Creazione di account utente come amministratore - Amazon Cognito
Flussi di autenticazione degli utenti creati dagli amministratori o dagli sviluppatoriCreazione di un nuovo utente nella AWS Management Console

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di account utente come amministratore

I pool di utenti non sono solo una directory di utenti per la gestione delle identità e degli accessi dei clienti (CIAM), in cui chiunque su Internet può registrarsi per creare un profilo utente nell'applicazione. Puoi disabilitare l'iscrizione in modalità self-service. Potresti già conoscere i tuoi clienti e voler ammettere solo quelli che sono stati autorizzati in anticipo. Potete creare barriere di autenticazione manuale alla vostra applicazione con un provider di OIDC identità o SAML 2.0 privato, importando gli utenti, selezionando gli utenti al momento dell'iscrizione o creando utenti con operazioni amministrative. API Il flusso di lavoro per la creazione amministrativa degli utenti può essere programmatico, ossia il provisioning degli utenti dopo la registrazione in un case-by-case altro sistema, oppure può essere basato su test nella console Amazon Cognito.

Quando crei utenti come amministratore, Amazon Cognito imposta una password temporanea per loro e invia un messaggio di benvenuto o di invito. Possono seguire il link nel messaggio di invito e accedere per la prima volta, impostare una password e confermare il proprio account. La pagina che segue descrive come creare nuovi utenti e configurare il messaggio di benvenuto. Per ulteriori informazioni sulla creazione di utenti con i pool di utenti API e un AWS SDK orCDK, vedere AdminCreateUser.

Dopo aver creato il pool di utenti, puoi creare utenti utilizzando Amazon Cognito AWS Command Line Interface o Amazon CognitoAPI. AWS Management Console Puoi creare un profilo per un nuovo utente in un pool di utenti e inviare un messaggio di benvenuto con le istruzioni per la registrazione all'utente tramite SMS o e-mail.

Gli sviluppatori e gli amministratori possono eseguire le seguenti attività:

  • Crea un nuovo profilo utente utilizzando AWS Management Console o chiamando il AdminCreateUserAPI.

  • Impostazione dei valori degli attributi utente.

  • Creazione di attributi personalizzati.

  • Imposta il valore degli attributi personalizzati immutabili nelle AdminCreateUser API richieste. Questa funzionalità non è disponibile nella console Amazon Cognito.

  • Specifica la password temporanea o consenti ad Amazon Cognito di generarne una automaticamente.

  • Specificare se i numeri di telefono e gli indirizzi e-mail forniti sono stati contrassegnati come verificati per i nuovi utenti.

  • Specificate messaggi di invito personalizzati SMS e via e-mail per i nuovi utenti tramite AWS Management Console o un trigger Custom Message Lambda. Per ulteriori informazioni, consulta Personalizzazione di flussi di lavoro di bacini d'utenza con trigger Lambda.

  • Specificate se i messaggi di invito vengono inviati tramite SMS e-mail o entrambi.

  • Invia nuovamente il messaggio di benvenuto a un utente esistente chiamando il AdminCreateUserAPI, specificando RESEND il MessageAction parametro.

    Nota

    Questa azione attualmente non può essere eseguita utilizzando la AWS Management Console.

  • Sopprimere l'invio del messaggio di invito al momento della creazione dell'utente.

  • Specificare il limite di tempo della scadenza dell'account utente (fino a 90 giorni).

  • Consentire agli utenti di registrarsi o richiedere che i nuovi utenti vengano aggiunti solo dall'amministratore.

Flussi di autenticazione degli utenti creati dagli amministratori o dagli sviluppatori

Il flusso di autenticazione di questi utenti prevede una fase ulteriore, vale a dire inviare la nuova password e fornire i valori mancanti degli attributi obbligatori. Dette fasi sono di seguito descritte; i punti 5, 6 e 7 sono specifici per questi utenti.

  1. L'utente inizia il primo accesso inviando il nome utente e la password.

  2. Le SDK chiamate. InitiateAuth(Username, USER_SRP_AUTH)

  3. Amazon Cognito restituisce la sfida PASSWORD_VERIFIER con il blocco Salt & Secret.

  4. SDKEsegue i SRP calcoli e le chiamateRespondToAuthChallenge(Username, <SRP variables>, PASSWORD_VERIFIER).

  5. Amazon Cognito restituisce la sfida NEW_PASSWORD_REQUIRED. Il corpo di questa sfida include gli attributi correnti dell'utente e tutti gli attributi richiesti nel pool di utenti che attualmente non hanno un valore nel profilo dell'utente. Per ulteriori informazioni, vedere RespondToAuthChallenge.

  6. All'utente viene richiesto di immettere una nuova password e i valori mancanti degli attributi obbligatori.

  7. Le SDK chiamateRespondToAuthChallenge(Username, <New password>, <User attributes>).

  8. Se l'utente richiede un secondo fattore perMFA, Amazon Cognito restituisce la MFA sfida SMS _ e il codice viene inviato.

  9. Dopo che l'utente ha modificato con successo la propria password e, facoltativamente, fornito o completato i valori attribuitiMFA, l'utente effettua l'accesso e vengono emessi i token.

Quando l'utente ha soddisfatto tutte le sfide, il servizio Amazon Cognito lo contrassegna come confermato ed emette i token di ID, accesso e aggiornamento per l'utente. Per ulteriori informazioni, consulta Comprensione dei token JSON web del pool di utenti () JWTs.

Creazione di un nuovo utente nella AWS Management Console

Puoi impostare i requisiti della password utente, configurare i messaggi di invito e verifica inviati agli utenti e aggiungere nuovi utenti con la console Amazon Cognito.

Impostare una policy per le password e abilitare l'auto-registrazione

Puoi configurare le impostazioni per ridurre al minimo la complessità delle password e stabilire se gli utenti possono registrarsi utilizzando public APIs nel tuo pool di utenti.

Configurare una policy per le password

  1. Passa alla console Amazon Cognito e scegli bacini d'utenza.

  2. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  3. Scegli la scheda Sign-in experience (esperienza di accesso) e trova le Password policy (policy per le password). Scegli Modifica.

  4. Impostare la Password policy mode (modalità di policy per le password) su Custom (personalizzata).

  5. Scegli una lunghezza minima della password. Per i limiti al requisito di lunghezza della password, consulta User pools resource quotas (Quote di risorse del pool di utenti).

  6. Scegli un requisito di Password complexity (complessità delle password).

  7. Scegli la durata della validità della password impostata dagli amministratori.

  8. Scegli Save changes (salva modifiche).

Consenti l'iscrizione self-service

  1. Passa alla console Amazon Cognito e scegli bacini d'utenza.

  2. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  3. Scegli la scheda Sign-up experience (esperienza di registrazione) e trova Self-service sign-up (registrazione self-service). Seleziona Edit (Modifica).

  4. Decidi se scegliere l'opzione Abilita l'auto-registrazione. L'autoregistrazione viene in genere utilizzata con i client di app pubbliche che devono registrare nuovi utenti nel pool di utenti senza distribuire credenziali segrete o AWS Identity and Access Management (IAM) API del client.

    Disattivare dell'auto-registrazione

    Se non abiliti l'autoregistrazione, i nuovi utenti devono essere creati mediante API azioni amministrative utilizzando IAM API credenziali o accedendo con provider federati.

  5. Scegli Save changes (Salva modifiche).

Personalizza e-mail e messaggi SMS

Personalizzare i messaggi utente

Puoi personalizzare i messaggi che Amazon Cognito invia ai tuoi utenti quando li inviti ad accedere, creano un account utente oppure accedono e viene richiesta l'autenticazione a più fattori (). MFA

Nota

Viene inviato un Invitation message (messaggio di invito) quando crei un utente nel bacino d'utenza e lo inviti a effettuare l'accesso. Amazon Cognito invia le informazioni di accesso iniziali all'indirizzo e-mail o al numero di telefono dell'utente.

Quando un utente effettua la registrazione per un account utente nel bacino d'utenza, viene inviato un messaggio di verifica. Amazon Cognito invia un codice all'utente. Quando l'utente fornisce il codice ad Amazon Cognito, verifica le informazioni di contatto e conferma il proprio account per l'accesso. I codici di verifica sono validi 24 ore.

Un MFAmessaggio viene inviato quando SMS MFA abiliti il tuo pool di utenti e un utente che ha configurato SMS MFA l'accesso e gli viene richiesto di farlo. MFA

  1. Passa alla console Amazon Cognito e scegli bacini d'utenza.

  2. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  3. Scegli la scheda Messaging (messaggistica) e ricerca Message templates (modelli di messaggi). Seleziona Messaggi di verifica, Messaggi di invito o MFAMessaggi e scegli Modifica.

  4. Personalizza i messaggi per il tipo di messaggio scelto.

    Nota

    Tutte le variabili nei modelli di messaggio devono essere incluse quando si personalizza il messaggio. Se la variabile, ad esempio {####}, non è inclusa, l'utente avrà informazioni insufficienti per completare l'azione del messaggio.

    Per ulteriori informazioni, vedi Message templates (modelli di messaggi).

    1. Verification messages (Messaggi di verifica)

      1. Scegli un Verification type (tipo di verifica) per le e-mail. Un Code (codice) di verifica invia un codice numerico che l'utente dovrà inserire. Un Link di verifica invia un link su cui l'utente può fare clic per verificare le informazioni di contatto. Il testo nella variabile per un messaggio Link viene visualizzato come testo del collegamento ipertestuale. Ad esempio, viene visualizzato un modello di messaggio che utilizza la variabile {##Click here##} Click here (clicca qui) nel testo dell'e-mail.

      2. Specificare un Email subject (oggetto dell'e-mail) per i messaggi via e-mail.

      3. Inserisci un modello di e-mail personalizzato per i messaggi via e-mail. Puoi personalizzare questo modello conHTML.

      4. Inserisci un modello di SMSmessaggio personalizzato per SMSi messaggi.

      5. Scegli Save changes (salva modifiche).

    2. Invitation messages (Messaggi di invito)

      1. Specificare un Email subject (oggetto dell'e-mail) per i messaggi via e-mail.

      2. Inserisci un modello di e-mail personalizzato per i messaggi via e-mail. Puoi personalizzare questo modello conHTML.

      3. Inserisci un modello di SMSmessaggio personalizzato per SMSi messaggi.

      4. Scegli Save changes (Salva modifiche).

    3. MFAmessaggi

      1. Inserisci un modello di SMSmessaggio personalizzato per SMSi messaggi.

      2. Scegli Save changes (salva modifiche).

Creazione di un utente

Creazione di un utente

Puoi creare nuovi utenti per il tuo bacino d'utenza dalla console Amazon Cognito. In genere, gli utenti possono accedere dopo aver impostato una password. Per effettuare l'accesso con un indirizzo e-mail l'utente deve verificare l'attributo email. Per accedere con un numero di telefono, l'utente deve verificare l'attributo phone_number. Per confermare gli account come amministratore, puoi anche utilizzare AWS CLI o o API creare profili utente con un provider di identità federato. Per ulteriori informazioni, consulta Amazon Cognito API Reference.

  1. Passa alla console Amazon Cognito e scegli bacini d'utenza.

  2. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  3. Scegli la scheda Users (Utenti), quindi seleziona Create a user (Crea un utente).

  4. Esamina i User pool sign-in and security requirements (Requisiti di accesso e sicurezza del bacino d'utenza) per informazioni sui requisiti delle password, sui metodi di recupero dell'account disponibili e sugli attributi alias per il bacino d'utenza.

  5. Scegli come desideri inviare l'Invitation message (Messaggio d'invito). Scegli SMS messaggio, messaggio e-mail o entrambi.

    Nota

    Prima di inviare i messaggi di invio, configura un mittente e una Regione AWS con Amazon Simple Notification Service e Amazon Simple Email Service nella scheda Messaging (Messaggistica) del bacino d'utenza. Messaggi e velocità dati del destinatario. Amazon ti SES fattura i messaggi e-mail separatamente e Amazon ti SNS fattura i SMS messaggi separatamente.

  6. Scegli uno Username (nome utente) per il nuovo utente.

  7. Scegli se selezionare Create a password (Crea una password) o se vuoi che Amazon Cognito esegua l'operazione Generate a password (Genera una password) per l'utente. Qualsiasi password temporanea deve rispettare i criteri delle password del bacino d'utenza.

  8. Scegli Create (Crea) .

  9. Seleziona la scheda Users (Utenti) e scegli il valore User name (Nome utente) per l'utente. Aggiungi e modifica User attributes (Attributi utente) e Group memberships (Appartenenze a gruppi). Esamina User event history (Cronologia eventi dell'utente).