Termini e concetti comuni di Amazon Cognito

Un token web JSON (JWT) che contiene informazioni sull'autorizzazione di un'entità ad accedere ai sistemi informativi.

In genere, un'applicazione mobile. In questa guida, app è spesso un'abbreviazione di un'applicazione Web o di un'app mobile che si connette ad Amazon Cognito.

Un modello in cui un'app determina l'accesso alle risorse in base alle proprietà di un utente, come la qualifica o il reparto. Gli strumenti di Amazon Cognito per applicare l'ABAC includono i token ID nei pool di utenti e i tag principali nei pool di identità.

Il processo di creazione di un'identità autentica ai fini dell'accesso a un sistema informativo. Amazon Cognito accetta prove di autenticazione da provider di identità di terze parti e funge anche da fornitore di autenticazione per le applicazioni software.

Il processo di concessione delle autorizzazioni a una risorsa. I token di accesso al pool di utenti contengono informazioni che le applicazioni possono utilizzare per consentire agli utenti e ai sistemi di accedere alle risorse.

Un sistema OAuth o OpenID Connect (OIDC) che genera token web JSON. Il server di autorizzazione gestito dei pool di utenti Amazon Cognito è il componente del server di autorizzazione dei due metodi di autenticazione e autorizzazione nei pool di utenti. I pool di utenti supportano anche i flussi di risposta alle sfide delle API nell'autenticazione SDK.

Un'applicazione a cui gli utenti si connettono in remoto, con codice su un server di applicazioni e accesso ai segreti. Si tratta in genere di un'applicazione Web.

Un servizio che archivia e verifica le identità degli utenti. Amazon Cognito può richiedere l'autenticazione a provider esterni ed essere un IdP delle app.

Un documento in formato JSON che contiene affermazioni relative a un utente autenticato. I token ID autenticano gli utenti, i token di accesso autorizzano gli utenti e i token di aggiornamento aggiornano le credenziali. Amazon Cognito riceve token da fornitori esterni ed emette token per app o. AWS STS

Il processo di autorizzazione delle richieste agli endpoint API per le entità non-user-interactive macchina, ad esempio un livello di applicazione del server web. I pool di utenti forniscono l'autorizzazione M2M nelle concessioni di credenziali del client con ambiti 2.0 nei token di accesso. OAuth

Il requisito che gli utenti forniscano un'autenticazione aggiuntiva dopo aver fornito nome utente e password. I pool di utenti di Amazon Cognito dispongono di funzionalità MFA per gli utenti locali.

Un IdP verso un pool di utenti o un pool di identità che fornisce token di accesso e aggiornamento JWT. I pool di utenti di Amazon Cognito automatizzano le interazioni con i social provider dopo l'autenticazione degli utenti.

Un IdP a un pool di utenti o a un pool di identità che estende la OAuthspecifica per fornire token ID. I pool di utenti di Amazon Cognito automatizzano le interazioni con i provider OIDC dopo l'autenticazione degli utenti.

Una forma di autenticazione in cui le chiavi crittografiche, o passkey, sul dispositivo di un utente forniscono la prova dell'autenticazione. Gli utenti verificano la presenza di meccanismi biometrici o di codice PIN in un autenticatore hardware o software. Le passkey sono resistenti al phishing e sono collegate a siti web/app specifici, offrendo un'esperienza sicura senza password. I pool di utenti di Amazon Cognito supportano l'accesso con password.

Una forma di autenticazione in cui un utente non deve inserire una password. I metodi di accesso senza password includono password monouso (OTPs) inviate a indirizzi e-mail e numeri di telefono e password. I pool di utenti di Amazon Cognito supportano l'accesso e le OTPs password.

Un'applicazione autonoma su un dispositivo, con codice archiviato localmente e senza accesso ai segreti. Si tratta in genere di un'app per dispositivi mobili.

Un'API con controllo degli accessi. I pool di utenti di Amazon Cognito utilizzano anche il server di risorse per descrivere il componente che definisce la configurazione per l'interazione con un'API.

Un modello che concede l'accesso in base alla designazione funzionale di un utente. I pool di identità di Amazon Cognito implementano RBAC con differenziazione tra i ruoli IAM.

Un'applicazione che si affida a un IdP per affermare l'affidabilità degli utenti. Amazon Cognito funge da SP verso sistemi esterni IdPs e da IdP verso app. SPs

Un IdP verso un pool di utenti o un pool di identità che genera documenti di asserzione con firma digitale che l'utente trasmette ad Amazon Cognito.

Un'etichetta a 128 bit applicata a un oggetto. Amazon Cognito UUIDs è unico per pool di utenti o pool di identità, ma non è conforme a un formato UUID specifico.

Una raccolta di utenti e relativi attributi che fornisce tali informazioni ad altri sistemi. I pool di utenti di Amazon Cognito sono elenchi di utenti e anche strumenti per il consolidamento degli utenti provenienti da elenchi utenti esterni.

Una funzionalità di sicurezza avanzata che rileva potenziali attività dannose e applica una protezione aggiuntiva ai profili utente.

Un componente opzionale che aggiunge strumenti per la sicurezza degli utenti.

Un componente che definisce le impostazioni per un pool di utenti come IdP per un'app.

Un'impostazione in un client di app e un parametro nelle richieste al server di autorizzazione del pool di utenti. L'URL di callback è la destinazione iniziale per gli utenti autenticati nell'app.

Una forma di autenticazione API con pool di utenti in cui ogni utente ha a disposizione una serie di scelte per l'accesso. Le loro scelte potrebbero includere nome utente e password con o senza MFA, accesso tramite passkey o accesso senza password con password monouso tramite e-mail o SMS. L'applicazione può modellare il processo di scelta degli utenti richiedendo un elenco di opzioni di autenticazione o dichiarando un'opzione preferita.

Confronta con l'autenticazione basata su client.

Una forma di autenticazione con l'API dei pool di utenti e i backend delle applicazioni con AWS SDKs cui sono stati creati. Nell'autenticazione dichiarativa, l'applicazione determina in modo indipendente il tipo di accesso che un utente deve eseguire e richiede tale tipo in anticipo.

Confronta con l'autenticazione basata sulla scelta.

Una funzionalità di sicurezza avanzata che rileva le password degli utenti che gli aggressori potrebbero conoscere e applica una protezione aggiuntiva ai profili utente.

Processo che determina che sono stati soddisfatti i prerequisiti per consentire a un nuovo utente di accedere. La conferma viene in genere effettuata tramite la verifica dell'indirizzo e-mail o del numero di telefono.

Un'estensione dei processi di autenticazione con trigger Lambda che definiscono sfide e risposte aggiuntive per gli utenti.

Un processo di autenticazione che sostituisce la MFA con l'accesso che utilizza l'ID di un dispositivo affidabile.

Un dominio web che ospita le tue pagine di accesso gestite in AWS. Puoi configurare il DNS in un dominio di tua proprietà o utilizzare un prefisso identificativo di sottodominio in un dominio di tua proprietà. AWS

Il piano di funzionalità con gli ultimi sviluppi nei pool di utenti. Il piano Essentials non include le funzionalità di sicurezza di apprendimento automatico del piano Plus.

Un IdP che ha una relazione di fiducia con un pool di utenti. I pool di utenti fungono da entità intermedia tra i provider esterni e l'applicazione, gestendo i processi di autenticazione con SAML 2.0, OIDC e i provider social. I pool di utenti consolidano i risultati dell'autenticazione dei provider esterni in un unico IdP in modo che le applicazioni possano elaborare più utenti con un'unica libreria relying-party OIDC.

Il gruppo di funzionalità che è possibile selezionare per un pool di utenti. I piani di funzionalità prevedono costi diversi nella AWS fattura. Per impostazione predefinita, i nuovi pool di utenti utilizzano il piano Essentials.

Un utente in un pool di utenti che è stato autenticato da un provider esterno.

La versione iniziale dei servizi di autenticazione front-end, relying party e identity provider sul dominio del pool di utenti. L'interfaccia utente ospitata ha un set di funzionalità di base e un aspetto semplificato. Puoi applicare il branding dell'interfaccia utente ospitata caricando un file di immagine del logo e un file con un set predeterminato di stili CSS. Confronta con l'accesso gestito.

Una funzione in AWS Lambda cui un pool di utenti può richiamare automaticamente i punti chiave dei processi di autenticazione degli utenti. Puoi utilizzare i trigger Lambda per personalizzare i risultati dell'autenticazione.

Un profilo utente nella directory degli utenti del pool di utenti che non è stato creato mediante l'autenticazione con un provider esterno.

Un utente di un provider esterno la cui identità viene unita a quella di un utente locale.

Il piano di funzionalità con le funzionalità originariamente lanciate con i pool di utenti. Il piano Lite non include le nuove funzionalità del piano Essentials o le funzionalità di sicurezza ad apprendimento automatico del piano Plus.

Un componente dell'accesso gestito che ospita servizi di interazione IdPs e app sul dominio del pool di utenti. L'interfaccia utente ospitata si differenzia dall'accesso gestito per le funzionalità interattive con l'utente che offre, ma ha le stesse funzionalità del server di autorizzazione.

Un insieme di pagine Web sul dominio del pool di utenti che ospitano servizi per l'autenticazione degli utenti. Questi servizi includono funzioni per operare come IdP, relying party per terze parti IdPs e server di un'interfaccia utente di autenticazione interattiva per l'utente. Quando configuri un dominio per il tuo pool di utenti, Amazon Cognito mette online tutte le pagine di accesso gestite.

La tua applicazione importa librerie OIDC che richiamano i browser degli utenti e li indirizzano all'interfaccia utente di accesso gestita per la registrazione, l'accesso, la gestione delle password e altre operazioni di autenticazione. Dopo l'autenticazione, le librerie OIDC possono elaborare l'esito della richiesta di autenticazione.

Accedi con i servizi del dominio del tuo pool di utenti, tramite pagine del browser interattive per l'utente o richieste API HTTPS. Le applicazioni gestiscono l'autenticazione di accesso gestita con le librerie OpenID Connect (OIDC). Questo processo include l'accesso con provider esterni, l'accesso per utenti locali con pagine di accesso gestite interattive e l'autorizzazione M2M. Anche l'autenticazione con la classica interfaccia utente ospitata rientra in questo termine.

Rispetto all'autenticazione AWS SDK.

Il piano di funzionalità con gli ultimi sviluppi e le funzionalità di sicurezza avanzate nei pool di utenti.

Una serie di operazioni API di autenticazione e autorizzazione che puoi aggiungere al backend dell'applicazione con un AWS SDK. Questo modello di autenticazione richiede un meccanismo di accesso personalizzato. L'API può accedere agli utenti locali e agli utenti collegati.

Rispetto all'autenticazione di accesso gestita.

Nei pool di utenti, la protezione dalle minacce si riferisce a tecnologie progettate per mitigare le minacce ai meccanismi di autenticazione e autorizzazione. L'autenticazione adattiva, il rilevamento delle credenziali compromesse e gli elenchi di indirizzi IP bloccati rientrano nella categoria della protezione dalle minacce.

Il risultato di un trigger Lambda precedente alla generazione del token che modifica l'ID o il token di accesso di un utente in fase di esecuzione.

Una AWS risorsa con servizi di autenticazione e autorizzazione per applicazioni che funzionano con OIDC. IdPs

Processo di conferma che un utente possiede un indirizzo e-mail o un numero di telefono. Un pool di utenti invia un codice a un utente che ha inserito un nuovo indirizzo e-mail o numero di telefono. Quando inviano il codice ad Amazon Cognito, verificano la proprietà della destinazione del messaggio e possono ricevere messaggi aggiuntivi dal pool di utenti. Inoltre, vedi conferma.

Una voce per un utente nella rubrica degli utenti. Tutti gli utenti, compresi quelli di terze parti IdPs, hanno un profilo nel loro pool di utenti.

Un'implementazione del controllo degli accessi basato sugli attributi nei pool di identità. I pool di identità applicano gli attributi utente come tag alle credenziali utente.

Un processo di autenticazione in cui è possibile personalizzare la richiesta di credenziali utente.

Un processo di autenticazione che autorizza le credenziali utente del pool di identità con le credenziali dello sviluppatore.

Le chiavi API IAM di un amministratore di pool di identità.

Un flusso di autenticazione che seleziona un ruolo IAM e applica i tag principali in base alla logica definita nel pool di identità.

Un UUID che collega un utente dell'app e le relative credenziali utente al relativo profilo in una directory di utenti esterna che ha una relazione di fiducia con un pool di identità.

Una AWS risorsa con servizi di autenticazione e autorizzazione per applicazioni che utilizzano credenziali temporanee. AWS

Un utente che non ha effettuato l'accesso con un IdP del pool di identità. Puoi consentire agli utenti di generare credenziali utente limitate per un singolo ruolo IAM prima dell'autenticazione.

Chiavi AWS API temporanee che gli utenti ricevono dopo l'autenticazione del pool di identità.