Général Groupes d’utilisateurs Réserves d’identités

Termes et concepts courants d'Amazon Cognito

Amazon Cognito fournit des informations d'identification pour les applications Web et mobiles. Il s'inspire des termes courants en matière de gestion des identités et des accès et s'appuie sur ceux-ci. De nombreux guides sur l'identité universelle et les conditions d'accès sont disponibles. Voici quelques exemples :

La terminologie dans l'IDProensemble des connaissances
AWS Services d'identité
Glossaire de NIST CSRC

Les listes suivantes décrivent des termes propres à Amazon Cognito ou ayant un contexte spécifique dans Amazon Cognito.

Général

Les termes de cette liste ne sont pas spécifiques à Amazon Cognito et sont largement reconnus par les professionnels de la gestion des identités et des accès. Ce qui suit n'est pas une liste exhaustive de termes, mais un guide de leur contexte spécifique à Amazon Cognito dans ce guide.

Appli: Généralement, une application mobile. Dans ce guide, application est souvent un raccourci pour désigner une application Web ou une application mobile qui se connecte à Amazon Cognito.
Contrôle d'accès basé sur les attributs () ABAC: Modèle dans lequel une application détermine l'accès aux ressources en fonction des propriétés d'un utilisateur, telles que le titre de son poste ou son département. Les outils Amazon Cognito à appliquer ABAC incluent les jetons d'identification dans les groupes d'utilisateurs et les balises principales dans les groupes d'identités.
Serveur d'autorisation: Système basé sur le Web qui génère des jetons JSON Web. Les points de terminaison de la fédération des groupes d'utilisateurs Amazon Cognito sont le composant du serveur d'autorisation des deux méthodes d'authentification et d'autorisation des groupes d'utilisateurs. L'autre méthode est celle des groupes d'utilisateurs API.
Application confidentielle, application côté serveur: Application à laquelle les utilisateurs se connectent à distance, avec du code sur un serveur d'applications et un accès à des secrets. Il s'agit généralement d'une application Web.
Identity provider (IdP) (Fournisseur d'identité): Service qui enregistre et vérifie l'identité des utilisateurs. Amazon Cognito peut demander l'authentification à des fournisseurs externes et être un IdP pour les applications.
JSONjeton Web (JWT): Document JSON formaté contenant des allégations concernant un utilisateur authentifié. Les jetons d'identification authentifient les utilisateurs, les jetons d'accès les autorisent et les jetons d'actualisation mettent à jour les informations d'identification. Amazon Cognito reçoit des jetons de fournisseurs externes et émet des jetons vers des applications ou. AWS STS
Authentification multifactorielle () MFA: Obligation pour les utilisateurs de fournir une authentification supplémentaire après avoir fourni leur nom d'utilisateur et leur mot de passe. Les groupes d'utilisateurs Amazon Cognito comportent des MFA fonctionnalités destinées aux utilisateurs locaux.
OAuthfournisseur 2.0 (social): Un IdP vers un groupe d'utilisateurs ou un pool d'identités qui fournit des jetons JWTd'accès et d'actualisation. Les groupes d'utilisateurs Amazon Cognito automatisent les interactions avec les fournisseurs sociaux une fois que les utilisateurs s'authentifient.
Fournisseur OpenID Connect () OIDC: Un IdP vers un groupe d'utilisateurs ou un pool d'identités qui étend la OAuthspécification pour fournir des jetons d'identification. Les groupes d'utilisateurs Amazon Cognito automatisent les interactions avec les OIDC fournisseurs une fois les utilisateurs authentifiés.
Application publique: Application autonome sur un appareil, dont le code est stocké localement et qui n'a aucun accès aux secrets. Il s'agit généralement d'une application mobile.
Serveur de ressources: Et API avec contrôle d'accès. Les groupes d'utilisateurs Amazon Cognito utilisent également le serveur de ressources pour décrire le composant qui définit la configuration pour interagir avec un. API
Contrôle d'accès basé sur les rôles () RBAC: Modèle qui accorde l'accès en fonction de la désignation fonctionnelle de l'utilisateur. Les pools d'identités Amazon Cognito sont implémentés en RBAC IAM différenciant les rôles.
Prestataire de services (SP), partie utilisatrice (RP): Une application qui s'appuie sur un IdP pour affirmer que les utilisateurs sont dignes de confiance. Amazon Cognito agit en tant que SP pour les applications externes IdPs et en tant qu'IdP pour les applications. SPs
SAMLprovider: Un IdP vers un groupe d'utilisateurs ou un pool d'identités qui génère des documents d'assertion signés numériquement que votre utilisateur transmet à Amazon Cognito.
Identifiant unique universel (UUID): Étiquette de 128 bits appliquée à un objet. Amazon Cognito UUIDs est unique par groupe d'utilisateurs ou par groupe d'identités, mais n'est pas conforme à un format spécifiqueUUID.
Annuaire des utilisateurs: Ensemble d'utilisateurs et de leurs attributs qui transmet ces informations à d'autres systèmes. Les groupes d'utilisateurs Amazon Cognito sont des annuaires d'utilisateurs, ainsi que des outils de consolidation des utilisateurs provenant d'annuaires d'utilisateurs externes.

Groupes d’utilisateurs

Lorsque vous voyez les termes figurant dans la liste suivante de ce guide, ils font référence à une fonctionnalité ou à une configuration spécifique des groupes d'utilisateurs.

API des groupes d'utilisateurs Amazon Cognito: Ensemble d'APIopérations d'authentification et d'autorisation que vous pouvez ajouter à votre application à l'aide d'un AWS SDK. Ils API peuvent connecter les utilisateurs locaux et les utilisateurs liés.
Authentification adaptative: Fonctionnalité de sécurité avancée qui détecte les activités malveillantes potentielles et applique une sécurité supplémentaire aux profils utilisateur.
Fonctionnalités de sécurité avancées: Composant optionnel qui ajoute des outils pour la sécurité des utilisateurs.
Client d'application: Composant qui définit les paramètres d'un groupe d'utilisateurs en tant qu'IdP pour une application.
RappelURL, redirection URI: Un paramètre dans un client d'application et un paramètre dans les demandes adressées aux points de terminaison de la fédération des groupes d'utilisateurs. Le rappel URL est la destination initiale des utilisateurs authentifiés de votre application.
Informations d’identification compromises: Fonctionnalité de sécurité avancée qui détecte les mots de passe utilisateur que les attaquants pourraient connaître et applique une sécurité supplémentaire aux profils utilisateur.
Confirmation: Processus qui détermine que les conditions préalables sont remplies pour permettre à un nouvel utilisateur de se connecter. La confirmation se fait généralement par le biais de la vérification de l'adresse e-mail ou du numéro de téléphone.
Authentification personnalisée: Une extension des processus d'authentification avec des déclencheurs Lambda qui définissent des défis et des réponses supplémentaires pour les utilisateurs.
Authentification des appareils: Processus d'authentification MFAremplacé par une connexion utilisant l'identifiant d'un appareil fiable.
Fournisseur externe, fournisseur tiers: Un IdP qui entretient une relation de confiance avec un groupe d'utilisateurs.
Utilisateur fédéré: Utilisateur d'un groupe d'utilisateurs authentifié par un fournisseur externe.
Points de terminaison de fédération: Ensemble de pages Web sur le domaine de votre groupe d'utilisateurs hébergeant des services d'interaction avec des applications IdPs et des services.
Interface utilisateur hébergée: Ensemble de pages Web interactives sur le domaine de votre groupe d'utilisateurs hébergeant des services d'authentification des utilisateurs.
Déclencheur Lambda: Fonction AWS Lambda qu'un groupe d'utilisateurs peut invoquer automatiquement à des moments clés des processus d'authentification des utilisateurs. Vous pouvez utiliser des déclencheurs Lambda pour personnaliser les résultats de l'authentification.
Utilisateur local: Un profil utilisateur dans le répertoire des utilisateurs du groupe d'utilisateurs qui n'a pas été créé par authentification auprès d'un fournisseur externe.
Utilisateur lié: Utilisateur d'un fournisseur externe dont l'identité est fusionnée avec celle d'un utilisateur local.
Personnalisation des jetons: Résultat d'un déclencheur Lambda avant la génération du jeton qui modifie l'identifiant ou le jeton d'accès d'un utilisateur lors de l'exécution.
Groupe d'utilisateurs, fournisseur d'identité Amazon Cognitocognito-idp, groupes d'utilisateurs Amazon Cognito: Une AWS ressource avec des services d'authentification et d'autorisation pour les applications qui fonctionnent avec OIDC IdPs.
Domaine du pool d'utilisateurs: Nom de site Web que vous ajoutez à un groupe d'utilisateurs. Le domaine constitue la base URL de l'interface utilisateur hébergée et des points de terminaison de fédération.
Vérification: Processus permettant de confirmer qu'un utilisateur possède une adresse e-mail ou un numéro de téléphone. Un groupe d'utilisateurs envoie un code à un utilisateur qui a saisi une nouvelle adresse e-mail ou un nouveau numéro de téléphone. Lorsqu'ils soumettent le code à Amazon Cognito, ils vérifient qu'ils sont propriétaires de la destination du message et peuvent recevoir des messages supplémentaires de la part du groupe d'utilisateurs. Voir également la confirmation.
Profil utilisateur, compte utilisateur: Entrée pour un utilisateur dans le répertoire des utilisateurs. Tous les utilisateurs ont un profil dans leur groupe d'utilisateurs.

Réserves d’identités

Lorsque vous voyez les termes figurant dans la liste suivante de ce guide, ils font référence à une fonctionnalité ou à une configuration spécifique des pools d'identités.

Attributs pour le contrôle d’accès: Implémentation du contrôle d'accès basé sur les attributs dans les pools d'identités. Les pools d'identités appliquent les attributs utilisateur sous forme de balises aux informations d'identification des utilisateurs.
Authentification de base (classique): Processus d'authentification dans le cadre duquel vous pouvez personnaliser la demande d'informations d'identification utilisateur.
Identités authentifiées par le développeur: Processus d'authentification qui autorise les informations d'identification des utilisateurs du pool d'identités avec les informations d'identification du développeur.
Informations d'identification du développeur: Les IAM API clés d'un administrateur de pool d'identités.
Authentification améliorée: Un flux d'authentification qui sélectionne un IAM rôle et applique des balises principales conformément à la logique que vous définissez dans votre pool d'identités.
Identity: A UUIDqui lie un utilisateur de l'application et ses informations d'identification à son profil dans un annuaire d'utilisateurs externe qui entretient une relation de confiance avec un pool d'identités.
pool d'identités, identités fédérées Amazon Cognito, identité Amazon Cognito, cognito-identity: AWS Ressource proposant des services d'authentification et d'autorisation pour les applications utilisant des AWS informations d'identification temporaires.
Identité non authentifiée: Utilisateur qui ne s'est pas connecté avec un IdP de pool d'identités. Vous pouvez autoriser les utilisateurs à générer des informations d'identification utilisateur limitées pour un seul IAM rôle avant de s'authentifier.
Informations d'identification utilisateur: AWS APIClés temporaires que les utilisateurs reçoivent après l'authentification du pool d'identités.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Comment fonctionne l'authentification

Travailler avec AWS SDKs