Création de comptes d’utilisateur en tant qu’administrateur - Amazon Cognito
Flux d’authentification pour les utilisateurs créés par des développeurs ou des administrateursCréation d’un nouvel utilisateur dans AWS Management Console

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de comptes d’utilisateur en tant qu’administrateur

Les groupes d'utilisateurs ne sont pas seulement un annuaire d'utilisateurs de gestion de l'identité et de l'accès des clients (CIAM), dans lequel n'importe qui sur Internet peut créer un profil utilisateur dans votre application. Vous pouvez désactiver l'inscription en libre-service. Il se peut que vous connaissiez déjà vos clients et que vous souhaitiez n'admettre que ceux qui ont été autorisés à l'avance. Vous pouvez mettre en place des barrières d'authentification manuelle autour de votre application auprès d'un fournisseur SAML 2.0 privé ou d'OIDCidentité, en important des utilisateurs, en filtrant les utilisateurs lors de leur inscription ou en créant des utilisateurs à l'aide d'opérations administratives. API Votre flux de travail pour la création administrative des utilisateurs peut être programmatique, en configurant les utilisateurs après leur enregistrement dans un autre système, ou il peut être effectué sur une case-by-case base de test dans la console Amazon Cognito.

Lorsque vous créez des utilisateurs en tant qu'administrateur, Amazon Cognito leur définit un mot de passe temporaire et envoie un message de bienvenue ou d'invitation. Ils peuvent suivre le lien contenu dans leur message d'invitation et se connecter pour la première fois, définir un mot de passe et confirmer leur compte. La page suivante décrit comment créer de nouveaux utilisateurs et configurer le message de bienvenue. Pour plus d'informations sur la création d'utilisateurs à l'aide des groupes d'utilisateurs API et d'un AWS SDK ouCDK, consultez AdminCreateUser.

Après avoir créé votre groupe d'utilisateurs, vous pouvez créer des utilisateurs à l'aide de AWS Management Console, ainsi que du AWS Command Line Interface ou d'Amazon CognitoAPI. Vous pouvez créer un profil pour un nouvel utilisateur dans un groupe d'utilisateurs et lui envoyer un message de bienvenue avec des instructions d'inscription par e-mail SMS ou par e-mail.

Les développeurs et les administrateurs peuvent effectuer les tâches suivantes :

  • Créez un nouveau profil utilisateur en utilisant AWS Management Console ou en appelant le AdminCreateUserAPI.

  • Définissez les valeurs des attributs utilisateur.

  • Créez des attributs personnalisés.

  • Définissez la valeur des attributs personnalisés immuables dans les AdminCreateUser API demandes. Cette fonctionnalité n’est pas disponible dans la console Amazon Cognito.

  • Spécifiez le mot de passe temporaire ou laissez Amazon Cognito en générer un automatiquement.

  • Indiquer si les adresses e-mail et numéros de téléphone fournis sont marqués comme étant vérifiés pour les nouveaux utilisateurs.

  • Spécifiez des messages d'invitation personnalisés SMS et par e-mail pour les nouveaux utilisateurs via le AWS Management Console déclencheur Lambda ou un message personnalisé. Pour de plus amples informations, veuillez consulter Personnalisation des flux de travail de groupe d'utilisateurs avec des déclencheurs Lambda.

  • Spécifiez si les messages d'invitation sont envoyés par SMS e-mail ou par les deux.

  • Renvoyez le message de bienvenue à un utilisateur existant en appelant le AdminCreateUserAPI, en spécifiant RESEND le MessageAction paramètre.

    Note

    Cette action ne peut pas être effectuée actuellement en utilisant AWS Management Console.

  • Supprimer l’envoi du message d’invitation lorsque l’utilisateur est créé.

  • Spécifier un délai d’expiration pour le compte utilisateur (jusqu’à 90 jours).

  • Permettre aux utilisateurs de s’inscrire ou exiger que les nouveaux utilisateurs soient uniquement ajoutés par l’administrateur.

Flux d’authentification pour les utilisateurs créés par des développeurs ou des administrateurs

Le flux d’authentification pour ces utilisateurs inclut une étape supplémentaire pour envoyer le nouveau mot de passe et fournir les valeurs manquantes pour les attributs obligatoires. Les différentes étapes sont décrites ci-après, et les étapes 5, 6 et 7 sont spécifiques à ces utilisateurs.

  1. L’utilisateur commence par se connecter pour la première fois en soumettant son nom d’utilisateur et son mot de passe.

  2. Les SDK appelsInitiateAuth(Username, USER_SRP_AUTH).

  3. Amazon Cognito renvoie la stimulation PASSWORD_VERIFIER avec le bloc Salt & Secret.

  4. Il SDK effectue les SRP calculs et les appelsRespondToAuthChallenge(Username, <SRP variables>, PASSWORD_VERIFIER).

  5. Amazon Cognito renvoie la stimulation NEW_PASSWORD_REQUIRED. Le corps de ce défi inclut les attributs actuels de l’utilisateur et tous les attributs requis dans votre groupe d’utilisateurs qui n’ont actuellement aucune valeur dans le profil de l’utilisateur. Pour plus d'informations, consultez RespondToAuthChallenge.

  6. L’utilisateur est invité à entrer un nouveau mot de passe et toutes les valeurs manquantes pour les attributs obligatoires.

  7. Les SDK appelsRespondToAuthChallenge(Username, <New password>, <User attributes>).

  8. Si l'utilisateur a besoin d'un deuxième facteur pourMFA, Amazon Cognito renvoie le MFA défi SMS _ et le code est envoyé.

  9. Une fois que l'utilisateur a correctement modifié son mot de passe et qu'il a éventuellement fourni des valeurs attribuées ou qu'il a terminéMFA, l'utilisateur est connecté et des jetons sont émis.

Lorsque l’utilisateur a répondu à toutes les stimulations, le service Amazon Cognito marque l’utilisateur comme confirmé, émet l’ID et l’accès, et actualise les jetons pour l’utilisateur. Pour de plus amples informations, veuillez consulter Comprendre les jetons JSON Web du pool d'utilisateurs (JWTs).

Création d’un nouvel utilisateur dans AWS Management Console

Vous pouvez définir les exigences relatives au mot de passe utilisateur, configurer les messages d’invitation et de vérification envoyés aux utilisateurs et ajouter de nouveaux utilisateurs avec la console Amazon Cognito.

Définir une politique de mot de passe et activer l’auto-enregistrement

Vous pouvez configurer les paramètres pour minimiser la complexité des mots de passe et indiquer si les utilisateurs peuvent s'inscrire en utilisant le mode public APIs dans votre groupe d'utilisateurs.

Configurer une politique de mot de passe

  1. Accédez à la console Amazon Cognito, puis choisissez Groupes d’utilisateurs.

  2. Choisissez un groupe d’utilisateurs existant dans la liste ou créez-en un.

  3. Choisissez l’onglet Sign-in experience (Expérience de connexion) et localisez Password policy (Politique de mots de passe). Choisissez Modifier.

  4. Choisissez un Mode politique de mot de passe sur Personnalisé.

  5. Choisissez une Longueur minimum du mot de passe. Pour connaître les limites de la longueur de mot de passe requise, consultez Quotas de ressources pour les groupes.

  6. Choisissez une exigence de Complexité pour le mot de passe.

  7. Choisissez la durée pendant laquelle le mot de passe défini par les administrateurs doit être valide.

  8. Sélectionnez Enregistrer les modifications.

Autoriser l’inscription en libre-service

  1. Accédez à la console Amazon Cognito, puis choisissez Groupes d’utilisateurs.

  2. Choisissez un groupe d’utilisateurs existant dans la liste ou créez-en un.

  3. Choisissez l’onglet Sign-up experience (Expérience d’inscription) et localisez Self-service sign-up (Inscription en libre-service). Tâche de sélection Modifier.

  4. Choisissez si vous souhaitez Activer l’auto-enregistrement. L'auto-enregistrement est généralement utilisé avec les clients d'applications publiques qui doivent enregistrer de nouveaux utilisateurs dans votre groupe d'utilisateurs sans divulguer de secret client ni d'APIinformations d'identification AWS Identity and Access Management (IAM).

    Désactivation de l’auto-enregistrement

    Si vous n'activez pas l'auto-enregistrement, les nouveaux utilisateurs doivent être créés par des API actions administratives à l'aide IAM API d'informations d'identification ou en se connectant auprès de fournisseurs fédérés.

  5. Sélectionnez Enregistrer les modifications.

Personnaliser les e-mails et les SMS messages

Personnalisation des messages utilisateurs

Vous pouvez personnaliser les messages qu'Amazon Cognito envoie à vos utilisateurs lorsque vous les invitez à se connecter, lorsqu'ils créent un compte utilisateur ou lorsqu'ils se connectent et sont invités à effectuer une authentification multifactorielle (). MFA

Note

Un Message d’invitation est envoyé lorsque vous créez un utilisateur dans votre groupe d’utilisateurs et invitez cet utilisateur à se connecter. Amazon Cognito envoie les informations de connexion initiales à l’adresse e-mail ou au numéro de téléphone de l’utilisateur.

Un Message de vérification est envoyé lorsqu’un utilisateur s’inscrit à un compte utilisateur dans votre groupe d’utilisateurs. Amazon Cognito envoie un code à l’utilisateur. Lorsque l’utilisateur fournit le code à Amazon Cognito, il vérifie ses coordonnées et confirme la connexion de son compte. Les codes de vérification restent valables pendant 24 heures.

Un MFAmessage est envoyé lorsque vous l'activez SMS MFA dans votre groupe d'utilisateurs et qu'un utilisateur configuré se SMS MFA connecte et est invité à le faireMFA.

  1. Accédez à la console Amazon Cognito, puis choisissez Groupes d’utilisateurs.

  2. Choisissez un groupe d’utilisateurs existant dans la liste ou créez-en un.

  3. Choisissez l’onglet Messaging (Messagerie) et localisez les Message templates (Modèles de messages). Sélectionnez Messages de vérification, messages d'invitation ou MFAmessages, puis choisissez Modifier.

  4. Personnalisez les messages pour le type de message choisi.

    Note

    Toutes les variables des modèles de messages doivent être incluses lorsque vous personnalisez le message. Si la variable, par exemple {####}, n’est pas inclus, votre utilisateur ne disposera pas d’informations suffisantes pour terminer l’action de message.

    Pour plus d’informations, consultez Modèles de messages.

    1. Messages de vérification

      1. Choisissez un Type de vérification pour les messages e-mail. Un Code de vérification transfère un code numérique que l’utilisateur doit entrer. Un Lien de vérification transfère un lien sur lequel l’utilisateur peut cliquer pour vérifier ses coordonnées. Le texte de la variable d’un Lien du message s’affiche sous forme de texte de lien hypertexte. Par exemple, un modèle de message utilisant la variable {# #Click ici##} s’affiche sous la forme Cliquez ici dans l’e-mail.

      2. Saisissez un Objet de l’e-mail pour les messages e-mail.

      3. Saisissez un modèle de message e-mail personnalisé pour des messages e-mail. Vous pouvez personnaliser ce modèle avecHTML.

      4. Entrez un modèle de SMSmessage personnalisé pour les SMSmessages.

      5. Sélectionnez Enregistrer les modifications.

    2. Messages d’invitation

      1. Saisissez un Objet de l’e-mail pour les messages e-mail.

      2. Saisissez un modèle de message e-mail personnalisé pour des messages e-mail. Vous pouvez personnaliser ce modèle avecHTML.

      3. Entrez un modèle de SMSmessage personnalisé pour les SMSmessages.

      4. Sélectionnez Enregistrer les modifications.

    3. MFAmessages

      1. Entrez un modèle de SMSmessage personnalisé pour les SMSmessages.

      2. Sélectionnez Enregistrer les modifications.

Créez un utilisateur

Créez un utilisateur

Vous pouvez créer de nouveaux utilisateurs pour votre groupe d’utilisateurs à partir de la console Amazon Cognito. En règle générale, les utilisateurs peuvent se connecter après avoir défini un mot de passe. Pour se connecter avec une adresse e-mail ou un numéro de téléphone, un utilisateur doit vérifier l’attribut email. Pour se connecter avec un numéro de téléphone, l’utilisateur doit vérifier l’attribut phone_number. Pour confirmer les comptes en tant qu'administrateur, vous pouvez également utiliser AWS CLI ou API créer des profils utilisateur auprès d'un fournisseur d'identité fédéré. Pour plus d'informations, consultez le manuel Amazon Cognito Reference API.

  1. Accédez à la console Amazon Cognito, puis choisissez Groupes d’utilisateurs.

  2. Choisissez un groupe d’utilisateurs existant dans la liste ou créez-en un.

  3. Choisissez l’onglet Users (Utilisateurs), puis Create a user (Créer un utilisateur).

  4. Vérifiez l’option User pool sign-in and security requirements (Exigences de sécurité et de connexion au groupe d’utilisateurs) pour obtenir des conseils sur les exigences de mot de passe, les méthodes de récupération de compte disponibles et les attributs d’alias pour votre groupe d’utilisateurs.

  5. Choisissez comment envoyer un message d’invitation. Choisissez SMS un message, un e-mail ou les deux.

    Note

    Avant de pouvoir envoyer des messages d’invitation, configurez un expéditeur et une Région AWS avec Amazon Simple Notification Service et Amazon Simple Email Service dans l’onglet Messaging (Messagerie) de votre groupe d’utilisateurs. Les tarifs des messages et des données du destinataire s’appliquent. Amazon vous SES facture les e-mails séparément, et Amazon vous SNS facture les SMS messages séparément.

  6. Choisissez un Nom d’utilisateur pour le nouvel utilisateur.

  7. Choisissez si vous souhaitez créer un mot de passe ou autoriser Amazon Cognito à générer un mot de passe pour l’utilisateur. Tout mot de passe temporaire doit respecter la politique de mot de passe du groupe d’utilisateurs.

  8. Sélectionnez Create (Créer).

  9. Choisissez l’onglet Users (Utilisateurs) et choisissez l’entrée User name (Nom d’utilisateur) pour l’utilisateur. Ajoutez et modifiez des User attributes (Attributs utilisateur) et des Group memberships (Appartenances de groupe). Passez en revue l’historique des événements d’utilisateur.