¿Trabaja con la autenticación adaptativa - Amazon Cognito
Información general sobre la autenticación flexibleAñadir datos de sesión a API las solicitudesVisualización del historial de eventos de los usuariosSuministro de comentarios sobre los eventosEnvío de mensajes de notificación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Trabaja con la autenticación adaptativa

Con la autenticación flexible, puede configurar el grupo de usuarios para bloquear los inicios de sesión sospechosos o agregar la autenticación de segundo factor en respuesta a un aumento del nivel de riesgo. Para cada intento de inicio de sesión, Amazon Cognito genera una puntuación de riesgo que indica la probabilidad de que la solicitud de inicio de sesión proceda de un origen comprometido. Esta puntuación de riesgo se basa en los factores de dispositivo y usuario que proporciona su aplicación y otros que Amazon Cognito deduce de la solicitud. Algunos factores que contribuyen a la evaluación del riesgo por parte de Amazon Cognito son la dirección IP y el agente de usuario, el agente de usuario y la distancia geográfica con respecto a otros intentos de inicio de sesión. La autenticación adaptativa puede activar o requerir la autenticación multifactorial (MFA) para un usuario de su grupo de usuarios cuando Amazon Cognito detecta un riesgo en la sesión de un usuario y el usuario aún no ha elegido MFA un método. Cuando se activa MFA para un usuario, siempre se le pide que proporcione o configure un segundo factor durante la autenticación, independientemente de cómo haya configurado la autenticación adaptativa. Desde el punto de vista del usuario, la aplicación ofrece ayuda para realizar la configuración yMFA, de forma opcional, Amazon Cognito impide que vuelva a iniciar sesión hasta que haya configurado un factor adicional.

Amazon Cognito publica métricas sobre los intentos de inicio de sesión, sus niveles de riesgo y las impugnaciones fallidas a Amazon. CloudWatch Para obtener más información, consulte Visualización de las métricas de protección contra amenazas.

Para añadir la autenticación flexible a un grupo de usuarios, consulte Grupo de usuarios: funciones de seguridad avanzadas.

Información general sobre la autenticación flexible

En la pestaña Seguridad avanzada de la consola de Amazon Cognito, puede elegir la configuración de la autenticación adaptativa, incluidas las medidas que se deben tomar en los diferentes niveles de riesgo y la personalización de los mensajes de notificación para los usuarios. Puede asignar una configuración de seguridad avanzada global a todos sus clientes de aplicaciones, pero aplicar una configuración de nivel de cliente a los clientes de aplicaciones individuales.

La autenticación adaptativa de Amazon Cognito asigna uno de los siguientes niveles de riesgo a cada sesión de usuario: alto, medio, bajo o sin riesgo.

Estudie bien sus opciones cuando cambie Enforcement method (Método de aplicación) de Audit-only (Solo auditoría) a Full-function (Función completa). Las respuestas automáticas que se aplican a los niveles de riesgo influyen en el nivel de riesgo que Amazon Cognito asigna a las sesiones de usuario posteriores con las mismas características. Por ejemplo, si decide no realizar ninguna acción o marcar Allow (Permitir) en las sesiones de usuario que Amazon Cognito evalúa inicialmente como de alto riesgo, Amazon Cognito considera que las sesiones similares tienen un riesgo menor.

Para cada nivel de riesgo, puede elegir entre las opciones siguientes:

Opción

Acción
Permitir Los usuarios pueden iniciar sesión sin un factor adicional.
Opcional MFA Los usuarios que tengan configurado un segundo factor deberán superar un segundo desafío de segundo factor para iniciar sesión. Los segundos factores disponibles son un número de teléfono SMS y un token de TOTP software. Los usuarios que no tienen un segundo factor configurado pueden iniciar sesión con un solo conjunto de credenciales.
Requerir MFA Los usuarios que tengan configurado un segundo factor deberán superar un desafío de segundo factor para iniciar sesión. Amazon Cognito bloquea el inicio de sesión de los usuarios que no hayan configurado un segundo factor.
Bloque Amazon Cognito bloquea todos los intentos de inicio de sesión con el nivel de riesgo designado.
nota

No es necesario verificar los números de teléfono para usarlos SMS como segundo factor de autenticación.

Añadir datos de usuario, dispositivo y sesión a API las solicitudes

Puede recopilar y transferir información sobre la sesión de su usuario a Amazon Cognito Advanced Security cuando utilice el API para registrarlo, iniciar sesión y restablecer su contraseña. Esta información incluye la dirección IP de su usuario y un identificador de dispositivo único.

Es posible que tenga un dispositivo de red intermedio entre sus usuarios y Amazon Cognito, como un servicio proxy o un servidor de aplicaciones. Puede recopilar los datos de contexto de los usuarios y pasarlos a Amazon Cognito para que la autenticación adaptativa calcule el riesgo en función de las características del punto de conexión de usuario, en lugar de su servidor o proxy. Si su aplicación del lado del cliente llama directamente a las operaciones de Amazon API Cognito, la autenticación adaptativa registra automáticamente la dirección IP de origen. Sin embargo, no registra otra información del dispositivo, como el user-agent, a menos que también recoja una huella digital del dispositivo.

Genere estos datos con la biblioteca de recopilación de datos contextuales de Amazon Cognito y envíelos a Amazon Cognito Advanced Security con ContextDatalos parámetros y. UserContextData La biblioteca de recopilación de datos contextuales se incluye en. AWS SDKs Para obtener más información, consulte Integración de Amazon Cognito en aplicaciones web y móviles. Puede enviar ContextData si ha activado características de seguridad avanzadas en su grupo de usuarios. Para obtener más información, consulte Configuración de las características de seguridad avanzadas.

Cuando llames a las siguientes API operaciones autenticadas de Amazon Cognito desde tu servidor de aplicaciones, introduce la IP del dispositivo del usuario en el parámetro. ContextData Además, debe transferir el nombre del servidor, la ruta del servidor y los datos de la huella dactilar codificada del dispositivo.

Cuando llama a Amazon Cognito a API operaciones no autenticadas, puede recurrir a las funciones de seguridad avanzadas de Amazon UserContextData Cognito. Estos datos incluyen una huella digital de dispositivo en el parámetro EncodedData. También puede enviar un parámetro IpAddress en su UserContextData si cumple las condiciones siguientes:

La aplicación puede rellenar el UserContextData parámetro con datos codificados de las huellas digitales del dispositivo y la dirección IP del dispositivo del usuario en las siguientes operaciones no autenticadas de Amazon Cognito. API

Aceptación de datos de contexto de usuario adicionales (AWS Management Console)

El grupo de usuarios acepta una dirección IP en un parámetro UserContextData después de activar la característica Accept additional user context data (Aceptar datos de contexto de usuario adicionales). No es necesario activar esta característica si:

  • Sus usuarios solo inician sesión con API operaciones autenticadas como, por ejemplo, y usted usa el parámetro. AdminInitiateAuth ContextData

  • Solo querrá que sus API operaciones no autenticadas envíen la huella digital del dispositivo, pero no una dirección IP, a las funciones de seguridad avanzadas de Amazon Cognito.

Actualice el cliente de aplicación como se indica a continuación en la consola de Amazon Cognito para agregar compatibilidad con datos de contexto de usuario adicionales.

  1. Inicie sesión en la consola de Amazon Cognito.

  2. En el panel de navegación, elija Manage your User Pools (Administrar sus grupos de usuarios) y elija el grupo de usuarios que desea editar.

  3. Elija la pestaña App integration (Integración de aplicaciones).

  4. En App clients and analytics (Clientes de aplicaciones y análisis), elija o cree un cliente de aplicación. Para obtener más información, consulte Configuración de un cliente de aplicación para grupos de usuarios.

  5. Elija Edit (Editar) desde el contenedor de App client information (Información del cliente de aplicación).

  6. En Advanced authentication settings (Configuración avanzada de autenticación) del cliente de aplicación, elija Accept additional user context data (Aceptar datos de contexto de usuario adicionales).

  7. Elija Guardar cambios.

Para configurar el cliente de la aplicación para que acepte datos de contexto de usuario en Amazon CognitoAPI, EnablePropagateAdditionalUserContextData configúrelo true en una solicitud CreateUserPoolCliento UpdateUserPoolClient. Para obtener información sobre cómo activar la seguridad avanzada desde la aplicación web o móvil, consulte Activación de la seguridad avanzada del grupo de usuarios desde la aplicación. Recopile los datos contextuales del usuario desde el lado del cliente cuando la aplicación llame a Amazon Cognito desde el servidor. A continuación, se muestra un ejemplo en el que se utiliza el JavaScript SDK métodogetData.

var EncodedData = AmazonCognitoAdvancedSecurityData.getData(username, userPoolId, clientId);

Cuando diseñe la aplicación para que utilice la autenticación adaptativa, le recomendamos que incorpore la versión más reciente de Amazon Cognito SDK en la aplicación. La última versión de SDK recopila información sobre las huellas digitales del dispositivo, como el ID del dispositivo, el modelo y la zona horaria. Para obtener más información sobre Amazon CognitoSDKs, consulte Instalar un grupo de usuarios. SDK La seguridad avanzada de Amazon Cognito solo guarda y asigna una puntuación de riesgo a los eventos que la aplicación envía en el formato correcto. Si Amazon Cognito devuelve una respuesta de error, compruebe que la solicitud incluye un hash secreto válido y que el IPaddress parámetro es una dirección IPv4 OR IPv6 válida.

Recursos ContextData y UserContextData

Visualización y exportación del historial de eventos del usuario

Amazon Cognito genera un registro para cada evento de autenticación realizado por un usuario cuando se habilita la protección avanzada contra amenazas a la seguridad. De forma predeterminada, puede ver los registros de los usuarios en la pestaña Usuarios de la consola de Amazon Cognito o con la AdminListUserAuthEventsAPIoperación. También puede exportar estos eventos a un sistema externo como CloudWatch Logs, Amazon S3 o Amazon Data Firehose. La función de exportación puede hacer que la información de seguridad sobre la actividad de los usuarios en su aplicación sea más accesible para sus propios sistemas de análisis de seguridad.

Visualización del historial de eventos del usuario ()AWS Management Console

Para ver el historial de inicios de sesión de un usuario, puede elegir el usuario en Users (Usuarios) en la consola de Amazon Cognito. Amazon Cognito conserva el historial de eventos del usuario durante de dos años.

Historial de eventos del usuario

Cada evento de inicio de sesión tiene un ID de evento. El evento también tiene los datos contextuales correspondientes, como la ubicación, los detalles del dispositivo y los resultados de detección de riesgos.

También puede correlacionar el ID de evento con el token que Amazon Cognito emitió en el momento en que registró el evento. El ID y los tokens de acceso incluyen este ID de evento en su carga. Amazon Cognito también correlaciona el uso de tokens de actualización con el ID de evento original. El ID de evento original permite localizar el ID de evento del inicio de sesión que dio lugar a la emisión de los tokens de Amazon Cognito. Esto le permite realizar un seguimiento del uso de un token en su sistema hasta un evento de autenticación en concreto. Para obtener más información, consulte Descripción de los tokens JSON web de grupos de usuarios (JWTs).

Visualización del historial de eventos del usuario (API/CLI)

Puede consultar el historial de eventos del usuario con la API operación Amazon Cognito AdminListUserAuthEventso con AWS Command Line Interface (AWS CLI) con admin-list-user-auth -events.

AdminListUserAuthEvents request

El siguiente cuerpo de la solicitud AdminListUserAuthEvents devuelve el registro de actividad más reciente de un usuario.

{
  "UserPoolId": "us-west-2_EXAMPLE", 
  "Username": "myexampleuser", 
  "MaxResults": 1
}
admin-list-user-auth-events request

La siguiente solicitud admin-list-user-auth-events devuelve el registro de actividad más reciente de un usuario.

aws cognito-idp admin-list-user-auth-events --max-results 1 --username myexampleuser --user-pool-id us-west-2_EXAMPLE
Response

Amazon Cognito devuelve el mismo cuerpo de JSON respuesta a ambas solicitudes. El siguiente es un ejemplo de respuesta para un evento de inicio de sesión en la interfaz de usuario alojado que no contenía factores de riesgo:

{
    "AuthEvents": [
        {
            "EventId": "[event ID]",
            "EventType": "SignIn",
            "CreationDate": "[Timestamp]",
            "EventResponse": "Pass",
            "EventRisk": {
                "RiskDecision": "NoRisk",
                "CompromisedCredentialsDetected": false
            },
            "ChallengeResponses": [
                {
                    "ChallengeName": "Password",
                    "ChallengeResponse": "Success"
                }
            ],
            "EventContextData": {
                "IpAddress": "192.168.2.1",
                "DeviceName": "Chrome 125, Windows 10",
                "Timezone": "-07:00",
                "City": "Bellevue",
                "Country": "United States"
            }
        }
    ],
    "NextToken": "[event ID]#[Timestamp]"
}

Exportación de eventos de autenticación de usuarios

Configure su grupo de usuarios para exportar los eventos de los usuarios desde una protección avanzada contra amenazas a la seguridad a un sistema externo. Los sistemas externos compatibles (Amazon S3, CloudWatch Logs y Amazon Data Firehose) pueden añadir costes a su AWS factura por los datos que envíe o recupere. Para obtener más información, consulte Exportación de los registros de actividad de los usuarios de seguridad avanzada.

AWS Management Console

  1. Inicie sesión en la consola de Amazon Cognito.

  2. Elija User Pools (Grupos de usuarios).

  3. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  4. Selecciona la pestaña Seguridad avanzada. Busca Exportar registros de actividad de los usuarios y selecciona Editar

  5. En Estado de registro, selecciona la casilla de verificación situada junto a Activar la exportación del registro de actividad del usuario.

  6. En Destino del registro, elige el Servicio de AWS que quieres que gestione tus registros: grupo de CloudWatch registros, transmisión de Amazon Data Firehose o bucket de S3.

  7. Su selección rellenará el selector de recursos con el tipo de recurso correspondiente. Seleccione un grupo de registros, un flujo o un depósito de la lista. También puede seleccionar el botón Crear AWS Management Console para ir al servicio seleccionado y crear un recurso nuevo.

  8. Seleccione Guardar cambios.

API

Elija un tipo de destino para los registros de actividad de los usuarios.

A continuación se muestra un ejemplo del cuerpo de una SetLogDeliveryConfiguration solicitud que establece una transmisión Firehose como destino del registro.

{
   "LogConfigurations": [
      {
         "EventSource": "userAuthEvents",
         "FirehoseConfiguration": {
            "StreamArn": "arn:aws:firehose:us-west-2:123456789012:deliverystream/example-user-pool-activity-exported"
         },
         "LogLevel": "INFO"
      }
   ],
   "UserPoolId": "us-west-2_EXAMPLE"
}

A continuación se muestra un ejemplo del cuerpo de una SetLogDeliveryConfiguration solicitud que establece un bucket de Amazon S3 como destino del registro.

{
   "LogConfigurations": [
      {
         "EventSource": "userAuthEvents",
         "S3Configuration": { 
            "BucketArn": "arn:aws:s3:::amzn-s3-demo-logging-bucket"
         },
         "LogLevel": "INFO"
      }
   ],
   "UserPoolId": "us-west-2_EXAMPLE"
}

A continuación, se muestra un ejemplo del cuerpo de la SetLogDeliveryConfiguration solicitud que establece un CloudWatch grupo de registros como destino del registro.

{
   "LogConfigurations": [
      {
         "EventSource": "userAuthEvents",
         "CloudWatchLogsConfiguration": { 
            "LogGroupArn": "arn:aws:logs:us-west-2:123456789012:log-group:DOC-EXAMPLE-LOG-GROUP"
         },
         "LogLevel": "INFO"
      }
   ],
   "UserPoolId": "us-west-2_EXAMPLE"
}

Suministro de comentarios sobre los eventos

Los comentarios sobre los eventos afectan a la evaluación de riesgos en tiempo real y mejoran el algoritmo de evaluación de riesgos a lo largo del tiempo. Puede enviar comentarios sobre la validez de los intentos de inicio de sesión a través de la consola API y las operaciones de Amazon Cognito.

nota

Sus comentarios sobre el evento influyen en el nivel de riesgo que Amazon Cognito asigna a las sesiones de usuario posteriores con las mismas características.

En la consola de Amazon Cognito, elija un usuario en la pestaña Users (Usuarios) y seleccione Provide event feedback (Proporcionar comentarios sobre el evento). Puede revisar los detalles del evento y marcar Set as valid (Establecer como válido) o Set as invalid (Establecer como no válido).

La consola enumera el historial de inicios de sesión en la pestaña Users and groups (Usuarios y grupos). Si selecciona una entrada, puede marcar el evento como válido o no válido. También puede enviar comentarios a través de la API operación AdminUpdateAuthEventFeedbackdel grupo de usuarios y mediante el AWS CLI comando admin-update-auth-event -feedback.

Cuando selecciona Establecer como válido en la consola de Amazon Cognito o proporciona un FeedbackValue valor de valid en elAPI, indica a Amazon Cognito que confía en una sesión de usuario en la que Amazon Cognito ha evaluado algún nivel de riesgo. Cuando selecciona Establecer como no válido en la consola de Amazon Cognito o proporciona un FeedbackValue valor de invalid en elAPI, indica a Amazon Cognito que no confía en una sesión de usuario o que no cree que Amazon Cognito haya evaluado un nivel de riesgo lo suficientemente alto.

Envío de mensajes de notificación

Con protecciones de seguridad avanzadas, Amazon Cognito puede notificar a los usuarios los intentos de inicio de sesión de riesgo. Amazon Cognito también puede solicitar a los usuarios que seleccionen enlaces para indicar si el inicio de sesión es válido o no. Amazon Cognito utiliza estos comentarios para mejorar la precisión de la detección de riesgos de su grupo de usuarios.

En la sección Automatic risk response (Respuesta automática al riesgo) elija Notify Users (Notificar a los usuarios) para los casos de riesgo bajo, medio y alto.

Notificación a los usuarios

Amazon Cognito envía notificaciones por correo electrónico a sus usuarios independientemente de si han verificado su dirección de correo electrónico.

Puede personalizar los mensajes de correo electrónico de notificación y proporcionar tanto texto sin formato como versiones de estos mensajes. HTML Para personalizar las notificaciones por correo electrónico, abra Email templates (Plantillas de correo electrónico) desde Adaptive authentication messages (Mensajes de autenticación flexible) en su configuración de seguridad avanzada. Para obtener más información sobre las plantillas de correo electrónico, consulte Plantillas de mensaje.