Creación de cuentas de usuario como administrador - Amazon Cognito
Flujo de autenticación para usuarios creados por los administradores o los desarrolladoresCreación de un usuario nuevo en la AWS Management Console

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de cuentas de usuario como administrador

Después de crear el grupo de usuarios, puede crear usuarios con la AWS Management Console, así como el AWS Command Line Interface o la API de Amazon Cognito. Puede crear un perfil para un usuario nuevo de un grupo de usuarios y enviar un mensaje de bienvenida con instrucciones de inscripción al usuario a través de SMS o correo electrónico.

Los desarrolladores y los administradores pueden realizar las siguientes tareas:

  • Crear un perfil de usuario nuevo usando la AWS Management Console o llamando a la API AdminCreateUser.

  • Establezca los valores de los atributos de usuario.

  • Cree atributos personalizados.

  • Establezca el valor de los atributos personalizados inmutables en las solicitudes de API de AdminCreateUser. Esta característica no está disponible en la consola de Amazon Cognito.

  • Especifique la contraseña temporal o permita que Amazon Cognito genere una de manera automática.

  • Especificar si las direcciones de correo electrónico y los números de teléfono proporcionados se marcan como verificados para los nuevos usuarios.

  • Especificar mensajes de invitación por SMS y correo electrónico personalizados para los nuevos usuarios mediante la AWS Management Console o un disparador Lambda de mensaje personalizado. Para obtener más información, consulte Personalización de flujos de trabajo de grupos de usuarios con desencadenadores de Lambda.

  • Especificar si los mensajes de la invitación se envían mediante SMS, correo electrónico o ambos.

  • Volver a enviar el mensaje de bienvenida a un usuario existente llamando al API AdminCreateUser y especificando RESEND para el parámetro MessageAction.

    nota

    Esta acción no se puede realizar actualmente con la AWS Management Console.

  • Suprimir el envío del mensaje de invitación cuando se crea el usuario.

  • Especificar un plazo de vencimiento para la cuenta de usuario (máximo 90 días).

  • Permitir a los usuarios inscribirse o requerir que solo el administrador añada a los usuarios nuevos.

Flujo de autenticación para usuarios creados por los administradores o los desarrolladores

El flujo de autenticación para estos usuarios incluye el paso adicional de enviar la nueva contraseña y proporcionar todos los valores que falten a los atributos obligatorios. Los pasos se indican a continuación; los pasos 5, 6 y 7 son específicos para dicho usuarios.

  1. El usuario inicia la sesión por primera vez introduciendo su nombre de usuario y su contraseña.

  2. El SDK llama a InitiateAuth(Username, USER_SRP_AUTH).

  3. Amazon Cognito devuelve el desafío PASSWORD_VERIFIER con un bloque de sal y secreto.

  4. El SDK realiza los cálculos de SRP y llama a RespondToAuthChallenge(Username, <SRP variables>, PASSWORD_VERIFIER).

  5. Amazon Cognito devuelve el desafío NEW_PASSWORD_REQUIRED. El cuerpo de este desafío incluye los atributos actuales del usuario y cualquier atributo requerido en su grupo de usuarios que no tenga actualmente un valor en el perfil del usuario. Para obtener más información, consulte RespondToAuthChallenge.

  6. Se indica al usuario que especifique una nueva contraseña y todos los valores que faltan para los atributos obligatorios.

  7. El SDK llama a RespondToAuthChallenge(Username, <New password>, <User attributes>).

  8. Si el usuario necesita otro factor para la MFA, Amazon Cognito devuelve el desafío SMS_MFA y se envía el código.

  9. Una vez que el usuario haya cambiado correctamente su contraseña y, opcionalmente, haya proporcionado los valores de atributo o completado el MFA, se inicia sesión para el usuario y se emiten los tokens.

Cuando el usuario haya respondido a todos los desafíos, el servicio de Amazon Cognito marcará al usuario como confirmado y generará los tokens de ID, acceso y actualización del usuario. Para obtener más información, consulte Uso de tokens con grupos de usuarios.

Creación de un usuario nuevo en la AWS Management Console

Puede establecer requisitos de contraseña de usuario, configurar los mensajes de invitación y verificación enviados a los usuarios y agregar nuevos usuarios con la consola de Amazon Cognito.

Establecer una política de contraseñas y habilitar el autorregistro

Puede configurar los ajustes para que la complejidad de las contraseñas sea mínima y para que los usuarios puedan registrarse mediante API públicas en su grupo de usuarios.

Configurar una política de contraseñas

  1. Vaya a la consola de Amazon Cognito y elija User Pools (Grupos de usuarios).

  2. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  3. Elija la pestaña Sign-in experience (Experiencia de inicio de sesión) y localice Password policy (Política de contraseñas). Elija Edit (Editar).

  4. Elija un Password policy mode (Modo de política de contraseñas) de Custom (Personalizado).

  5. Elija una Password minimum length (Longitud mínima de la contraseña). Para conocer los límites del requisito de longitud de la contraseña, consulte Cuotas de recursos de grupos de usuarios.

  6. Elija un requisito de Password complexity (Complejidad de la contraseña).

  7. Elija durante cuánto tiempo debe ser válida la contraseña establecida por los administradores.

  8. Elija Save changes (Guardar cambios).

Permitir registro de autoservicio

  1. Vaya a la consola de Amazon Cognito y elija User Pools (Grupos de usuarios).

  2. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  3. Elija la pestaña Sign-up experience (Experiencia de registro) y localice Self-service sign-up (Registro de autoservicio). Seleccione Edit (Editar).

  4. Elija si desea activar la opción Enable self-registration (Habilitar el autorregistro). El autorregistro se utiliza normalmente con clientes de aplicaciones públicas que necesitan registrar nuevos usuarios en el grupo de usuarios sin distribuir un secreto de cliente o credenciales de API AWS Identity and Access Management (IAM).

    Desactivación del autorregistro

    Si no se habilita el autorregistro, se deben crear nuevos usuarios mediante acciones de API administrativas con credenciales API de AMI o iniciando sesión con proveedores federados.

  5. Elija Guardar cambios.

Personalizar mensajes de correo electrónico y SMS

Personalizar mensajes de usuario

Puede personalizar los mensajes que Amazon Cognito envía a los usuarios cuando los invita a iniciar sesión, cuando se registran para obtener una cuenta de usuario o cuando inician sesión y se les solicita autenticación multifactor (MFA).

nota

Se envía un Invitation message (Mensaje de invitación) al crear un usuario en el grupo de usuarios e invitarlo a iniciar sesión. Amazon Cognito envía información de inicio de sesión inicial a la dirección de correo electrónico o el número de teléfono del usuario.

Se envía un Verification message (Mensaje de verificación) cuando un usuario se registra para obtener una cuenta de usuario en el grupo de usuarios. Amazon Cognito envía un código al usuario. Cuando el usuario proporciona el código a Amazon Cognito, verifica su información de contacto y confirma la cuenta para iniciar sesión. Los códigos de verificación son válidos durante 24 horas.

Se envía un MFA message (Mensaje de MFA) cuando se habilita la MFA por SMS en el grupo de usuarios, y un usuario que ha configurado MFA por SMS inicia sesión y se le solicita MFA.

  1. Vaya a la consola de Amazon Cognito y elija User pools (Grupos de usuarios).

  2. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  3. Elija la pestaña Messaging (Mensajería) y localice Message templates (Plantillas de mensaje). Seleccione Verification messages (Mensajes de verificación),Invitation messages (Mensajes de invitación) o MFA messages (Mensajes MFA), y elija Edit (Editar).

  4. Personalice los mensajes en función del tipo de mensaje elegido.

    nota

    Todas las variables de las plantillas de mensajes deben incluirse al personalizar el mensaje. Si, por ejemplo, no se incluye la variable {####}, el usuario no tendrá información suficiente para completar la acción de mensaje.

    Para obtener más información, consulte Plantillas de mensaje.

    1. Verification messages (Mensajes de verificación)

      1. Elija un Verification type (Tipo de verificación) para mensajes de Email (Correo electrónico). Una verificación de Code (Código) envía un código numérico que el usuario debe ingresar. Una verificación por Link (Enlace) envía un enlace en el que el usuario puede hacer clic para verificar su información de contacto. El texto de la variable de un mensaje de Link (Enlace) se muestra como texto de hipervínculo. Por ejemplo, una plantilla de mensaje que utiliza la variable {##Click here##} se mostrará como Click here (Haga clic aquí) en el mensaje de correo electrónico.

      2. Ingrese un Email subject (Asunto del correo electrónico) para los mensajes de Email (Correo electrónico).

      3. Ingrese una plantilla personalizada de Email message (Mensaje de correo electrónico) para los mensajes de Email (Correo electrónico). Puede personalizar esta plantilla con HTML.

      4. Ingrese una plantilla personalizada de SMS message (Mensaje SMS) para los SMS.

      5. Elija Guardar cambios.

    2. Invitation messages (Mensajes de invitación)

      1. Ingrese un Email subject (Asunto del correo electrónico) para los mensajes de Email (Correo electrónico).

      2. Ingrese una plantilla personalizada de Email message (Mensaje de correo electrónico) para los mensajes de Email (Correo electrónico). Puede personalizar esta plantilla con HTML.

      3. Ingrese una plantilla personalizada de SMS message (Mensaje SMS) para los SMS.

      4. Elija Guardar cambios.

    3. MFA messages (Mensajes MFA)

      1. Ingrese una plantilla personalizada de SMS message (Mensaje SMS) para los SMS.

      2. Elija Guardar cambios.

Crear un usuario

Crear un usuario

Puede crear nuevos usuarios para su grupo de usuarios desde la consola de Amazon Cognito. Normalmente, los usuarios pueden iniciar sesión después de haber establecido una contraseña. Para iniciar sesión con una dirección de correo electrónico, el usuario debe verificar el atributo email. Para iniciar sesión con un número de teléfono, el usuario debe verificar el atributo phone_number. Para confirmar cuentas como administrador puede usar la AWS CLI o la API, o crear perfiles de usuario con un proveedor de identidades federado. Para obtener más información, consulte la sección de referencia de API de Amazon Cognito.

  1. Vaya a la consola de Amazon Cognito y elija User pools (Grupos de usuarios).

  2. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  3. Elija la pestaña Users (Usuarios) y, a continuación, elija Create a user (Crear un usuario).

  4. Revise User pool sign-in and security requirements (Requisitos de seguridad e inicio de sesión del grupo de usuarios) para obtener información sobre los requisitos de contraseña, los métodos de recuperación de cuentas disponibles y los atributos de alias para el grupo de usuarios.

  5. Elija cómo desea enviar un Invitation message (Mensaje de invitación). Elija entre mensaje SMS, mensaje de correo electrónico o ambas opciones.

    nota

    Para poder enviar mensajes de invitación debe configurar un remitente y una Región de AWS con Amazon Simple Notification Service y Amazon Simple Email Service en la pestaña Messaging (Mensajería) de su grupo de usuarios. Se aplican tarifas de mensajes y de datos al destinatario. Amazon SES le factura por los mensajes de correo electrónico por separado, así como Amazon SNS le factura por los mensajes SMS por separado.

  6. Elija un Username (Nombre de usuario) para el nuevo usuario.

  7. Elija Create a password (Crear una contraseña) o bien que lo haga Amazon Cognito seleccionando Generate a password (Generar una contraseña). Cualquier contraseña temporal debe cumplir con la política de contraseñas del grupo de usuarios.

  8. Seleccione Crear.

  9. Elija la pestaña Users (Usuarios) y luego elija la entrada User name (Nombre de usuario) para el usuario. Agregue y edite User attributes (Atributos de usuario) y Group memberships (Miembros de grupos). Consulta User event history (Historial de eventos del usuario).