Kolam pengguna Amazon Cognito - Amazon Cognito
Fitur

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kolam pengguna Amazon Cognito

Kumpulan pengguna Amazon Cognito adalah direktori pengguna untuk autentikasi dan otorisasi aplikasi web dan seluler. Dari perspektif aplikasi Anda, kumpulan pengguna Amazon Cognito adalah penyedia identitas OpenID Connect (OIDC) (iDP). Kumpulan pengguna menambahkan lapisan fitur tambahan untuk keamanan, federasi identitas, integrasi aplikasi, dan penyesuaian pengalaman pengguna.

Anda dapat, misalnya, memverifikasi bahwa sesi pengguna Anda berasal dari sumber tepercaya. Anda dapat menggabungkan direktori Amazon Cognito dengan penyedia identitas eksternal. Dengan pilihan Anda AWS SDK, Anda dapat memilih model API otorisasi yang paling sesuai untuk aplikasi Anda. Dan Anda dapat menambahkan AWS Lambda fungsi yang memodifikasi atau merombak perilaku default Amazon Cognito.

Gambaran umum autentikasi
Topik

Fitur

Kumpulan pengguna Amazon Cognito memiliki fitur-fitur berikut.

Daftar

Kumpulan pengguna Amazon Cognito memiliki metode yang digerakkan oleh pengguna, berbasis administrator, dan terprogram untuk menambahkan profil pengguna ke kumpulan pengguna Anda. Kumpulan pengguna Amazon Cognito mendukung model pendaftaran berikut. Anda dapat menggunakan kombinasi model ini di aplikasi Anda.

penting

Jika Anda mengaktifkan pendaftaran pengguna di kumpulan pengguna Anda, siapa pun di internet dapat mendaftar untuk akun dan masuk ke aplikasi Anda. Jangan aktifkan registrasi mandiri di kumpulan pengguna kecuali Anda ingin membuka aplikasi untuk pendaftaran publik. Untuk mengubah setelan ini, perbarui Pendaftaran layanan mandiri di tab Pengalaman pendaftaran konsol kumpulan pengguna, atau perbarui nilai AllowAdminCreateUserOnlydalam permintaan atau. CreateUserPool UpdateUserPoolAPI

Untuk informasi tentang fitur keamanan yang dapat Anda atur di kumpulan pengguna, lihatMenggunakan fitur keamanan kumpulan pengguna Amazon Cognito.

  1. Pengguna Anda dapat memasukkan informasi mereka di aplikasi Anda dan membuat profil pengguna yang asli dari kumpulan pengguna Anda. Anda dapat memanggil operasi API pendaftaran untuk mendaftarkan pengguna di kumpulan pengguna Anda. Anda dapat membuka operasi pendaftaran ini kepada siapa pun, atau Anda dapat mengotorisasi mereka dengan rahasia atau AWS kredensi klien.

  2. Anda dapat mengarahkan pengguna ke IDP pihak ketiga yang dapat mereka otorisasi untuk meneruskan informasi mereka ke Amazon Cognito. Amazon Cognito memproses token OIDC id, userInfo data OAuth 2.0, dan pernyataan SAML 2.0 ke dalam profil pengguna di kumpulan pengguna Anda. Anda mengontrol atribut yang ingin diterima Amazon Cognito berdasarkan aturan pemetaan atribut.

  3. Anda dapat melewati pendaftaran publik atau federasi, dan membuat pengguna berdasarkan sumber data dan skema Anda sendiri. Tambahkan pengguna langsung di konsol Amazon Cognito atau. API Impor pengguna dari CSV file. Jalankan just-in-time AWS Lambda fungsi yang mencari pengguna baru Anda di direktori yang ada, dan mengisi profil pengguna mereka dari data yang ada.

Setelah pengguna mendaftar, Anda dapat menambahkannya ke grup yang dicantumkan Amazon Cognito di token akses dan ID. Anda juga dapat menautkan grup kumpulan pengguna ke IAM peran saat Anda meneruskan token ID ke kumpulan identitas.

Topik terkait

Masuk

Amazon Cognito dapat menjadi direktori pengguna mandiri dan penyedia identitas (iDP) ke aplikasi Anda. Pengguna Anda dapat masuk dengan UI yang di-host oleh Amazon Cognito, atau dengan UI Anda sendiri melalui kumpulan pengguna Amazon Cognito. API Tingkat aplikasi di belakang UI kustom front end Anda dapat mengotorisasi permintaan di bagian belakang dengan salah satu dari beberapa metode untuk mengonfirmasi permintaan yang sah.

Untuk masuk pengguna dengan direktori eksternal, secara opsional dikombinasikan dengan direktori pengguna bawaan ke Amazon Cognito, Anda dapat menambahkan integrasi berikut.

  1. Masuk dan impor data pengguna konsumen dengan login sosial OAuth 2.0. Amazon Cognito mendukung login dengan Google, Facebook, Amazon, dan Apple melalui 2.0. OAuth

  2. Masuk dan impor data pengguna perusahaan dengan SAML dan OIDC masuk. Anda juga dapat mengonfigurasi Amazon Cognito untuk menerima klaim dari penyedia identitas SAML OpenID Connect () mana pun atau OpenID Connect (OIDC).

  3. Tautkan profil pengguna eksternal ke profil pengguna asli. Pengguna yang tertaut dapat masuk dengan identitas pengguna pihak ketiga dan menerima akses yang Anda tetapkan ke pengguna di direktori bawaan.

Topik terkait
Machine-to-machine otorisasi

Beberapa sesi bukanlah human-to-machine interaksi. Anda mungkin memerlukan akun layanan yang dapat mengotorisasi permintaan ke proses otomatis. API Untuk menghasilkan token akses untuk machine-to-machine otorisasi dengan cakupan OAuth 2.0, Anda dapat menambahkan klien aplikasi yang menghasilkan hibah kredensial-klien.

Topik terkait

UI yang Dihosting

Jika Anda tidak ingin membangun antarmuka pengguna, Anda dapat menyajikan UI yang dihosting Amazon Cognito yang disesuaikan kepada pengguna. UI yang dihosting adalah sekumpulan halaman web untuk pendaftaran, masuk, otentikasi multi-faktor (MFA), dan pengaturan ulang kata sandi. Anda dapat menambahkan UI yang dihosting ke domain yang ada, atau menggunakan pengenal awalan di subdomain. AWS

Topik terkait

Keamanan

Pengguna lokal Anda dapat memberikan faktor otentikasi tambahan dengan kode dari SMS pesan, atau aplikasi yang menghasilkan kode otentikasi () MFA multi-faktor. Anda dapat membangun mekanisme untuk menyiapkan dan memproses MFA di aplikasi Anda, atau Anda dapat membiarkan UI yang dihosting mengelolanya. Kumpulan pengguna Amazon Cognito dapat mem-bypass MFA saat pengguna Anda masuk dari perangkat tepercaya.

Jika Anda awalnya tidak ingin meminta MFA dari pengguna Anda, Anda dapat memerlukannya secara kondisional. Dengan fitur keamanan tingkat lanjut, Amazon Cognito dapat mendeteksi potensi aktivitas berbahaya dan mengharuskan pengguna Anda untuk mengaturMFA, atau memblokir proses masuk.

Jika lalu lintas jaringan ke kumpulan pengguna Anda mungkin berbahaya, Anda dapat memantaunya dan mengambil tindakan dengan AWS WAF webACLs.

Topik terkait

Pengalaman pengguna khusus

Pada sebagian besar tahap pendaftaran, masuk, atau pembaruan profil pengguna, Anda dapat menyesuaikan cara Amazon Cognito menangani permintaan tersebut. Dengan pemicu Lambda, Anda dapat mengubah token ID atau menolak permintaan pendaftaran berdasarkan kondisi khusus. Anda dapat membuat alur otentikasi kustom Anda sendiri.

Anda dapat mengunggah kustom CSS dan logo untuk memberikan tampilan dan nuansa yang akrab pada UI yang dihosting kepada pengguna Anda.

Topik terkait

Pemantauan dan analitik

Pengguna Amazon Cognito mengumpulkan permintaan log, termasuk API permintaan ke UI yang dihosting, ke. AWS CloudTrail Anda dapat meninjau metrik kinerja di CloudWatch Log Amazon, mendorong log kustom CloudWatch dengan pemicu Lambda, dan API memantau volume permintaan di konsol Service Quotas.

Anda juga dapat mencatat data perangkat dan sesi dari API permintaan Anda ke kampanye Amazon Pinpoint. Dengan Amazon Pinpoint, Anda dapat mengirim pemberitahuan push dari aplikasi berdasarkan analisis aktivitas pengguna.

Topik terkait

Integrasi kumpulan identitas Amazon Cognito

Setengah lainnya dari Amazon Cognito adalah kumpulan identitas. Kumpulan identitas menyediakan kredensional yang mengotorisasi dan memantau API permintaan Layanan AWS, misalnya Amazon DynamoDB atau Amazon S3, dari pengguna Anda. Anda dapat membuat kebijakan akses berbasis identitas yang melindungi data Anda berdasarkan cara Anda mengklasifikasikan pengguna di kumpulan pengguna Anda. Identity pool juga dapat menerima token dan pernyataan SAML 2.0 dari berbagai penyedia identitas, terlepas dari otentikasi kumpulan pengguna.

Topik terkait