Configuration de politiques pour la création d’utilisateurs

Votre groupe d’utilisateurs peut autoriser les utilisateurs à s’inscrire, ou vous pouvez les créer en tant qu’administrateur. Vous pouvez également contrôler la part du processus de vérification et de confirmation qui incombe à vos utilisateurs après l’inscription. Vous pouvez par exemple vérifier les inscriptions et les accepter sur selon un processus de validation externe. Cette configuration, ou la politique de création d’utilisateurs pour les administrateurs, définit également le délai avant qu’un utilisateur ne puisse plus confirmer son compte utilisateur.

Amazon Cognito peut répondre aux besoins de vos clients publics en tant que plateforme de gestion de l’identité et de l’accès des clients (CIAM) pour votre logiciel. Un groupe d'utilisateurs qui accepte l'inscription et possède un client d'application, avec ou sans connexion gérée, crée un profil utilisateur pour toute personne sur Internet qui connaît votre identifiant client d'application accessible au public et qui demande à s'inscrire. Un profil utilisateur enregistré peut recevoir des jetons d’accès et d’identité et peut accéder aux ressources que vous avez autorisées pour votre application. Avant d’activer l’inscription dans votre groupe d’utilisateurs, passez en revue vos options et assurez-vous que votre configuration est conforme à vos normes de sécurité. Définissez avec soin Activer l’auto-inscription et AllowAdminCreateUserOnly, comme décrit dans les procédures suivantes.

AWS Management Console

Le menu d'inscription de votre groupe d'utilisateurs contient certains des paramètres d'inscription et de création administrative des utilisateurs de votre groupe d'utilisateurs.

Pour configurer l’expérience d’inscription

Dans Vérification et confirmation assistées par Cognito, indiquez si vous souhaitez Autoriser Cognito à envoyer automatiquement des messages pour vérifier et confirmer. Lorsque ce paramètre est activé, Amazon Cognito envoie un e-mail ou un SMS aux nouveaux utilisateurs avec un code qu’ils doivent présenter à votre groupe d’utilisateurs. Cela confirme qu’ils sont propriétaires de l’adresse e-mail ou du numéro de téléphone, en définissant l’attribut équivalent comme vérifié et en confirmant le compte utilisateur pour la connexion. Les Attributs à vérifier que vous choisissez déterminent les méthodes de livraison et les destinations des messages de vérification.
La vérification des modifications d’attributs n’est pas importante lorsque vous créez des utilisateurs, mais concerne la vérification des attributs. Vous pouvez autoriser les utilisateurs qui ont modifié leurs attributs de connexion, mais qui ne les ont pas encore vérifiés, à poursuivre la connexion avec leur nouvelle valeur d’attribut ou avec leur valeur d’origine. Pour de plus amples informations, veuillez consulter Vérification en cas de modification de l’adresse e-mail ou du numéro de téléphone par l’utilisateur.
Les attributs obligatoires affichent les attributs pour lesquels une valeur doit être fournie avant qu’un utilisateur ne puisse s’inscrire ou avant que vous ne puissiez créer un utilisateur. Vous ne pouvez définir les attributs obligatoires que lorsque vous créez un groupe d'utilisateurs.
Les attributs personnalisés sont importants pour le processus de création et d’inscription des utilisateurs, car vous ne pouvez définir une valeur pour les attributs personnalisés immuables que lorsque vous créez un utilisateur pour la première fois. Pour plus d’informations sur les attributs personnalisés, consultez Attributs personnalisés.
Dans l’onglet Inscription en libre-service, sélectionnez Activer l’auto-inscription si vous souhaitez que les utilisateurs puissent générer un nouveau compte à l’aide de l’API SignUp non authentifiée. Si vous désactivez l'enregistrement automatique, vous ne pouvez créer de nouveaux utilisateurs qu'en tant qu'administrateur, dans la console Amazon Cognito ou via des requêtes AdminCreateUserd'API. Dans un groupe d'utilisateurs où l'auto-inscription est inactive, les demandes d'SignUpAPI sont NotAuthorizedException renvoyées et la connexion gérée n'affiche pas de lien d'inscription.

Pour les groupes d'utilisateurs dans lesquels vous envisagez de créer des utilisateurs en tant qu'administrateur, vous pouvez configurer la durée de leurs mots de passe temporaires dans le paramètre du menu de connexion Les mots de passe temporaires définis par les administrateurs expirent.

Le message d’invitation est un autre élément important de la création d’utilisateurs en tant qu’administrateur. Lorsque vous créez un utilisateur, Amazon Cognito lui envoie un message contenant un lien vers votre application afin qu’il puisse se connecter pour la première fois. Personnalisez ce modèle de message dans le menu Méthodes d'authentification sous Modèles de message.

Vous pouvez configurer des clients d’application confidentiels, généralement des applications Web, avec un secret client qui empêche l’inscription sans le secret du client d’application. Selon une bonne pratique de sécurité, ne diffusez pas les secrets des clients d’applications dans des clients d’applications publics, généralement des applications mobiles. Vous pouvez créer des clients d'applications avec des secrets clients dans le menu Clients d'applications de la console Amazon Cognito.

Amazon Cognito user pools API

Vous pouvez définir par programmation les paramètres de création d'utilisateurs dans un groupe d'utilisateurs dans le cadre d'une demande d'UpdateUserPoolAPI CreateUserPoolou d'une demande d'API.

L'AdminCreateUserConfigélément définit les valeurs des propriétés suivantes d'un groupe d'utilisateurs.

Activer l’inscription en libre-service
Le message d’invitation que vous envoyez aux nouveaux utilisateurs créés par l’administrateur

L’exemple suivant, lorsqu’il est ajouté au corps complet d’une demande d’API, définit un groupe d’utilisateurs avec une inscription en libre-service inactive et un e-mail d’invitation de base.


"AdminCreateUserConfig": { 
      "AllowAdminCreateUserOnly": true,
      "InviteMessageTemplate": { 
         "EmailMessage": "Your username is {username} and temporary password is {####}.",
         "EmailSubject": "Welcome to ExampleApp",
         "SMSMessage": "Your username is {username} and temporary password is {####}."
      }
   }

Les paramètres supplémentaires suivants d'une demande CreateUserPoolou d'UpdateUserPoolAPI régissent la création de nouveaux utilisateurs.

AutoVerifiedAttributes

Les attributs, adresses e-mail ou numéros de téléphone auxquels vous souhaitez envoyer automatiquement un message lorsque vous enregistrez un nouvel utilisateur.

Stratégies

La politique de mot de passe du groupe d’utilisateurs.

Schema (Schéma)

Les attributs personnalisés du groupe d’utilisateurs. Ils sont importants pour le processus de création et d’inscription des utilisateurs, car vous ne pouvez définir une valeur pour les attributs personnalisés immuables que lorsque vous créez un utilisateur pour la première fois.

Ce paramètre définit également les attributs requis pour votre groupe d’utilisateurs. Le texte suivant, lorsqu’il est inséré dans l’élément Schema du corps complet d’une demande d’API, définit l’attribut email de la manière requise.


{
            "Name": "email",
            "Required": true
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des utilisateurs

Inscription et confirmation des comptes d’utilisateur