Recomendaciones de seguridad para la arquitectura de varios inquilinos - Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Recomendaciones de seguridad para la arquitectura de varios inquilinos

Para garantizar que su aplicación sea más segura le recomendamos lo siguiente:

  • Valida el arrendamiento en tu aplicación con Amazon Verified Permissions. Cree políticas que examinen los derechos del grupo de usuarios, los clientes de la aplicación, los grupos o los atributos personalizados antes de permitir la solicitud de un usuario en su aplicación. AWS creó fuentes de identidad de permisos verificados teniendo en cuenta los grupos de usuarios de Amazon Cognito. Verified Permissions incluye una guía adicional para la administración de múltiples inquilinos.

  • Use únicamente una dirección de correo electrónico verificada para autorizar el acceso de usuario a un inquilino en función de la coincidencia de dominio. No confíe en las direcciones de correo electrónico y los números de teléfono a menos que su aplicación las verifique o que el IdP externo proporcione una prueba de verificación. Para obtener más detalles sobre la configuración de estos permisos, consulte Permisos y ámbitos de los atributos.

  • Utilice atributos personalizados inmutables o de solo lectura para los atributos del perfil de usuario que identifican a los inquilinos. Solo puede establecer el valor de los atributos inmutables cuando crea un usuario o cuando un usuario se registra en su grupo de usuarios. Además, proporcione a los clientes de aplicaciones acceso de solo lectura a los atributos.

  • Utilice un mapeo 1:1 entre el IDP externo del inquilino y el cliente de la aplicación para evitar el acceso no autorizado entre inquilinos. Un usuario que ha sido autenticado por un IdP externo y que tiene una cookie de sesión de Amazon Cognito válida, puede acceder a otras aplicaciones de inquilino que confían en el mismo IdP.

  • Al implementar la lógica de autorización y coincidencia de inquilinos en la aplicación, asegúrese de que los propios usuarios no puedan modificar los criterios utilizados para autorizar el acceso de los usuarios a los inquilinos. Además, si se está utilizando un IdP externo para la federación, restrinja a los administradores de proveedores de identidad de los inquilinos para que no puedan modificar el acceso de usuarios.