Général Groupes d’utilisateurs Réserves d’identités

Termes relatifs à Amazon Cognito

Amazon Cognito fournit des informations d'identification pour les applications Web et mobiles. Il s'inspire des termes courants en matière de gestion des identités et des accès et s'appuie sur ceux-ci. De nombreux guides sur l'identité universelle et les conditions d'accès sont disponibles. Voici quelques exemples :

La terminologie dans le corpus de connaissances IDPro
AWS Services d'identité
Glossaire du NIST CSRC

Les listes suivantes décrivent des termes propres à Amazon Cognito ou ayant un contexte spécifique dans Amazon Cognito.

Général

Les termes de cette liste ne sont pas spécifiques à Amazon Cognito et sont largement reconnus par les professionnels de la gestion des identités et des accès. Ce qui suit n'est pas une liste exhaustive de termes, mais un guide de leur contexte spécifique à Amazon Cognito dans ce guide.

Appli: Généralement, une application mobile. Dans ce guide, application est souvent un raccourci pour désigner une application Web ou une application mobile qui se connecte à Amazon Cognito.
Utilisation du contrôle d'accès basé sur les attributs (ABAC): Modèle dans lequel une application détermine l'accès aux ressources en fonction des propriétés d'un utilisateur, telles que le titre de son poste ou son département. Les outils Amazon Cognito destinés à appliquer l'ABAC incluent les jetons d'identification dans les groupes d'utilisateurs et les balises principales dans les groupes d'identités.
Serveur d'autorisation: Système Web qui génère des jetons Web JSON. Les points de terminaison de la fédération des groupes d'utilisateurs Amazon Cognito sont le composant du serveur d'autorisation des deux méthodes d'authentification et d'autorisation des groupes d'utilisateurs. L'autre méthode est l'API des groupes d'utilisateurs.
Application confidentielle, application côté serveur: Application à laquelle les utilisateurs se connectent à distance, avec du code sur un serveur d'applications et un accès à des secrets. Il s'agit généralement d'une application Web.
Identity provider (IdP) (Fournisseur d'identité): Service qui enregistre et vérifie l'identité des utilisateurs. Amazon Cognito peut demander l'authentification à des fournisseurs externes et être un IdP pour les applications.
Jeton Web JSON (JWT): Document au format JSON contenant des allégations concernant un utilisateur authentifié. Les jetons d'identification authentifient les utilisateurs, les jetons d'accès les autorisent et les jetons d'actualisation mettent à jour les informations d'identification. Amazon Cognito reçoit des jetons de fournisseurs externes et émet des jetons vers des applications ou. AWS STS
Authentification multifactorielle (MFA): Obligation pour les utilisateurs de fournir une authentification supplémentaire après avoir fourni leur nom d'utilisateur et leur mot de passe. Les groupes d'utilisateurs Amazon Cognito disposent de fonctionnalités MFA pour les utilisateurs locaux.
fournisseur (social) OAuth 2.0: Un IdP vers un groupe d'utilisateurs ou un pool d'identités qui fournit un accès JWT et des jetons d'actualisation. Les groupes d'utilisateurs Amazon Cognito automatisent les interactions avec les fournisseurs sociaux une fois que les utilisateurs s'authentifient.
Fournisseur OpenID Connect (OIDC): Un IdP vers un groupe d'utilisateurs ou un pool d'identités qui étend la spécification OAuth pour fournir des jetons d'identification. Les groupes d'utilisateurs Amazon Cognito automatisent les interactions avec les fournisseurs OIDC après l'authentification des utilisateurs.
Application publique: Application autonome sur un appareil, avec du code stocké localement et sans accès aux secrets. Il s'agit généralement d'une application mobile.
Serveur de ressources: Une API avec contrôle d'accès. Les groupes d'utilisateurs Amazon Cognito utilisent également le serveur de ressources pour décrire le composant qui définit la configuration pour interagir avec une API.
Contrôle d’accès basé sur les rôles (RBAC): Modèle qui accorde l'accès en fonction de la désignation fonctionnelle de l'utilisateur. Les pools d'identités Amazon Cognito implémentent le RBAC en différenciant les rôles IAM.
Prestataire de services (SP), partie utilisatrice (RP): Une application qui s'appuie sur un IdP pour affirmer que les utilisateurs sont dignes de confiance. Amazon Cognito agit en tant que SP pour les SP externes IdPs et en tant qu'IdP pour les SP basés sur des applications.
Fournisseur SAML: Un IdP vers un groupe d'utilisateurs ou un pool d'identités qui génère des documents d'assertion signés numériquement que votre utilisateur transmet à Amazon Cognito.
Identifiant unique universel (UUID): Étiquette de 128 bits appliquée à un objet. Les UUID Amazon Cognito sont uniques par groupe d'utilisateurs ou par groupe d'identités.
Annuaire des utilisateurs: Ensemble d'utilisateurs et de leurs attributs qui transmet ces informations à d'autres systèmes. Les groupes d'utilisateurs Amazon Cognito sont des annuaires d'utilisateurs, ainsi que des outils de consolidation des utilisateurs provenant d'annuaires d'utilisateurs externes.

Groupes d’utilisateurs

Lorsque vous voyez les termes figurant dans la liste suivante de ce guide, ils font référence à une fonctionnalité ou à une configuration spécifique des groupes d'utilisateurs.

API des groupes d'utilisateurs Amazon Cognito: Ensemble d'opérations d'API d'authentification et d'autorisation que vous pouvez ajouter à votre application à l'aide d'un AWS SDK. L'API peut connecter les utilisateurs locaux et les utilisateurs liés.
Authentification adaptative: Fonctionnalité de sécurité avancée qui détecte les activités malveillantes potentielles et applique une sécurité supplémentaire aux profils utilisateur.
Fonctionnalités de sécurité avancées: Composant optionnel qui ajoute des outils pour la sécurité des utilisateurs.
Client d'application: Composant qui définit les paramètres d'un groupe d'utilisateurs en tant qu'IdP pour une application.
URL de rappel, URI de redirection: Un paramètre dans un client d'application et un paramètre dans les demandes adressées aux points de terminaison de la fédération des groupes d'utilisateurs. L'URL de rappel est la destination initiale des utilisateurs authentifiés de votre application.
Informations d’identification compromises: Fonctionnalité de sécurité avancée qui détecte les mots de passe utilisateur que les attaquants pourraient connaître et applique une sécurité supplémentaire aux profils utilisateur.
Confirmation: Processus qui détermine que les conditions préalables sont remplies pour permettre à un nouvel utilisateur de se connecter. La confirmation se fait généralement par le biais de la vérification de l'adresse e-mail ou du numéro de téléphone.
Authentification personnalisée: Une extension des processus d'authentification avec des déclencheurs Lambda qui définissent des défis et des réponses supplémentaires pour les utilisateurs.
Authentification des appareils: Processus d'authentification qui remplace le MFA par une connexion utilisant l'identifiant d'un appareil fiable.
Fournisseur externe, fournisseur tiers: Un IdP qui entretient une relation de confiance avec un groupe d'utilisateurs.
Utilisateur fédéré: Utilisateur d'un groupe d'utilisateurs authentifié par un fournisseur externe.
Points de terminaison de fédération: Ensemble de pages Web sur le domaine de votre groupe d'utilisateurs hébergeant des services d'interaction avec IdPs et des applications.
Interface utilisateur hébergée: Ensemble de pages Web interactives sur le domaine de votre groupe d'utilisateurs hébergeant des services d'authentification utilisateur.
Déclencheur Lambda: Fonction AWS Lambda qu'un groupe d'utilisateurs peut invoquer automatiquement à des moments clés des processus d'authentification des utilisateurs. Vous pouvez utiliser des déclencheurs Lambda pour personnaliser les résultats de l'authentification.
Utilisateur local: Un profil utilisateur dans le répertoire des utilisateurs du groupe d'utilisateurs qui n'a pas été créé par authentification auprès d'un fournisseur externe.
Utilisateur lié: Utilisateur d'un fournisseur externe dont l'identité est fusionnée avec celle d'un utilisateur local.
Personnalisation des jetons: Résultat d'un déclencheur Lambda avant la génération du jeton qui modifie l'identifiant ou le jeton d'accès d'un utilisateur lors de l'exécution.
Groupe d'utilisateurs, fournisseur d'identité Amazon Cognitocognito-idp, groupes d'utilisateurs Amazon Cognito: Une AWS ressource avec des services d'authentification et d'autorisation pour les applications qui fonctionnent avec OIDC IdPs.
Domaine du pool d'utilisateurs: Nom de site Web que vous ajoutez à un groupe d'utilisateurs. Le domaine est l'URL de base pour l'interface utilisateur hébergée et les points de terminaison de fédération.
Vérification: Processus permettant de confirmer qu'un utilisateur possède une adresse e-mail ou un numéro de téléphone. Un groupe d'utilisateurs envoie un code à un utilisateur qui a saisi une nouvelle adresse e-mail ou un nouveau numéro de téléphone. Lorsqu'ils soumettent le code à Amazon Cognito, ils vérifient qu'ils sont propriétaires de la destination du message et peuvent recevoir des messages supplémentaires de la part du groupe d'utilisateurs. Voir également la confirmation.
Profil utilisateur, compte utilisateur: Entrée pour un utilisateur dans le répertoire des utilisateurs. Tous les utilisateurs ont un profil dans leur groupe d'utilisateurs.

Réserves d’identités

Lorsque vous voyez les termes figurant dans la liste suivante de ce guide, ils font référence à une fonctionnalité ou à une configuration spécifique des pools d'identités.

Attributs pour le contrôle d’accès: Implémentation du contrôle d'accès basé sur les attributs dans les pools d'identités. Les pools d'identités appliquent les attributs utilisateur sous forme de balises aux informations d'identification des utilisateurs.
Authentification de base (classique): Processus d'authentification dans le cadre duquel vous pouvez personnaliser la demande d'informations d'identification utilisateur.
Identités authentifiées par le développeur: Processus d'authentification qui autorise les informations d'identification des utilisateurs du pool d'identités avec les informations d'identification du développeur.
Informations d'identification du développeur: Les clés d'API IAM d'un administrateur de pool d'identités.
Authentification améliorée: Flux d'authentification qui sélectionne un rôle IAM et applique des balises principales conformément à la logique que vous définissez dans votre pool d'identités.
Identity: UUID qui lie un utilisateur de l'application et ses informations d'identification à son profil dans un annuaire d'utilisateurs externe qui entretient une relation de confiance avec un pool d'identités.
pool d'identités, identités fédérées Amazon Cognito, identité Amazon Cognito, cognito-identity: AWS Ressource proposant des services d'authentification et d'autorisation pour les applications utilisant des AWS informations d'identification temporaires.
Identité non authentifiée: Utilisateur qui ne s'est pas connecté avec un IdP de pool d'identités. Vous pouvez autoriser les utilisateurs à générer des informations d'identification utilisateur limitées pour un seul rôle IAM avant de s'authentifier.
Informations d'identification utilisateur: Clés AWS d'API temporaires que les utilisateurs reçoivent après l'authentification du pool d'identités.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Comment fonctionne l'authentification

Utilisation des AWS SDK