Prácticas recomendadas de aplicaciones de varios inquilinos
Los grupos de usuarios de Amazon Cognito funcionan con aplicaciones de varios inquilinos que generan un volumen de solicitudes que deben permanecer dentro de las cuotas de Amazon Cognito. Para escalar verticalmente esta capacidad cuando la base de clientes crezca, puede adquirir capacidad de cuota adicional.
nota
Las cuotas de Amazon Cognito se aplican por Cuenta de AWS y por Región de AWS. Todos los inquilinos de la aplicación las comparten. Revise las cuotas de servicio de Amazon Cognito y asegúrese de que puedan dar respuesta al volumen y el número de inquilinos previstos para su aplicación.
En esta sección se describen los métodos que puede implementar para distribuir los inquilinos entre los recursos de Amazon Cognito dentro de una misma región y Cuenta de AWS. También puede distribuirlos en más de una Cuenta de AWS o región y asignar a cada uno de ellos su propia cuota. La multitenencia aporta varias ventajas más, como el mayor nivel de aislamiento posible, el menor tiempo de tránsito de la red para los usuarios distribuidos por todo el mundo y la adhesión a los modelos de distribución existentes en su organización.
La multitenencia en una sola región también puede suponer ventajas para los clientes y administradores.
En la siguiente lista se describen algunas de las ventajas de la multitenencia con recursos compartidos.
Ventajas de la multitenencia
- Directorio común de usuarios
-
La multitenencia admite modelos en los que los clientes tienen cuentas en más de una aplicación. Puede vincular identidades de proveedores externos en un único perfil de grupo de usuarios coherente. En los casos en que los perfiles de usuario sean exclusivos del inquilino, cualquier estrategia de multitenencia con un único grupo de usuarios tendrá un punto de entrada para la administración de usuarios.
- Seguridad común
-
En un grupo de usuarios compartido, puede crear un único estándar de seguridad y aplicar la misma seguridad avanzada, autenticación multifactor (MFA) y estándares de AWS WAF a todos los inquilinos. Como debe haber una ACL web de AWS WAF en la misma Región de AWS que el recurso al que se asocia, la opción de multitenencia ofrece acceso compartido a un recurso complejo. Cuando quiera mantener una configuración de seguridad homogénea en las aplicaciones de Amazon Cognito de varias regiones, aplique estándares operativos que repliquen la configuración entre los recursos.
- Personalización común
-
Puede personalizar los grupos de usuarios y los grupos de identidades con AWS Lambda. La configuración de los desencadenadores de Lambda en los grupos de usuarios y los eventos de Amazon Cognito en los grupos de identidades puede resultar compleja. Las funciones de Lambda deben estar en la misma Región de AWS que el grupo de usuarios o el grupo de identidades. Las funciones de Lambda compartidas pueden aplicar estándares para flujos de autenticación personalizados, la migración de usuarios, la generación de tokens y otras funciones dentro de una misma región.
- Mensajes comunes
-
Para poder enviar mensajes SMS a los usuarios, es preciso añadir la configuración de Amazon Simple Notification Service (Amazon SNS) en la región. Puede enviar mensajes de correo electrónico con identidades y dominios verificados de Amazon Simple Email Service (Amazon SES) incluidos en una región.
Con la multitenencia, puede compartir esta sobrecarga de configuración y mantenimiento entre todos los inquilinos. Dado que Amazon SNS y Amazon SES no están disponibles en todas las Regiones de AWS, es necesario prestar especial atención cuando se plantee la posibilidad de dividir los recursos entre regiones.
Cuando utiliza proveedores de mensajes personalizados, obtiene la personalización común de una sola función de Lambda para administrar la entrega de mensajes.
La interfaz de usuario alojada establece una cookie de sesión en el navegador para que reconozca a un usuario que ya se ha autenticado. Cuando autentica a usuarios locales en un grupo de usuarios, la cookie de sesión los autentica para todos los clientes de aplicación del mismo grupo de usuarios. Un usuario local existe exclusivamente en el directorio del grupo de usuarios sin federación a través de un IdP externo. La cookie de sesión es válida durante una hora. No puede cambiar la duración de la sesión de la cookie.
Hay dos formas de impedir el inicio de sesión en los clientes de aplicación con una cookie de sesión de interfaz de usuario alojada.
-
Puede distribuir a los usuarios en grupos de usuarios por inquilino.
-
Puede sustituir el inicio de sesión de la interfaz de usuario alojada por el inicio de sesión de la API de grupos de usuarios de Amazon Cognito.
Temas
- Prácticas recomendadas para la multitenencia de grupos de usuarios
- Prácticas recomendadas para la multitenencia de clientes de aplicación
- Prácticas recomendadas para la multitenencia de grupos de usuarios
- Prácticas recomendadas de multitenencia con atributos personalizados
- Prácticas recomendadas de multitenencia con ámbito personalizado
- Recomendaciones de seguridad para la arquitectura de varios inquilinos
