Groupes d’utilisateurs Amazon Cognito - Amazon Cognito
Fonctionnalités

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Groupes d’utilisateurs Amazon Cognito

Un groupe d'utilisateurs Amazon Cognito est un annuaire d'utilisateurs pour l'authentification et l'autorisation d'applications Web et mobiles. Du point de vue de votre application, un groupe d'utilisateurs Amazon Cognito est un fournisseur d'identité (IdP) OpenID Connect (OIDC). Un groupe d'utilisateurs ajoute plusieurs niveaux de fonctionnalités supplémentaires pour la sécurité, la fédération d'identité, l'intégration d'applications et la personnalisation de l'expérience utilisateur.

Vous pouvez, par exemple, vérifier que les sessions de vos utilisateurs proviennent de sources fiables. Vous pouvez combiner l'annuaire Amazon Cognito avec un fournisseur d'identité externe. Avec votre préférence AWS SDK, vous pouvez choisir le modèle API d'autorisation qui convient le mieux à votre application. Vous pouvez également ajouter des fonctions  AWS Lambda  qui modifient ou révisent le comportement par défaut d'Amazon Cognito.

Présentation de l'authentification
Rubriques

Fonctionnalités

Les groupes d'utilisateurs Amazon Cognito présentent les fonctionnalités suivantes.

Inscription

Les groupes d'utilisateurs Amazon Cognito disposent de méthodes pilotées par les utilisateurs, pilotées par les administrateurs et de programmation pour ajouter des profils utilisateur à votre groupe d'utilisateurs. Les groupes d'utilisateurs Amazon Cognito prennent en charge les modèles d'inscription suivants. Vous pouvez utiliser toute combinaison de ces modèles dans votre application.

Important

Si vous activez l'inscription des utilisateurs dans votre groupe d'utilisateurs, n'importe qui sur Internet peut créer un compte et se connecter à vos applications. N'activez pas l'auto-inscription dans votre groupe d'utilisateurs, sauf si vous souhaitez ouvrir votre application à des inscriptions publiques. Pour modifier ce paramètre, mettez à jour l'inscription en libre-service dans l'onglet Expérience d'inscription de la console du groupe d'utilisateurs, ou mettez à jour la valeur de AllowAdminCreateUserOnlydans une CreateUserPooldemande or. UpdateUserPoolAPI

Pour plus d'informations sur les fonctionnalités de sécurité que vous pouvez configurer dans vos groupes d'utilisateurs, consultez Utiliser les fonctions de sécurité des groupes d’utilisateurs Amazon Cognito.

  1. Vos utilisateurs peuvent saisir leurs informations dans votre application et créer un profil utilisateur natif de votre groupe d'utilisateurs. Vous pouvez appeler les opérations API d'inscription pour enregistrer des utilisateurs dans votre groupe d'utilisateurs. Vous pouvez ouvrir ces opérations d'inscription à n'importe qui, ou vous pouvez les autoriser avec un secret client ou des AWS informations d'identification.

  2. Vous pouvez rediriger les utilisateurs vers un fournisseur d'identité tiers qu'ils peuvent autoriser à transmettre leurs informations à Amazon Cognito. Amazon Cognito traite les jetons OIDC d'identification, les userInfo données OAuth 2.0 et les assertions SAML 2.0 dans les profils utilisateur de votre groupe d'utilisateurs. Vous contrôlez les attributs que vous souhaitez qu'Amazon Cognito reçoive en fonction des règles de mappage d'attributs.

  3. Vous pouvez ignorer les inscriptions publique et fédérée et créer des utilisateurs en fonction de votre propre source de données et de votre propre schéma. Ajoutez des utilisateurs directement dans la console Amazon Cognito ou. API Importez des utilisateurs à partir d'un CSV fichier. Exécutez une just-in-time AWS Lambda fonction qui recherche votre nouvel utilisateur dans un répertoire existant et remplit son profil utilisateur à partir des données existantes.

Une fois que vos utilisateurs se sont inscrits, vous pouvez les ajouter aux groupes qu'Amazon Cognito répertorie dans les jetons d'accès et d'identification. Vous pouvez également lier des groupes de groupes d'utilisateurs à IAM des rôles lorsque vous transmettez le jeton d'identification à un pool d'identités.

Rubriques en relation

Connexion

Amazon Cognito peut être un annuaire d'utilisateurs autonome et un fournisseur d'identité (IdP) pour votre application. Vos utilisateurs peuvent se connecter via une interface utilisateur hébergée par Amazon Cognito ou avec votre propre interface utilisateur via les groupes d'utilisateurs Amazon Cognito. API Le niveau d'application qui sous-tend votre interface utilisateur personnalisée de front-end peut autoriser les demandes sur le backend à l'aide de plusieurs méthodes pour confirmer les demandes légitimes.

Pour connecter des utilisateurs à l'aide d'un annuaire externe, éventuellement combiné à l'annuaire d'utilisateurs intégré à Amazon Cognito, vous pouvez ajouter les intégrations suivantes.

  1. Connectez-vous et importez les données des utilisateurs grâce à la connexion sociale OAuth 2.0. Amazon Cognito prend en charge la connexion avec Google, Facebook, Amazon et Apple via la version 2.0. OAuth

  2. Connectez-vous, importez les données des utilisateurs de l'entreprise SAML et OIDC connectez-vous. Vous pouvez également configurer Amazon Cognito pour accepter les demandes émanant de n'importe quel fournisseur d'identité (IdP) ou SAML OpenID Connect (OIDC).

  3. Liez les profils utilisateur externes à des profils utilisateur natifs. Un utilisateur lié peut se connecter avec une identité d'utilisateur tiers et recevoir l'accès que vous attribuez à un utilisateur dans l'annuaire intégré.

Rubriques en relation
achine-to-machine Autorisation M

Certaines sessions ne sont pas des human-to-machine interactions. Il se peut que vous ayez besoin d'un compte de service capable d'autoriser une demande auprès d'un utilisateur API par un processus automatisé. Pour générer des jetons d'accès à des fins machine-to-machine d'autorisation avec des étendues OAuth 2.0, vous pouvez ajouter un client d'application qui génère des autorisations d'identification client.

Rubriques en relation

Interface utilisateur hébergée

Si vous ne souhaitez pas créer d'interface utilisateur, vous pouvez proposer à vos utilisateurs une interface utilisateur personnalisée hébergée Amazon Cognito. L'interface utilisateur hébergée est un ensemble de pages Web pour l'inscription, la connexion, l'authentification multifactorielle (MFA) et la réinitialisation du mot de passe. Vous pouvez ajouter l'interface utilisateur hébergée à votre domaine existant ou utiliser un identifiant de préfixe dans un AWS sous-domaine.

Rubriques en relation

Sécurité

Vos utilisateurs locaux peuvent fournir un facteur d'authentification supplémentaire à l'aide d'un code provenant d'un SMS message ou d'une application qui génère des codes d'authentification multifactorielle (MFA). Vous pouvez créer des mécanismes à configurer et à traiter MFA dans votre application, ou vous pouvez laisser l'interface utilisateur hébergée la gérer. Les groupes d'utilisateurs Amazon Cognito peuvent éviter que vos utilisateurs MFA se connectent à partir d'appareils fiables.

Si vous ne souhaitez pas l'exiger initialement MFA de vos utilisateurs, vous pouvez l'exiger de manière conditionnelle. Grâce à ses fonctionnalités de sécurité avancées, Amazon Cognito peut détecter les activités malveillantes potentielles et demander à votre utilisateur de configurer MFA ou de bloquer la connexion.

Si le trafic réseau vers votre groupe d'utilisateurs est potentiellement malveillant, vous pouvez le surveiller et agir sur le AWS WAF WebACLs.

Rubriques en relation

Expérience utilisateur personnalisée

À la plupart des étapes de l'inscription, de la connexion ou de la mise à jour du profil d'un utilisateur, vous pouvez personnaliser la façon dont Amazon Cognito traite la demande. Les déclencheurs Lambda vous permettent de modifier un jeton d'identification ou de rejeter une demande d'inscription en fonction de conditions personnalisées. Vous pouvez créer votre propre flux d'authentification personnalisé.

Vous pouvez télécharger CSS des logos personnalisés pour donner à l'interface utilisateur hébergée un aspect familier pour vos utilisateurs.

Rubriques en relation

Surveillance et analytique

Les utilisateurs d'Amazon Cognito regroupent les API demandes de journal, y compris les demandes adressées à l'interface utilisateur hébergée, à. AWS CloudTrail Vous pouvez consulter les indicateurs de performance dans Amazon CloudWatch Logs, envoyer des journaux personnalisés à l' CloudWatch aide de déclencheurs Lambda et surveiller le volume de API demandes dans la console Service Quotas.

Vous pouvez également enregistrer les données relatives à l'appareil et à la session issues de vos API demandes dans le cadre d'une campagne Amazon Pinpoint. Avec Amazon Pinpoint, vous pouvez envoyer des notifications push depuis votre application en fonction de votre analyse de l'activité des utilisateurs.

Rubriques en relation

Intégration des réserves d'identités Amazon Cognito

L'autre moitié d'Amazon Cognito est constituée des réserves d'identités. Les pools d'identités fournissent des informations d'identification qui autorisent et surveillent les API demandes de vos utilisateurs Services AWS, par exemple Amazon DynamoDB ou Amazon S3. Vous pouvez créer des stratégies d'accès basées sur l'identité qui protègent vos données en fonction de la manière dont vous classez les utilisateurs dans votre groupe d'utilisateurs. Les pools d'identités peuvent également accepter des jetons et des assertions SAML 2.0 provenant de divers fournisseurs d'identité, indépendamment de l'authentification du groupe d'utilisateurs.

Rubriques en relation