Creación de cuentas de usuario como administrador - Amazon Cognito
Flujos de autenticación de usuarios y creación de usuariosCree usuarios sin contraseñasCrear usuarios que proporcionen los valores de los atributos obligatorios más adelanteCreación de un usuario nuevo en la AWS Management Console

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de cuentas de usuario como administrador

Los grupos de usuarios no son solo un directorio de usuarios de administración de acceso e identidad de los clientes (CIAM) donde cualquier usuario de Internet puede registrarse para obtener un perfil de usuario en su aplicación. Puede deshabilitar el registro de autoservicio. Es posible que ya conozca a los clientes y solo desee admitir a aquellos que hayan sido autorizados previamente. Puede colocar barreras de protección de autenticación manual en torno a su aplicación con un proveedor de identidades SAML 2.0 u OIDC privado, importando usuarios, filtrándolos al registrarse o creando usuarios mediante operaciones administrativas de API. Su flujo de trabajo para la creación administrativa de usuarios puede ser programático, aprovisionar a los usuarios después de que se hayan registrado en otro sistema, o puede realizarse mediante pruebas en la consola de Amazon Cognito. case-by-case

Al crear usuarios como administrador, Amazon Cognito establece una contraseña temporal para dichos usuarios y les envía un mensaje de bienvenida o de invitación. Los usuarios pueden seguir el enlace del mensaje de invitación e iniciar sesión por primera vez, establecer una contraseña y confirmar su cuenta. En la siguiente página se describe cómo crear usuarios nuevos y configurar el mensaje de bienvenida. Para obtener más información sobre la creación de usuarios con la API de grupos de usuarios y un AWS SDK o un CDK, consulte. AdminCreateUser

Después de crear el grupo de usuarios, puede crear usuarios mediante la API AWS Management Console Amazon Cognito AWS Command Line Interface o la API de Amazon Cognito. Puede crear un perfil para un usuario nuevo de un grupo de usuarios y enviar un mensaje de bienvenida con instrucciones de inscripción al usuario a través de SMS o correo electrónico.

A continuación, se muestran algunos ejemplos de cómo los administradores pueden gestionar los usuarios de los grupos de usuarios.

  • Cree un nuevo perfil de usuario en la consola de Amazon Cognito o con la operación de la AdminCreateUser API.

  • Haga que username-and-password los flujos de autenticación personalizados, sin contraseña y con clave de paso estén disponibles para su grupo de usuarios y su cliente de aplicaciones.

  • Establezca los valores de los atributos de usuario.

  • Cree atributos personalizados.

  • Establezca el valor de los atributos personalizados inmutables en las solicitudes de API. AdminCreateUser Esta característica no está disponible en la consola de Amazon Cognito.

  • Especifique una contraseña temporal, cree un usuario sin contraseña o permita que Amazon Cognito genere una contraseña automáticamente.

  • Cree nuevos usuarios y confirme automáticamente sus cuentas, verifique sus direcciones de correo electrónico o verifique sus números de teléfono.

  • Especifique los mensajes de invitación por SMS y correo electrónico personalizados para los nuevos usuarios mediante los AWS Management Console activadores Lambda, como el mensaje personalizado, el remitente de SMS personalizado y el remitente de correo electrónico personalizado.

  • Especificar si los mensajes de la invitación se envían mediante SMS, correo electrónico o ambos.

  • Volver a enviar el mensaje de bienvenida a un usuario existente llamando al API AdminCreateUser y especificando RESEND para el parámetro MessageAction.

  • Suprima el envío del mensaje de invitación al crear el usuario.

  • Especifique un límite de tiempo de caducidad de hasta 90 días para las nuevas cuentas de usuario.

  • Permitir a los usuarios inscribirse o requerir que solo el administrador añada a los usuarios nuevos.

Los administradores también pueden iniciar sesión en los usuarios con AWS credenciales en una aplicación del lado del servidor. Para obtener más información, consulte Modelos de autorización para la autenticación mediante API y SDK.

Flujos de autenticación de usuarios y creación de usuarios

La creación administrativa de usuarios tiene opciones que varían según la configuración del grupo de usuarios. Los flujos de autenticación, o los métodos disponibles para los usuarios para el inicio de sesión y la MFA, pueden cambiar la forma en que se crean los usuarios y los mensajes que se les envían. A continuación, se muestran algunos flujos de autenticación que están disponibles en los grupos de usuarios.

  • Nombre de usuario y contraseña

  • Claves de paso

  • Inicie sesión con un tercero IdPs

  • Sin contraseña con contraseñas de un solo uso por correo electrónico y SMS () OTPs

  • Autenticación multifactorial con correo electrónico, SMS y aplicación de autenticación OTPs

  • Autenticación personalizada con activadores Lambda

Para obtener más información sobre cómo configurar estos factores de inicio de sesión, consulte. Autenticación con grupos de usuarios de Amazon Cognito

Cree usuarios sin contraseñas

Si ha activado el inicio de sesión sin contraseña en su grupo de usuarios, puede crear usuarios sin contraseñas. Para crear un usuario sin contraseña, debe proporcionar valores de atributo para un factor de inicio de sesión sin contraseña disponible. Por ejemplo, si el inicio de sesión OTP sin contraseña por correo electrónico está disponible en su grupo de usuarios, puede crear un usuario sin contraseña y con un atributo de dirección de correo electrónico. Si los únicos flujos de autenticación disponibles para los nuevos usuarios requieren una contraseña, por ejemplo, una clave de paso o un nombre de usuario-contraseña, debe crear o generar una contraseña temporal para cada usuario nuevo.

Para crear un usuario nuevo sin contraseña

  • Seleccione No establecer una contraseña en la consola de Amazon Cognito

  • Omita o deje en blanco el TemporaryPassword parámetro de su solicitud de API AdminCreateUser

Los usuarios sin contraseña se confirman automáticamente

Normalmente, los nuevos usuarios obtienen una contraseña temporal y pasan a un FORCE_CHANGE_PASSWORD estado al crearlos. Al crear usuarios sin contraseñas, pasan inmediatamente a un CONFIRMED estado. No puedes reenviar los códigos de confirmación a estos usuarios del CONFIRMED estado.

Los mensajes de invitación cambian para los usuarios sin contraseñas.

De forma predeterminada, Amazon Cognito envía un mensaje de invitación a los nuevos usuarios que dice Your username is {userName} and your password is {####}. Cuando cree usuarios sin contraseña, el mensaje dice Your username is {userName}. Personalice su mensaje de invitación para indicar si va a establecer contraseñas para los usuarios. Omita la variable de {####} contraseña en los modelos de autenticación sin contraseña.

No se pueden generar contraseñas automáticamente cuando hay factores sin contraseña disponibles

Si ha configurado su grupo de usuarios para que admita el inicio de sesión sin contraseña mediante OTP por correo electrónico o teléfono, no podrá generar una contraseña automáticamente. Para cada usuario que vaya a tener una contraseña, debes establecer una contraseña temporal al crear su perfil.

Los usuarios sin contraseña deben tener valores para todos los atributos obligatorios

Al crear un usuario sin contraseña, la solicitud solo es válida si el usuario proporciona valores para todos los atributos que ha marcado como obligatorios en el grupo de usuarios. Esto se aplica a cualquier atributo obligatorio, no solo a los atributos de número de teléfono y correo electrónico necesarios para la entrega mediante OTP.

Crear usuarios que proporcionen los valores de los atributos obligatorios más adelante

Es posible que desee requerir atributos en su grupo de usuarios, pero recopilarlos después de crear los usuarios de forma administrativa, durante la interacción de los usuarios en su aplicación. Los administradores pueden omitir los valores de los atributos obligatorios al crear usuarios con contraseñas temporales. No puede omitir los valores de los atributos obligatorios para los usuarios sin contraseña.

Los usuarios a los que les falten valores en los atributos obligatorios y que tengan una contraseña temporal reciben el comando NEW_PASSWORD_REQUIRED al iniciar sesión por primera vez. A continuación, pueden proporcionar un valor para los atributos obligatorios que faltan en el parámetro. requiredAttributes Puede crear usuarios con contraseñas y sin los atributos necesarios solo si todos los atributos necesarios son mutables. Los usuarios solo pueden completar el inicio de sesión con NEW_PASSWORD_REQUIRED desafíos y valores de atributos obligatorios si los atributos necesarios se pueden escribir desde el cliente de la aplicación con el que inician sesión.

Cuando estableces una contraseña permanente para un usuario creado por el administrador, su estado cambia CONFIRMED y tu grupo de usuarios no les pide una nueva contraseña ni los atributos obligatorios la primera vez que inician sesión.

Creación de un usuario nuevo en la AWS Management Console

Puede establecer requisitos de contraseña de usuario, configurar los mensajes de invitación y verificación enviados a los usuarios y agregar nuevos usuarios con la consola de Amazon Cognito.

Establecer una política de contraseñas y habilitar el autorregistro

Puede configurar los ajustes para reducir al mínimo la complejidad de las contraseñas y determinar si los usuarios pueden registrarse mediante el sistema público APIs en su grupo de usuarios.

Configurar una política de contraseñas

  1. Vaya a la consola de Amazon Cognito y elija User Pools (Grupos de usuarios).

  2. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  3. Seleccione el menú Métodos de autenticación y busque la política de contraseñas. Elija Edit (Editar).

  4. Elija un Password policy mode (Modo de política de contraseñas) de Custom (Personalizado).

  5. Elija una Password minimum length (Longitud mínima de la contraseña). Para conocer los límites del requisito de longitud de la contraseña, consulte Cuotas de recursos de grupos de usuarios.

  6. Elija un requisito de Password complexity (Complejidad de la contraseña).

  7. Elija durante cuánto tiempo debe ser válida la contraseña establecida por los administradores.

  8. Elija Save changes (Guardar cambios).

Permitir registro de autoservicio

  1. Vaya a la consola de Amazon Cognito y elija User Pools (Grupos de usuarios).

  2. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  3. Seleccione el menú de registro y busque el registro de autoservicio. Seleccione Edit (Editar).

  4. Elija si desea activar la opción Enable self-registration (Habilitar el autorregistro). El registro automático se suele utilizar con clientes de aplicaciones públicas que necesitan registrar nuevos usuarios en su grupo de usuarios sin distribuir un secreto de cliente o credenciales de API AWS Identity and Access Management (IAM).

    Desactivación del autorregistro

    Si no se habilita el autorregistro, se deben crear nuevos usuarios mediante acciones de API administrativas con credenciales API de AMI o iniciando sesión con proveedores federados.

  5. Elija Guardar cambios.

Personalizar mensajes de correo electrónico y SMS

Personalizar mensajes de usuario

Puede personalizar los mensajes que Amazon Cognito envía a los usuarios cuando los invita a iniciar sesión, cuando se registran para obtener una cuenta de usuario o cuando inician sesión y se les solicita autenticación multifactor (MFA).

nota

Se envía un Invitation message (Mensaje de invitación) al crear un usuario en el grupo de usuarios e invitarlo a iniciar sesión. Amazon Cognito envía información de inicio de sesión inicial a la dirección de correo electrónico o el número de teléfono del usuario.

Se envía un Verification message (Mensaje de verificación) cuando un usuario se registra para obtener una cuenta de usuario en el grupo de usuarios. Amazon Cognito envía un código al usuario. Cuando el usuario proporciona el código a Amazon Cognito, verifica su información de contacto y confirma la cuenta para iniciar sesión. Los códigos de verificación son válidos durante 24 horas.

Se envía un MFA message (Mensaje de MFA) cuando se habilita la MFA por SMS en el grupo de usuarios, y un usuario que ha configurado MFA por SMS inicia sesión y se le solicita MFA.

  1. Vaya a la consola de Amazon Cognito y elija User pools (Grupos de usuarios).

  2. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  3. Elija el menú Plantillas de mensajes y seleccione Mensaje de verificación, Mensaje de invitación o Mensaje de MFA y seleccione Editar.

  4. Personalice los mensajes en función del tipo de mensaje elegido.

    nota

    Todas las variables de las plantillas de mensajes deben incluirse al personalizar el mensaje. Si, por ejemplo, no se incluye la variable {####}, el usuario no tendrá información suficiente para completar la acción de mensaje.

    Para obtener más información, consulte Plantillas de mensaje.

    1. Verification messages (Mensajes de verificación)

      1. Elija un Verification type (Tipo de verificación) para mensajes de Email (Correo electrónico). Una verificación de Code (Código) envía un código numérico que el usuario debe ingresar. Una verificación por Link (Enlace) envía un enlace en el que el usuario puede hacer clic para verificar su información de contacto. El texto de la variable de un mensaje de Link (Enlace) se muestra como texto de hipervínculo. Por ejemplo, una plantilla de mensaje que utiliza la variable {##Click here##} se mostrará como Click here (Haga clic aquí) en el mensaje de correo electrónico.

      2. Ingrese un Email subject (Asunto del correo electrónico) para los mensajes de Email (Correo electrónico).

      3. Ingrese una plantilla personalizada de Email message (Mensaje de correo electrónico) para los mensajes de Email (Correo electrónico). Puede personalizar esta plantilla con HTML.

      4. Ingrese una plantilla personalizada de SMS message (Mensaje SMS) para los SMS.

      5. Elija Guardar cambios.

    2. Invitation messages (Mensajes de invitación)

      1. Ingrese un Email subject (Asunto del correo electrónico) para los mensajes de Email (Correo electrónico).

      2. Ingrese una plantilla personalizada de Email message (Mensaje de correo electrónico) para los mensajes de Email (Correo electrónico). Puede personalizar esta plantilla con HTML.

      3. Ingrese una plantilla personalizada de SMS message (Mensaje SMS) para los SMS.

      4. Elija Guardar cambios.

    3. MFA messages (Mensajes MFA)

      1. Ingrese una plantilla personalizada de SMS message (Mensaje SMS) para los SMS.

      2. Elija Guardar cambios.

Creación de un usuario

Creación de un usuario

Puede crear nuevos usuarios para su grupo de usuarios desde la consola de Amazon Cognito. Normalmente, los usuarios pueden iniciar sesión después de haber establecido una contraseña. Para iniciar sesión con una dirección de correo electrónico, el usuario debe verificar el atributo email. Para iniciar sesión con un número de teléfono, el usuario debe verificar el atributo phone_number. Para confirmar las cuentas como administrador, también puedes usar la API AWS CLI o crear perfiles de usuario con un proveedor de identidad federado. Para obtener más información, consulte la sección de referencia de API de Amazon Cognito.

  1. Vaya a la consola de Amazon Cognito y elija User pools (Grupos de usuarios).

  2. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  3. Seleccione el menú Usuarios y, a continuación, seleccione Crear un usuario.

  4. Revise User pool sign-in and security requirements (Requisitos de seguridad e inicio de sesión del grupo de usuarios) para obtener información sobre los requisitos de contraseña, los métodos de recuperación de cuentas disponibles y los atributos de alias para el grupo de usuarios.

  5. Elija cómo desea enviar un Invitation message (Mensaje de invitación). Elija entre mensaje SMS, mensaje de correo electrónico o ambas opciones. Para suprimir el mensaje de invitación, selecciona No enviar una invitación.

    nota

    Antes de poder enviar mensajes de invitación, configure un remitente y uno Región de AWS con Amazon Simple Notification Service y Amazon Simple Email Service en el menú de métodos de autenticación de su grupo de usuarios. Se aplican tarifas de mensajes y de datos al destinatario. Amazon SES le factura por los mensajes de correo electrónico por separado, así como Amazon SNS le factura por los mensajes SMS por separado.

  6. Elija un Username (Nombre de usuario) para el nuevo usuario.

  7. Elija Create a password (Crear una contraseña) o bien que lo haga Amazon Cognito seleccionando Generate a password (Generar una contraseña). La opción de generar una contraseña no está disponible si el inicio de sesión sin contraseña está disponible en el grupo de usuarios. Cualquier contraseña temporal debe cumplir con la política de contraseñas del grupo de usuarios.

  8. Seleccione Crear.

  9. Seleccione el menú Usuarios y elija la entrada de nombre de usuario para el usuario. Agregue y edite User attributes (Atributos de usuario) y Group memberships (Miembros de grupos). Consulta User event history (Historial de eventos del usuario).