwendung zur Laufzeit bestimmt. Möglicherweise möchten Sie beispielsweise die API-Berechtigungen eines Benutzers mit Amazon Verified Permissions überprüfen und die Bereiche im Zugriffstoken entsprechend anpassen.

Der Essentials-Plan erweitert die bestehenden Funktionen eines Triggers vor der Token-Generierung. Bei Tarifen niedrigerer Stufen können Sie ID-Token mit zusätzlichen Ansprüchen, Rollen und Gruppenmitgliedschaften personalisieren. Mit Essentials können Sie Zugriffstoken zusätzlich an Ansprüche, Rollen, Gruppenzugehörigkeit und OAuth Geltungsbereiche anpassen. Die Anpassung von Zugriffstoken ist für machine-to-machine (M2M-) Kundenanmeldedaten nicht verfügbar.

Um Zugriffstoken anzupassen

  1. Wählen Sie den Featureplan Essentials oder Plus aus.

  2. Erstellen Sie eine Lambda-Funktion für Ihren Trigger. Um unsere Beispielfunktion zu verwenden, konfigurieren Sie sie für Node.js.

  3. Füllen Sie Ihre Lambda-Funktion mit unserem Beispielcode oder verfassen Sie Ihren eigenen. Ihre Funktion muss ein Anforderungsobjekt von Amazon Cognito verarbeiten und die Änderungen zurückgeben, die Sie einbeziehen möchten.

  4. Weisen Sie Ihre neue Funktion als Trigger für Version 2 vor der Token-Generierung zu.

Weitere Informationen

E-Mail MFA

Amazon Cognito Cognito-Benutzerpools können so konfiguriert werden, dass sie E-Mail als zweiten Faktor bei der Multi-Faktor-Authentifizierung (MFA) verwenden. Mit E-Mail-MFA kann Amazon Cognito Benutzern eine E-Mail mit einem Bestätigungscode senden, den sie eingeben müssen, um den Authentifizierungsprozess abzuschließen. Dies fügt dem Benutzeranmeldeablauf eine wichtige zusätzliche Sicherheitsebene hinzu. Um E-Mail-basiertes MFA zu aktivieren, muss der Benutzerpool so konfiguriert sein, dass er die Amazon SES SES-E-Mail-Versandkonfiguration anstelle der Standard-E-Mail-Konfiguration verwendet.

Wenn Ihr Benutzer MFA per E-Mail-Nachricht auswählt, sendet Amazon Cognito bei jedem Anmeldeversuch einen einmaligen Bestätigungscode an die registrierte E-Mail-Adresse des Benutzers. Der Benutzer muss diesen Code dann an Ihren Benutzerpool zurückgeben, um den Authentifizierungsvorgang abzuschließen und Zugriff zu erhalten. Dadurch wird sichergestellt, dass ein Benutzer, selbst wenn der Benutzername und das Passwort kompromittiert werden, einen zusätzlichen Faktor — den per E-Mail gesendeten Code — angeben muss, bevor er auf Ihre Anwendungsressourcen zugreifen kann.

Weitere Informationen finden Sie unter SMS- und E-Mail-Nachricht MFA. Im Folgenden finden Sie eine Übersicht darüber, wie Sie Ihren Benutzerpool und Benutzer für E-Mail-MFA einrichten.

So richten Sie E-Mail-MFA in der Amazon Cognito Cognito-Konsole ein

  1. Wählen Sie den Featureplan Essentials oder Plus aus.

  2. Bearbeiten Sie im Anmeldemenü Ihres Benutzerpools die Option Multi-Faktor-Authentifizierung.

  3. Wählen Sie die Ebene der MFA-Durchsetzung, die Sie einrichten möchten. Mit Require MFA erhalten Benutzer in der API automatisch eine Aufforderung, MFA einzurichten, zu bestätigen und sich mit MFA anzumelden. In Benutzerpools, die MFA erfordern, werden sie bei der verwalteten Anmeldung aufgefordert, einen MFA-Faktor auszuwählen und einzurichten. Mit optionalem MFA muss Ihre Anwendung Benutzern die Möglichkeit bieten, MFA einzurichten und die Benutzerpräferenz für E-Mail-MFA festzulegen.

  4. Wählen Sie unter MFA-Methoden die Option E-Mail-Nachricht als eine der Optionen aus.

Weitere Informationen

Verhinderung der Wiederverwendung von Passwörtern

Standardmäßig legt eine Amazon Cognito Cognito-Benutzerpool-Passwortrichtlinie die Anforderungen an die Passwortlänge und den Zeichentyp sowie den temporären Ablauf von Passwörtern fest. Der Essentials-Plan bietet die Möglichkeit, den Passwortverlauf durchzusetzen. Wenn ein Benutzer versucht, sein Passwort zurückzusetzen, kann Ihr Benutzerpool verhindern, dass er es auf ein vorheriges Passwort setzt. Weitere Informationen zur Konfiguration der Passwortrichtlinie finden Sie unterHinzufügen von Benutzerpool-Passwortanforderungen. Im Folgenden finden Sie eine Übersicht darüber, wie Sie Ihren Benutzerpool mit einer Richtlinie zur Kennworthistorie einrichten.

So richten Sie den Passwortverlauf in der Amazon Cognito Cognito-Konsole ein

  1. Wählen Sie den Featureplan Essentials oder Plus aus.

  2. Suchen Sie im Menü Authentifizierungsmethoden Ihres Benutzerpools nach Passwortrichtlinie und wählen Sie Bearbeiten aus.

  3. Konfigurieren Sie andere verfügbare Optionen und legen Sie einen Wert für „Verwendung früherer Passwörter verhindern“ fest.

Weitere Informationen

Verwaltete Anmeldung, gehosteter Anmelde- und Autorisierungsserver

Amazon Cognito Cognito-Benutzerpools verfügen über optionale Webseiten, die die folgenden Funktionen unterstützen: einen OpenID Connect (OIDC) IdP, einen Dienstanbieter oder eine vertrauende Partei eines IdPs Drittanbieters und öffentliche benutzerinteraktive Seiten für die Registrierung und Anmeldung. Diese Seiten werden zusammenfassend als verwaltete Anmeldung bezeichnet. Wenn Sie eine Domain für Ihren Benutzerpool auswählen, aktiviert Amazon Cognito diese Seiten automatisch. Wenn der Lite-Plan über die gehostete Benutzeroberfläche verfügt, öffnet der Essentials-Plan diese erweiterte Version der Anmelde- und Anmeldeseiten.

Verwaltete Anmeldeseiten verfügen über eine übersichtliche up-to-date Oberfläche mit mehr Funktionen und Optionen zur Anpassung Ihres Brandings und Ihrer Stile. Der Essentials-Plan ist der niedrigste Tarif, der den Zugriff auf die verwaltete Anmeldung freischaltet.

So richten Sie die verwaltete Anmeldung in der Amazon Cognito Cognito-Konsole ein

  1. Wählen Sie im Menü Einstellungen den Featureplan Essentials oder Plus aus.

  2. Weisen Sie Ihrem Benutzerpool im Menü Domain eine Domain zu und wählen Sie eine Branding-Version von Managed Login aus.

  3. Wählen Sie im Menü Verwaltete Anmeldung auf der Registerkarte Stile die Option Stil erstellen aus und weisen Sie den Stil einem App-Client zu, oder erstellen Sie einen neuen App-Client.

Weitere Informationen

Wahlbasierte Authentifizierung

Mit der Stufe „Essentials“ wird ein neuer Authentifizierungsablauf für Authentifizierungsvorgänge in der erweiterten Benutzeroberfläche und SDK-basierte API-Operationen eingeführt. Bei diesem Ablauf handelt es sich um eine wahlbasierte Authentifizierung. Die wahlbasierte Authentifizierung ist eine Methode, bei der die Authentifizierung Ihrer Benutzer nicht mit einer anwendungsseitigen Deklaration einer Anmeldemethode beginnt, sondern mit einer Abfrage möglicher Anmeldemethoden, gefolgt von einer Auswahl. Sie können Ihren Benutzerpool so konfigurieren, dass er die wahlbasierte Authentifizierung unterstützt und die Authentifizierung mit Benutzername/Passwort, kennwortloser Authentifizierung und Hauptschlüsselauthentifizierung entsperrt. In der API ist das der Ablauf. USER_AUTH

So richten Sie die wahlbasierte Authentifizierung in der Amazon Cognito Cognito-Konsole ein

  1. Wählen Sie den Featureplan Essentials oder Plus aus.

  2. Bearbeiten Sie im Anmeldemenü Ihres Benutzerpools die Optionen für die wahlbasierte Anmeldung. Wählen und konfigurieren Sie die Authentifizierungsmethoden, die Sie für die wahlbasierte Authentifizierung aktivieren möchten.

  3. Bearbeiten Sie im Menü Authentifizierungsmethoden Ihres Benutzerpools die Konfiguration der Anmeldevorgänge.

Weitere Informationen