Kolam pengguna Amazon Cognito - Amazon Cognito
Fitur

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kolam pengguna Amazon Cognito

Kumpulan pengguna Amazon Cognito adalah direktori pengguna untuk autentikasi dan otorisasi aplikasi web dan seluler. Dari perspektif aplikasi Anda, kumpulan pengguna Amazon Cognito adalah penyedia identitas OpenID Connect (OIDC) (iDP). Kumpulan pengguna menambahkan lapisan fitur tambahan untuk keamanan, federasi identitas, integrasi aplikasi, dan penyesuaian pengalaman pengguna.

Anda dapat, misalnya, memverifikasi bahwa sesi pengguna Anda berasal dari sumber tepercaya. Anda dapat menggabungkan direktori Amazon Cognito dengan penyedia identitas eksternal. Dengan AWS SDK pilihan Anda, Anda dapat memilih model otorisasi API yang paling sesuai untuk aplikasi Anda. Dan Anda dapat menambahkan AWS Lambda fungsi yang memodifikasi atau merombak perilaku default Amazon Cognito.

Diagram dengan ikhtisar tingkat tinggi tentang cara kerja kumpulan pengguna. Klien dapat masuk dengan aplikasi yang dibangun menggunakan AWS SDK atau dengan OIDC iDP bawaan ke kumpulan pengguna. Kumpulan pengguna juga menyatukan proses masuk untuk beberapa penyedia identitas sosial, OpenID Connect, dan SAFL 2.0.
Topik

Fitur

Kumpulan pengguna Amazon Cognito memiliki fitur-fitur berikut.

Daftar

Kumpulan pengguna Amazon Cognito memiliki metode yang digerakkan oleh pengguna, berbasis administrator, dan terprogram untuk menambahkan profil pengguna ke kumpulan pengguna Anda. Kumpulan pengguna Amazon Cognito mendukung model pendaftaran berikut. Anda dapat menggunakan kombinasi model ini di aplikasi Anda.

penting

Jika Anda mengaktifkan pendaftaran pengguna di kumpulan pengguna Anda, siapa pun di internet dapat mendaftar untuk akun dan masuk ke aplikasi Anda. Jangan aktifkan registrasi mandiri di kumpulan pengguna kecuali Anda ingin membuka aplikasi untuk pendaftaran publik. Untuk mengubah setelan ini, perbarui Pendaftaran layanan mandiri di menu Pendaftaran di bawah Otentikasi di konsol kumpulan pengguna, atau perbarui nilai permintaan atau AllowAdminCreateUserOnlyAPI. CreateUserPool UpdateUserPool

Untuk informasi tentang fitur keamanan yang dapat Anda atur di kumpulan pengguna, lihatMenggunakan fitur keamanan kumpulan pengguna Amazon Cognito.

  1. Pengguna Anda dapat memasukkan informasi mereka di aplikasi Anda dan membuat profil pengguna yang asli dari kumpulan pengguna Anda. Anda dapat memanggil operasi pendaftaran API untuk mendaftarkan pengguna di kumpulan pengguna Anda. Anda dapat membuka operasi pendaftaran ini kepada siapa pun, atau Anda dapat mengotorisasi mereka dengan rahasia atau AWS kredensil klien.

  2. Anda dapat mengarahkan pengguna ke IDP pihak ketiga yang dapat mereka otorisasi untuk meneruskan informasi mereka ke Amazon Cognito. Amazon Cognito memproses token id OIDC, userInfo data OAuth 2.0, dan pernyataan SAMP 2.0 ke dalam profil pengguna di kumpulan pengguna Anda. Anda mengontrol atribut yang ingin diterima Amazon Cognito berdasarkan aturan pemetaan atribut.

  3. Anda dapat melewati pendaftaran publik atau federasi, dan membuat pengguna berdasarkan sumber data dan skema Anda sendiri. Tambahkan pengguna langsung di konsol Amazon Cognito atau API. Impor pengguna dari file CSV. Jalankan just-in-time AWS Lambda fungsi yang mencari pengguna baru Anda di direktori yang ada, dan mengisi profil pengguna mereka dari data yang ada.

Setelah pengguna mendaftar, Anda dapat menambahkannya ke grup yang dicantumkan Amazon Cognito di token akses dan ID. Anda juga dapat menautkan grup kumpulan pengguna ke peran IAM saat Anda meneruskan token ID ke kumpulan identitas.

Topik terkait

Masuk

Amazon Cognito dapat menjadi direktori pengguna mandiri dan penyedia identitas (iDP) ke aplikasi Anda. Pengguna Anda dapat masuk dengan halaman login terkelola yang di-host oleh Amazon Cognito, atau dengan layanan otentikasi pengguna yang dibuat khusus melalui API kumpulan pengguna Amazon Cognito. Tingkat aplikasi di belakang front end yang dibuat khusus dapat mengotorisasi permintaan di bagian belakang dengan salah satu dari beberapa metode untuk mengonfirmasi permintaan yang sah.

Pengguna dapat mengatur dan menandatangani dengan nama pengguna dan kata sandi, kunci sandi, dan kata sandi satu kali pesan email dan SMS. Anda dapat menawarkan login konsolidasi dengan direktori pengguna eksternal, otentikasi multi-faktor (MFA) setelah masuk, mempercayai perangkat yang diingat, dan alur otentikasi khusus yang Anda desain.

Untuk masuk pengguna dengan direktori eksternal, secara opsional dikombinasikan dengan direktori pengguna bawaan ke Amazon Cognito, Anda dapat menambahkan integrasi berikut.

  1. Masuk dan impor data pengguna pelanggan dengan login sosial OAuth 2.0. Amazon Cognito mendukung login dengan Google, Facebook, Amazon, dan Apple melalui 2.0. OAuth

  2. Masuk dan impor data pengguna kantor dan sekolah dengan login SAMP dan OIDC. Anda juga dapat mengonfigurasi Amazon Cognito untuk menerima klaim dari penyedia identitas SAMP atau OpenID Connect (OIDC) (IDP).

  3. Tautkan profil pengguna eksternal ke profil pengguna asli. Pengguna yang tertaut dapat masuk dengan identitas pengguna pihak ketiga dan menerima akses yang Anda tetapkan ke pengguna di direktori bawaan.

Topik terkait
Machine-to-machine otorisasi

Beberapa sesi bukanlah human-to-machine interaksi. Anda mungkin memerlukan akun layanan yang dapat mengotorisasi permintaan ke API dengan proses otomatis. Untuk menghasilkan token akses untuk machine-to-machine otorisasi dengan cakupan OAuth 2.0, Anda dapat menambahkan klien aplikasi yang menghasilkan hibah kredensial-klien.

Topik terkait

Login terkelola

Ketika Anda tidak ingin membangun antarmuka pengguna, Anda dapat menyajikan pengguna Anda dengan halaman login terkelola yang disesuaikan. Login terkelola adalah sekumpulan halaman web untuk pendaftaran, masuk, otentikasi multi-faktor (MFA), dan pengaturan ulang kata sandi. Anda dapat menambahkan login terkelola ke domain yang ada, atau menggunakan pengenal awalan di subdomain. AWS

Topik terkait

Keamanan

Pengguna lokal Anda dapat memberikan faktor otentikasi tambahan dengan kode dari pesan SMS atau email, atau aplikasi yang menghasilkan kode otentikasi multi-faktor (MFA). Anda dapat membangun mekanisme untuk mengatur dan memproses MFA di aplikasi Anda, atau Anda dapat membiarkan login terkelola mengelolanya. Kumpulan pengguna Amazon Cognito dapat melewati MFA saat pengguna Anda masuk dari perangkat tepercaya.

Jika Anda tidak ingin awalnya memerlukan MFA dari pengguna Anda, Anda dapat memerlukannya secara kondisional. Dengan fitur keamanan tingkat lanjut, Amazon Cognito dapat mendeteksi potensi aktivitas berbahaya dan mengharuskan pengguna Anda mengatur MFA, atau memblokir proses masuk.

Jika lalu lintas jaringan ke kumpulan pengguna Anda mungkin berbahaya, Anda dapat memantaunya dan mengambil tindakan dengan AWS WAF web ACLs.

Topik terkait

Pengalaman pengguna khusus

Pada sebagian besar tahap pendaftaran, masuk, atau pembaruan profil pengguna, Anda dapat menyesuaikan cara Amazon Cognito menangani permintaan tersebut. Dengan pemicu Lambda, Anda dapat mengubah token ID atau menolak permintaan pendaftaran berdasarkan kondisi khusus. Anda dapat membuat alur otentikasi kustom Anda sendiri.

Anda dapat mengunggah CSS dan logo khusus untuk memberikan login terkelola tampilan dan nuansa yang akrab bagi pengguna Anda.

Topik terkait

Pemantauan dan analitik

Pengguna Amazon Cognito mengumpulkan permintaan API log, termasuk permintaan untuk login terkelola, ke. AWS CloudTrail Anda dapat meninjau metrik kinerja di CloudWatch Log Amazon, mendorong log kustom CloudWatch dengan pemicu Lambda, memantau pengiriman pesan email dan SMS, serta memantau volume permintaan API di konsol Service Quotas.

Dengan paket fitur Plus, Anda dapat memantau upaya otentikasi pengguna untuk indikator kompromi dengan teknologi pembelajaran otomatis dan segera memulihkan risiko. Fitur keamanan canggih ini juga mencatat aktivitas pengguna ke kumpulan pengguna Anda dan secara opsional, ke Amazon S3, Log CloudWatch , atau Amazon Data Firehose.

Anda juga dapat mencatat data perangkat dan sesi dari permintaan API Anda ke kampanye Amazon Pinpoint. Dengan Amazon Pinpoint, Anda dapat mengirim pemberitahuan push dari aplikasi berdasarkan analisis aktivitas pengguna.

Topik terkait

Integrasi kumpulan identitas Amazon Cognito

Setengah lainnya dari Amazon Cognito adalah kumpulan identitas. Identity pool menyediakan kredensional yang mengotorisasi dan memantau permintaan API Layanan AWS, misalnya Amazon DynamoDB atau Amazon S3, dari pengguna Anda. Anda dapat membuat kebijakan akses berbasis identitas yang melindungi data Anda berdasarkan cara Anda mengklasifikasikan pengguna di kumpulan pengguna Anda. Identity pool juga dapat menerima token dan pernyataan SAMP 2.0 dari berbagai penyedia identitas, terlepas dari otentikasi kumpulan pengguna.

Topik terkait