Añada más características y opciones de seguridad al grupo de usuarios - Amazon Cognito
Creación de un grupo de usuarios

Añada más características y opciones de seguridad al grupo de usuarios

Una vez que haya seguido los tutoriales para completar las aplicaciones de ejemplo, puede ampliar el ámbito de implementación del grupo de usuarios. O bien, si no ha creado una aplicación de prueba, cree un nuevo grupo de usuarios según sus preferencias. Puede personalizar las características del grupo de usuarios para otras aplicaciones o añadir proveedores de identidades externos. Cuando planifique la transición para incluir grupos de usuarios de Amazon Cognito en aplicaciones de producción, puede evaluar ejemplos y tutoriales adicionales.

A continuación se muestran algunas características adicionales de los grupos de usuarios de Amazon Cognito:

Para obtener información general sobre modelos de autorización y autenticación de Amazon Cognito, consulte Funcionamiento de la autenticación con Amazon Cognito.

Para obtener acceso a otros Servicios de AWS después de autenticarse correctamente el grupo de usuarios, consulte Acceso a los Servicios de AWS utilizando un grupo de identidades después del inicio de sesión.

Además de usar los SDK de grupo de usuarios y la AWS Management Console, también puede administrar los grupos de usuarios mediante la AWS Command Line Interface.

Temas

Creación de un grupo de usuarios nuevo

El siguiente procedimiento es una guía general para crear un nuevo grupo de usuarios en la consola de Amazon Cognito. También puede ir directamente a la consola y seguir la experiencia guiada y el contenido de la ayuda integrada.

Creación de un grupo de usuarios nuevo

  1. Vaya a la consola de Amazon Cognito. Si se le solicita, escriba sus credenciales de AWS.

  2. Pulse el botón Crear grupo de usuarios. Es posible que tenga que seleccionar Grupos de usuarios en el panel de navegación izquierdo para que aparezca esta opción.

  3. En la esquina superior derecha de la página, elija Create a User Pool (Crear un grupo de usuarios).

  4. En Configurar la experiencia de inicio de sesión, puede elegir los proveedores de identidades (IdP) que utilizará con este grupo de usuarios. Para obtener más información, consulte Agregar inicio de sesión de grupo de usuarios a través de un tercero.

    1. En Proveedores de autenticación, para Tipos de proveedores, asegúrese de que solo esté seleccionado el grupo de usuarios de Cognito.

    2. Para ver las Opciones de inicio de sesión del grupo de usuarios de Cognito, elija Nombre de usuario. No seleccione nada más en Requisitos de nombre de usuario.

    3. Conserve como valor predeterminado todas las demás opciones y luego elija Siguiente.

  5. En Configurar requisitos de seguridad, elija la política de contraseñas, los requisitos de autenticación multifactor (MFA) y las opciones de recuperación de cuentas de usuario. Para obtener más información, consulte Uso de las características de seguridad de los grupos de usuarios de Amazon Cognito.

    1. En Política de contraseñas, confirme que el Modo de política de contraseñas esté establecido en Valores predeterminados de Cognito.

    2. En Autenticación multifactor, para Cumplimiento de MFA, elija MFA opcional.

    3. En Métodos de MFA, seleccione Aplicaciones de autenticación y Mensaje SMS.

    4. En Recuperación de cuenta de usuario, confirme que esté seleccionada la opción Habilitar la recuperación automática de cuentas y que el método de entrega de los mensajes de recuperación de la cuenta de usuario esté configurado como Solo correo electrónico.

    5. Conserve como valor predeterminado todas las demás opciones y luego elija Siguiente.

  6. En Configurar la experiencia de registro, puede determinar cómo los nuevos usuarios verificarán sus identidades al registrarse como usuario nuevo y qué atributos deben ser obligatorios u opcionales en el flujo de registro de usuarios. Para obtener más información, consulte Administración de usuarios en el grupo de usuarios.

    1. Confirme que esté seleccionada la opción Habilitar el registro automático. Esta configuración permite que cualquier usuario de Internet se registre en su grupo de usuarios. Esta opción está pensada para los fines de la aplicación de ejemplo, pero aplíquela con precaución en los entornos de producción.

    2. En Verificación y confirmación asistidas por Cognito, compruebe que esté seleccionada la casilla de verificación Permitir que Cognito envíe mensajes automáticamente para verificar y confirmar.

    3. Confirme que Atributos a verificar esté definido en Enviar mensaje de correo electrónico, verificar la dirección de correo electrónico.

    4. En Verificación de cambios de atributo, confirme que estén seleccionadas las opciones predeterminadas: la opción Conservar el valor del atributo original cuando hay una actualización pendiente debe estar seleccionada y la opción Valores de atributos activos cuando hay una actualización pendiente debe estar establecida en Dirección de correo electrónico.

    5. En Atributos obligatorios, confirme que Atributos obligatorios basados en selecciones anteriores muestre correo electrónico.

      importante

      Para esta aplicación de ejemplo, el grupo de usuarios no debe establecer phone_number como atributo obligatorio. En caso de que phone_number figure como atributo obligatorio, revise y actualice las opciones que ha elegido anteriormente:

      • MFA opcional, Solo correo electrónico para Método de entrega de mensajes de recuperación de cuentas de usuario

      • Enviar mensaje de correo electrónico, verificar la dirección de correo electrónico para Atributos a verificar

    6. Conserve como valor predeterminado todas las demás opciones y luego elija Siguiente.

  7. En Configuración de entrega de mensajes, puede configurar la integración con Amazon Simple Email Service y Amazon Simple Notification Service para enviar mensajes de correo electrónico y SMS a los usuarios para su registro, confirmación de cuenta, MFA y recuperación de cuentas. Para obtener más información, consulte Configuración de correo electrónico para grupos de usuarios de Amazon Cognito y Configuración de mensajes SMS para grupos de usuarios de Amazon Cognito.

    1. En Proveedor de correo electrónico, elija Enviar correo electrónico con Cognito y utilice el remitente de correo electrónico predeterminado que proporciona Amazon Cognito. Esta configuración para poco volumen de correo electrónico es suficiente para probar la aplicación. Puede volver una vez que haya verificado una dirección de correo electrónico con Amazon Simple Email Service (Amazon SES) y haya elegido Enviar correo electrónico con Amazon SES.

    2. Para SMS, seleccione Crear un nuevo rol de IAM e introduzca un nombre de rol de IAM. Esto crea un rol que otorga permisos a Amazon Cognito para enviar mensajes SMS.

    3. Conserve como valor predeterminado todas las demás opciones y luego elija Siguiente.

  8. En Integrar su aplicación, asigne un nombre al grupo de usuarios, configure la interfaz de usuario alojada y cree un cliente de aplicación. Para obtener más información, consulte Adición de un cliente de aplicación con la interfaz de usuario alojada. Las aplicaciones de ejemplo no utilizan la interfaz de usuario alojada.

    1. En Nombre del grupo de usuarios, introduzca un Nombre de grupo de usuarios.

    2. No seleccione Usar la interfaz de usuario alojada de Cognito.

    3. En Cliente de aplicación inicial, confirme que Tipo de aplicación esté definido como Cliente público.

    4. En Secreto de cliente, confirme que esté seleccionada la opción No generar un secreto de cliente.

    5. Introduzca un nombre de cliente de aplicación.

    6. Amplíe la configuración avanzada del cliente de la aplicación. Agregue ALLOW_USER_PASSWORD_AUTH a la lista de Flujos de autenticación.

    7. Conserve como valor predeterminado todas las demás opciones y luego elija Siguiente.

  9. Revise los opciones de la pantalla Revisar y crear y modifique las selecciones según precise. Cuando la configuración del grupo de usuarios le parezca adecuada, elija Crear grupo de usuarios para continuar.

  10. En la página Grupos de usuarios, elija el nuevo grupo de usuarios.

  11. En Información general sobre el grupo de usuarios, tome nota de su ID de grupo de usuarios. Proporcionará esta cadena cuando cree la aplicación de ejemplo.

  12. Elija la pestaña Integración de aplicaciones y busque la sección Clientes de aplicaciones y análisis. Seleccione el nuevo cliente de aplicación. Tome nota del ID de cliente.

Para crear un grupo de usuarios

  1. Vaya a la consola de Amazon Cognito. Si se le solicita, escriba sus credenciales de AWS.

  2. ElegirGrupos de usuarios de.

  3. En la esquina superior derecha de la página, elija Create a User Pool (Crear un grupo de usuarios).

  4. EnConfigurar la experiencia de inicio de sesión, elija los proveedores federados que utilizará con este grupo de usuarios. Para obtener más información, consulte Agregar inicio de sesión de grupo de usuarios a través de un tercero.

  5. En Configure security requirements (Configuración de requisitos de seguridad), elija la política de contraseñas, los requisitos de autenticación multifactor (MFA) y las opciones de recuperación de cuentas de usuario. Para obtener más información, consulte Uso de las características de seguridad de los grupos de usuarios de Amazon Cognito.

  6. EnConfigure la experiencia de registro, determine cómo los nuevos usuarios verificarán sus identidades al registrarse y qué atributos deben ser obligatorios u opcionales durante el flujo de registro de usuarios. Para obtener más información, consulte Administración de usuarios en el grupo de usuarios.

    importante

    Si activa el registro de usuarios en el grupo de usuarios, cualquier usuario de Internet podrá crear una cuenta e iniciar sesión en las aplicaciones. No habilite el registro automático en el grupo de usuarios a menos que quiera abrir la aplicación para que el público se registre. Para cambiar esta configuración, actualice Registro de autoservicio en la pestaña Experiencia de registro de la consola del grupo de usuarios o actualice el valor de AllowAdminCreateUserOnly en una solicitud de la API CreateUserPoolUpdateUserPool.

    Para obtener información sobre las características de seguridad que puede configurar en los grupos de usuarios, consulte Uso de las características de seguridad de los grupos de usuarios de Amazon Cognito.

  7. EnConfiguración de entrega de mensajes, configure la integración con Amazon Simple Email Service y Amazon Simple Notification Service para enviar mensajes de correo electrónico y SMS a sus usuarios para su registro, confirmación de cuenta, MFA y recuperación de cuentas. Para obtener más información, consulte Configuración de correo electrónico para grupos de usuarios de Amazon Cognito y Configuración de mensajes SMS para grupos de usuarios de Amazon Cognito.

  8. En Integrar la aplicación, asigne un nombre al grupo de usuarios, configure la interfaz de usuario alojada y cree un cliente de aplicaciones. Para obtener más información, consulte Adición de un cliente de aplicación con la interfaz de usuario alojada.

  9. Revise los opciones de la pantalla Revisar y crear y modifique las selecciones según precise. Cuando la configuración del grupo de usuarios le parezca adecuada, elija Crear grupo de usuarios para continuar.

Para obtener más información acerca de los grupos de usuarios, consulte Grupos de usuarios de Amazon Cognito.

Consulte también Flujo de autenticación de los grupos de usuarios y Descripción de los tokens web JSON (JWT) de los grupos de usuarios.