Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques pour les applications multilocataires
Les groupes d'utilisateurs Amazon Cognito fonctionnent avec des applications multi-locataires qui génèrent un volume de demandes qui doit rester dans les limites des quotas Amazon Cognito. Pour augmenter cette capacité lorsque votre clientèle augmente, vous pouvez acheter des capacités de quota supplémentaires.
Note
Les quotas Amazon Cognito sont appliqués au fur et à mesure. Compte AWS Région AWS Ces quotas sont partagés entre tous les locataires au sein de votre application. Passez en revue les quotas du service Amazon Cognito et assurez-vous qu'ils correspondent au volume attendu et au nombre de locataires attendus dans votre application.
Cette section décrit les méthodes que vous pouvez mettre en œuvre pour séparer les locataires entre les ressources Amazon Cognito au sein d'une même région et. Compte AWS Vous pouvez également répartir vos locataires sur plusieurs Compte AWS régions et attribuer à chacun son propre quota. Les autres avantages de la mutualisation multirégionale incluent le niveau d'isolation le plus élevé possible, le temps de transit réseau le plus court pour les utilisateurs répartis dans le monde entier et le respect des modèles de distribution existants dans votre organisation.
La mutualisation dans une seule région peut également présenter des avantages pour vos clients et vos administrateurs.
La liste suivante présente certains des avantages de la mutualisation avec des ressources partagées.
Avantages de la location multiple
- Répertoire d'utilisateurs commun
-
La mutualisation prend en charge les modèles dans lesquels les clients ont des comptes dans plusieurs applications. Vous pouvez lier les identités de fournisseurs tiers dans un profil de groupe d'utilisateurs unique et cohérent. Dans les cas où les profils utilisateur sont propres à leur locataire, toute stratégie de mutualisation avec un pool d'utilisateurs unique comporte un point d'entrée unique dans l'administration des utilisateurs.
- Sécurité commune
-
Dans un groupe d'utilisateurs partagé, vous pouvez créer une norme de sécurité unique et appliquer les mêmes normes de sécurité avancée, d'authentification multifactorielle (MFA) et les mêmes AWS WAFnormes à tous les locataires. Comme un AWS WAF site Web ACL doit se trouver dans la même Région AWS zone que la ressource à laquelle vous l'associez, la mutualisation offre un accès partagé à une ressource complexe. Lorsque vous souhaitez conserver une configuration de sécurité cohérente dans les applications Amazon Cognito multirégionales, vous devez appliquer des normes opérationnelles qui répliquent votre configuration entre les ressources.
- Personnalisation commune
-
Vous pouvez personnaliser les groupes d'utilisateurs et les groupes d'identités avec AWS Lambda. La configuration des déclencheurs Lambda dans les groupes d'utilisateurs et des événements Amazon Cognito dans les groupes d'identités peut devenir complexe. Les fonctions Lambda doivent être identiques à celles Région AWS de votre groupe d'utilisateurs ou de votre groupe d'identités. Les fonctions Lambda partagées peuvent appliquer les normes relatives aux flux d'authentification personnalisés, à la migration des utilisateurs, à la génération de jetons et à d'autres fonctions au sein d'une région.
- Messagerie courante
-
Amazon Simple Notification Service (AmazonSNS) nécessite une configuration supplémentaire dans une région avant que vous puissiez envoyer SMSdes messages à vos utilisateurs. Vous pouvez envoyer des e-mails avec des identités vérifiées par Amazon Simple Email Service (AmazonSES) et des domaines contenus dans une région.
Grâce à la mutualisation, vous pouvez partager cette configuration et les frais de maintenance entre tous vos locataires. Amazon SNS et Amazon SES ne étant pas tous disponibles Régions AWS, la répartition de vos ressources entre les régions nécessite une attention particulière.
Lorsque vous utilisez des fournisseurs de messagerie personnalisés, vous bénéficiez de la personnalisation commune d'une seule fonction Lambda pour gérer la livraison de vos messages.
L'interface utilisateur hébergée définit un cookie de session dans le navigateur afin qu'il reconnaisse un utilisateur qui s'est déjà authentifié. Lorsque vous authentifiez des utilisateurs locaux dans un groupe d'utilisateurs, leur cookie de session les authentifie pour tous les clients d'applications du même groupe d'utilisateurs. Un utilisateur local existe exclusivement dans l’annuaire de votre groupe d’utilisateurs sans fédération via un fournisseur d’identité externe. Le cookie de session est valide pendant une heure. Vous ne pouvez pas modifier la durée du cookie de session.
Il existe deux méthodes pour empêcher la connexion entre les clients de l'application à l'aide d'un cookie de session d'interface utilisateur hébergé.
-
Séparez vos utilisateurs en groupes d'utilisateurs par locataire.
-
Remplacez la connexion à l'interface utilisateur hébergée par la connexion aux groupes d'utilisateurs API Amazon Cognito.
Rubriques
- Meilleures pratiques en matière de mutualisation des pools d'utilisateurs
- Meilleures pratiques en matière de mutualisation entre applications et clients
- Bonnes pratiques en matière de mutualisation des groupes d'utilisateurs
- Bonnes pratiques en matière de mutualisation d'attributs personnalisés
- Bonnes pratiques en matière de mutualisation sur mesure
- Recommandations en matière de sécurité multilocataire
