Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Grupos de usuarios de Amazon Cognito
Un grupo de usuarios de Amazon Cognito es un directorio de usuarios para la autenticación y autorización de aplicaciones web y móviles. Desde la perspectiva de su aplicación, un grupo de usuarios de Amazon Cognito es un proveedor de identidad (IdP) de OpenID Connect (OIDC). Un grupo de usuarios agrega capas de características adicionales para la seguridad, la federación de identidades, la integración de aplicaciones y la personalización de la experiencia del usuario.
Puede, por ejemplo, comprobar que las sesiones de los usuarios provengan de orígenes fiables. Puede combinar el directorio de Amazon Cognito con un proveedor de identidad externo. Con su preferencia AWS SDK, puede elegir el modelo de API autorización que mejor se adapte a su aplicación. Además, puede agregar funciones de AWS Lambda que modifiquen o revisen el comportamiento predeterminado de Amazon Cognito.
Temas
- Características
- Autenticación con un grupo de usuarios
- Uso de los grupos de usuarios API y los puntos de enlace de los grupos de usuarios de Amazon Cognito
- Actualización de la configuración del grupo de usuarios
- Configuración y uso de la interfaz de usuario alojada y los puntos de conexión de federación de Amazon Cognito
- Ámbitos, M2M y API autorización con servidores de recursos
- Agregar inicio de sesión de grupo de usuarios a través de un tercero
- Personalización de flujos de trabajo de grupos de usuarios con desencadenadores de Lambda
- Uso de Amazon Pinpoint para el análisis de grupos de usuarios
- Administración de usuarios en el grupo de usuarios
- Configuración de correo electrónico para grupos de usuarios de Amazon Cognito
- SMSconfiguración de mensajes para grupos de usuarios de Amazon Cognito
- Uso de tokens con grupos de usuarios
- Acceso a los recursos después de una autenticación correcta con el grupo de usuarios
- Uso de las características de seguridad de los grupos de usuarios de Amazon Cognito
Características
Los grupos de usuarios de Amazon Cognito cuentan con las características siguientes.
Sign-up (Registro)
Los grupos de usuarios de Amazon Cognito cuentan con métodos programáticos, impulsados por el usuario y por el administrador para agregar perfiles de usuario al grupo de usuarios. Los grupos de usuarios de Amazon Cognito admiten los siguientes modelos de registro. Puede usar cualquier combinación de estos modelos en la aplicación.
importante
Si activa el registro de usuarios en el grupo de usuarios, cualquier usuario de Internet podrá crear una cuenta e iniciar sesión en las aplicaciones. No habilite el registro automático en el grupo de usuarios a menos que quiera abrir la aplicación para que el público se registre. Para cambiar esta configuración, actualiza el registro de autoservicio en la pestaña Experiencia de registro de la consola del grupo de usuarios o actualiza el valor de AllowAdminCreateUserOnlyuna CreateUserPoolsolicitud o. UpdateUserPoolAPI
Para obtener información sobre las características de seguridad que puede configurar en los grupos de usuarios, consulte Uso de las características de seguridad de los grupos de usuarios de Amazon Cognito.
-
Los usuarios pueden ingresar la información en la aplicación y crear un perfil de usuario nativo para el grupo de usuarios. Puede realizar operaciones de API registro para registrar a los usuarios en su grupo de usuarios. Puede abrir estas operaciones de registro a cualquier persona o puede autorizarlas con un secreto de cliente o AWS credenciales.
-
Puede redirigir a los usuarios a un IdP de terceros al que puedan autorizar a transmitir la información a Amazon Cognito. Amazon Cognito procesa los identificadores de OIDC identidad, los
userInfodatos OAuth 2.0 y las aserciones SAML 2.0 en los perfiles de usuario de su grupo de usuarios. Controla los atributos que desea que reciba Amazon Cognito en función de las reglas de mapeo de atributos. -
Puede omitir el registro público o federado y crear usuarios en función del propio origen de datos y esquema. Añada usuarios directamente en la consola de Amazon Cognito o. API Importe usuarios desde un CSV archivo. Ejecute una just-in-time AWS Lambda función que busque al nuevo usuario en un directorio existente y complete su perfil de usuario a partir de los datos existentes.
Después de que los usuarios se registren, puede agregarlos a los grupos que Amazon Cognito muestra en los tokens de acceso e ID. También puede vincular grupos de usuarios a IAM roles al pasar el token de ID a un grupo de identidades.
Temas relacionados de
Sign-in (Inicio de sesión)
Amazon Cognito puede ser un directorio de usuarios independiente y proveedor de identidades (IdP) para la aplicación. Sus usuarios pueden iniciar sesión con una interfaz de usuario alojada en Amazon Cognito o con su propia interfaz de usuario a través de los grupos de usuarios de Amazon Cognito. API El nivel de la aplicación que está detrás de la interfaz de usuario personalizada de frontend puede autorizar las solicitudes en el backend con cualquiera de varios métodos para confirmar las solicitudes legítimas.
Para iniciar sesión en los usuarios con un directorio externo, combinado opcionalmente con el directorio de usuarios integrado en Amazon Cognito, puede agregar las siguientes integraciones.
-
Inicie sesión e importe los datos de los usuarios consumidores con el inicio de sesión social OAuth 2.0. Amazon Cognito admite el inicio de sesión con Google, Facebook, Amazon y Apple a través de la versión 2.0. OAuth
-
Inicie sesión e importe los datos de los usuarios empresariales con SAML e OIDC inicie sesión. También puede configurar Amazon Cognito para que acepte reclamaciones de cualquier proveedor de identidad (IdP) o de SAML OpenID Connect (OIDC).
-
Enlace los perfiles de usuario externos a los perfiles de usuario nativos. Un usuario enlazado puede iniciar sesión con una identidad de usuario de terceros y recibir el acceso que asigne a un usuario en el directorio integrado.
Temas relacionados de
Mi autorización achine-to-machine
Algunas sesiones no son una human-to-machine interacción. Es posible que necesites una cuenta de servicio que pueda autorizar una solicitud a y API mediante un proceso automatizado. Para generar tokens de acceso para machine-to-machine autorizaciones con alcances OAuth 2.0, puedes añadir un cliente de aplicación que genere concesiones de credenciales de cliente.
Temas relacionados de
IU alojada
Si no desea crear una interfaz de usuario, puede presentar a los usuarios una interfaz de usuario alojada en Amazon Cognito personalizada. La interfaz de usuario alojada es un conjunto de páginas web para el registro, el inicio de sesión, la autenticación multifactorial () MFA y el restablecimiento de contraseñas. Puedes añadir la interfaz de usuario alojada a tu dominio existente o usar un identificador de prefijo en un subdominio. AWS
Temas relacionados de
Seguridad
Los usuarios locales pueden proporcionar un factor de autenticación adicional con un código de un SMS mensaje o con una aplicación que genere códigos de autenticación multifactorial ()MFA. Puedes crear mecanismos para configurarlos y procesarlos MFA en tu aplicación, o puedes dejar que la interfaz de usuario alojada los administre. Los grupos de usuarios de Amazon Cognito pueden omitir MFA cuando los usuarios inician sesión desde dispositivos de confianza.
Si no quiere solicitarlo inicialmente MFA a sus usuarios, puede hacerlo de forma condicional. Con funciones de seguridad avanzadas, Amazon Cognito puede detectar posibles actividades maliciosas y requerir que el usuario configure o bloquee el MFA inicio de sesión.
Si el tráfico de red hacia su grupo de usuarios puede ser malintencionado, puede supervisarlo y tomar medidas a través de la web. AWS WAF ACLs
Temas relacionados de
Personalizar la experiencia del usuario
En la mayoría de las etapas del registro, el inicio de sesión o la actualización del perfil de un usuario, puede personalizar la forma en que Amazon Cognito gestiona la solicitud. Con los desencadenadores de Lambda, puede modificar un token de ID o rechazar una solicitud de registro en función de las condiciones personalizadas. Puede crear su propio flujo de autenticación personalizado.
Puedes subir logotipos CSS y personalizados para dar a la interfaz de usuario alojada un aspecto familiar para tus usuarios.
Temas relacionados de
Monitoreo y análisis
Los grupos de usuarios de Amazon Cognito registran API las solicitudes, incluidas las solicitudes a la interfaz de usuario alojada, para. AWS CloudTrail Puede revisar las métricas de rendimiento de Amazon CloudWatch Logs, insertar registros personalizados CloudWatch con activadores de Lambda y supervisar el volumen de API solicitudes en la consola de Service Quotas.
También puede registrar los datos del dispositivo y de la sesión de sus API solicitudes en una campaña de Amazon Pinpoint. Con Amazon Pinpoint, puede enviar notificaciones push desde la aplicación en función del análisis de la actividad de los usuarios.
Temas relacionados de
Integración de los grupos de identidades de Amazon Cognito
La otra mitad de Amazon Cognito son grupos de identidades. Los grupos de identidades proporcionan credenciales que autorizan y supervisan API las solicitudes de sus usuarios a Servicios de AWS, por ejemplo, Amazon DynamoDB o Amazon S3. Puede crear políticas de acceso basadas en la identidad que protejan los datos en función de la forma en que clasifique a los usuarios del grupo de usuarios. Los grupos de identidades también pueden aceptar tokens y afirmaciones SAML 2.0 de diversos proveedores de identidad, independientemente de la autenticación de los grupos de usuarios.
Temas relacionados de
