Fonctionnalités du plan Essentials - Amazon Cognito
Personnalisation du jeton d’accèsEnvoyer un e-mail à la MFAPrévention de la réutilisation des motsLogin géréAuthentification basée sur les choix

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnalités du plan Essentials

Le plan de fonctionnalités Essentials intègre la plupart des fonctionnalités les meilleures et les plus récentes des groupes d'utilisateurs d'Amazon Cognito. Lorsque vous passez du forfait Lite au forfait Essentials, vous bénéficiez de nouvelles fonctionnalités pour vos pages de connexion gérées, d'une authentification multifactorielle avec des mots de passe uniques envoyés par e-mail, d'une politique de mot de passe améliorée et de jetons d'accès personnalisés. Pour rester au up-to-date courant des nouvelles fonctionnalités du groupe d'utilisateurs, choisissez le plan Essentials pour vos groupes d'utilisateurs.

Les sections suivantes présentent un bref aperçu des fonctionnalités que vous pouvez ajouter à votre application avec le plan Essentials. Pour des informations détaillées, consultez les pages suivantes.

Ressources supplémentaires

Personnalisation du jeton d’accès

Les jetons d'accès au pool d'utilisateurs accordent des autorisations aux applications : pour accéder à une API, pour récupérer les attributs utilisateur depuis le point de terminaison UserInfo ou pour établir l'appartenance à un groupe pour un système externe. Dans les scénarios avancés, vous souhaiterez peut-être ajouter au jeton d'accès par défaut les données du répertoire du pool d'utilisateurs avec des paramètres temporaires supplémentaires que votre application détermine lors de l'exécution. Par exemple, vous souhaiterez peut-être vérifier les autorisations d'API d'un utilisateur avec Amazon Verified Permissions et ajuster les étendues du jeton d'accès en conséquence.

Le plan Essentials complète les fonctions existantes d'un déclencheur avant la génération de jetons. Avec les forfaits de niveau inférieur, vous pouvez personnaliser les jetons d'identification avec des revendications, des rôles et une adhésion à un groupe supplémentaires. Avec Essentials, vous pouvez également personnaliser les jetons d'accès en fonction des revendications, des rôles, de l'appartenance à un groupe et OAuth des champs d'application. La personnalisation des jetons d'accès n'est pas disponible pour les machine-to-machine autorisations d'identification des clients (M2M).

Pour personnaliser les jetons d'accès

  1. Sélectionnez le plan de fonctionnalités Essentials ou Plus.

  2. Créez une fonction Lambda pour votre déclencheur. Pour utiliser notre exemple de fonction, configurez-la pour Node.js.

  3. Renseignez votre fonction Lambda avec notre exemple de code ou composez le vôtre. Votre fonction doit traiter un objet de demande provenant d'Amazon Cognito et renvoyer les modifications que vous souhaitez inclure.

  4. Assignez votre nouvelle fonction comme déclencheur de la version 2 avant la génération de jetons.

En savoir plus

Envoyer un e-mail à la MFA

Les groupes d'utilisateurs Amazon Cognito peuvent être configurés pour utiliser le courrier électronique comme deuxième facteur de l'authentification multifactorielle (MFA). Grâce au MFA par e-mail, Amazon Cognito peut envoyer aux utilisateurs un e-mail contenant un code de vérification qu'ils doivent saisir pour terminer le processus d'authentification. Cela ajoute une couche de sécurité supplémentaire importante au flux de connexion des utilisateurs. Pour activer le MFA basé sur le courrier électronique, le groupe d'utilisateurs doit être configuré pour utiliser la configuration d'envoi d'e-mails d'Amazon SES au lieu de la configuration d'e-mail par défaut.

Lorsque votre utilisateur sélectionne le MFA par e-mail, Amazon Cognito envoie un code de vérification à usage unique à l'adresse e-mail enregistrée de l'utilisateur chaque fois qu'il tente de se connecter. L'utilisateur doit ensuite renvoyer ce code à votre groupe d'utilisateurs pour terminer le flux d'authentification et obtenir l'accès. Cela garantit que même si le nom d'utilisateur et le mot de passe d'un utilisateur sont compromis, celui-ci doit fournir un facteur supplémentaire, le code envoyé par e-mail, avant de pouvoir accéder aux ressources de votre application.

Pour de plus amples informations, veuillez consulter MFA par SMS et e-mail. Vous trouverez ci-dessous un aperçu de la manière de configurer votre groupe d'utilisateurs et les utilisateurs pour l'authentification MFA par e-mail.

Pour configurer le MFA par e-mail dans la console Amazon Cognito

  1. Sélectionnez le plan de fonctionnalités Essentials ou Plus.

  2. Dans le menu de connexion de votre groupe d'utilisateurs, modifiez l'authentification multifactorielle.

  3. Choisissez le niveau d'application de la MFA que vous souhaitez configurer. Avec Require MFA, les utilisateurs de l'API reçoivent automatiquement le défi de configurer, de confirmer et de se connecter à la MFA. Dans les groupes d'utilisateurs qui nécessitent l'authentification multifacteur, la connexion gérée les invite à choisir et à configurer un facteur MFA. Avec l'authentification MFA optionnelle, votre application doit offrir aux utilisateurs la possibilité de configurer l'authentification multifacteur et de définir les préférences de l'utilisateur en matière de MFA par e-mail.

  4. Dans la section Méthodes MFA, sélectionnez Message électronique comme l'une des options.

En savoir plus

Prévention de la réutilisation des mots

Par défaut, la politique de regroupement des mots de passe d'un utilisateur Amazon Cognito définit les exigences relatives à la longueur et au type de caractère du mot de passe, ainsi qu'à l'expiration temporaire du mot de passe. Le plan Essentials ajoute la possibilité d'appliquer l'historique des mots de passe. Lorsqu'un utilisateur tente de réinitialiser son mot de passe, votre groupe d'utilisateurs peut l'empêcher de le définir avec un ancien mot de passe. Pour plus d'informations sur la configuration de la politique de mot de passe, consultezAjout d’exigences de mot de passe pour un groupe d’utilisateurs. Vous trouverez ci-dessous un aperçu de la manière de configurer votre groupe d'utilisateurs avec une politique d'historique des mots de passe.

Pour configurer l'historique des mots de passe dans la console Amazon Cognito

  1. Sélectionnez le plan de fonctionnalités Essentials ou Plus.

  2. Dans le menu Méthodes d'authentification de votre groupe d'utilisateurs, recherchez la politique de mot de passe et sélectionnez Modifier.

  3. Configurez les autres options disponibles et définissez une valeur pour Empêcher l'utilisation des mots de passe précédents.

En savoir plus

Connexion gérée, serveur de connexion et d'autorisation hébergé

Les groupes d'utilisateurs Amazon Cognito disposent de pages Web facultatives qui prennent en charge les fonctions suivantes : un IdP OpenID Connect (OIDC), un fournisseur de services ou un IdPs tiers dépendant, et des pages publiques interactives pour l'inscription et la connexion. Ces pages sont collectivement appelées connexion gérée. Lorsque vous choisissez un domaine pour votre groupe d'utilisateurs, Amazon Cognito active automatiquement ces pages. Lorsque le plan Lite possède l'interface utilisateur hébergée, le plan Essentials ouvre cette version avancée des pages d'inscription et de connexion.

Les pages de connexion gérées ont une up-to-date interface propre avec plus de fonctionnalités et d'options pour personnaliser votre image de marque et vos styles. Le plan Essentials est le niveau de plan le plus bas qui débloque l'accès à la connexion gérée.

Pour configurer la connexion gérée dans la console Amazon Cognito

  1. Dans le menu Paramètres, sélectionnez le plan de fonctionnalités Essentials ou Plus.

  2. Dans le menu Domaine, attribuez un domaine à votre groupe d'utilisateurs et sélectionnez une version de marque de Managed login.

  3. Dans le menu Connexion gérée, sous l'onglet Styles, choisissez Créer un style et attribuez le style à un client d'application, ou créez un nouveau client d'application.

En savoir plus

Authentification basée sur les choix

Le niveau Essentials introduit un nouveau flux d'authentification pour les opérations d'authentification dans l'interface utilisateur améliorée et les opérations d'API basées sur le SDK. Ce flux est une authentification basée sur les choix. L'authentification basée sur les choix est une méthode dans laquelle l'authentification de vos utilisateurs ne commence pas par une déclaration côté application d'une méthode de connexion, mais par une requête sur les méthodes de connexion possibles suivie d'un choix. Vous pouvez configurer votre groupe d'utilisateurs pour prendre en charge l'authentification basée sur les choix et déverrouiller l'authentification par nom d'utilisateur/mot de passe, sans mot de passe et par clé d'accès. Dans l'API, il s'agit du USER_AUTH flux.

Pour configurer l'authentification basée sur les choix dans la console Amazon Cognito

  1. Sélectionnez le plan de fonctionnalités Essentials ou Plus.

  2. Dans le menu de connexion de votre groupe d'utilisateurs, modifiez les options pour une connexion basée sur les choix. Sélectionnez et configurez les méthodes d'authentification que vous souhaitez activer dans l'authentification basée sur les choix.

  3. Dans le menu Méthodes d'authentification de votre groupe d'utilisateurs, modifiez la configuration des opérations de connexion.

En savoir plus