Creazione di account utente come amministratore - Amazon Cognito
Flussi di autenticazione degli utenti e creazione di utentiCreare utenti senza passwordCreazione di utenti che forniranno i valori degli attributi obbligatori in un secondo momentoCreazione di un nuovo utente nella AWS Management Console

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di account utente come amministratore

I pool di utenti non sono solo un elenco di utenti per la gestione delle identità e degli accessi dei clienti (CIAM), in cui chiunque su Internet può registrarsi per creare un profilo utente nell'applicazione. Puoi disabilitare l'iscrizione in modalità self-service. Potresti già conoscere i tuoi clienti e voler ammettere solo quelli che sono stati autorizzati in anticipo. Puoi creare barriere di autenticazione manuale intorno alla tua applicazione con un provider di identità SAML 2.0 o OIDC privato, importando gli utenti, selezionando gli utenti al momento dell'iscrizione o creando utenti con operazioni amministrative sull'API. Il flusso di lavoro per la creazione amministrativa degli utenti può essere programmatico, ossia il provisioning degli utenti dopo la registrazione in un case-by-case altro sistema, oppure può essere basato su test nella console Amazon Cognito.

Quando crei utenti come amministratore, Amazon Cognito imposta una password temporanea per loro e invia un messaggio di benvenuto o di invito. Possono seguire il link nel messaggio di invito e accedere per la prima volta, impostare una password e confermare il proprio account. La pagina che segue descrive come creare nuovi utenti e configurare il messaggio di benvenuto. Per ulteriori informazioni sulla creazione di utenti con l'API dei pool di utenti e un AWS SDK o CDK, consulta. AdminCreateUser

Dopo aver creato il pool di utenti, puoi creare utenti utilizzando l'API AWS Management Console Amazon Cognito AWS Command Line Interface o l'API Amazon Cognito. Puoi creare il profilo di un nuovo utente in un bacino d'utenza e inviargli un messaggio di benvenuto con le istruzioni di registrazione tramite SMS o e-mail.

Di seguito sono riportati alcuni esempi di come gli amministratori possono gestire gli utenti nei pool di utenti.

  • Crea un nuovo profilo utente nella console Amazon Cognito o con il funzionamento dell'AdminCreateUserAPI.

  • username-and-passwordRendi disponibili i flussi di autenticazione personalizzati, senza password e con chiave di accesso per il tuo pool di utenti e il client dell'app.

  • Impostazione dei valori degli attributi utente.

  • Creazione di attributi personalizzati.

  • Imposta il valore degli attributi personalizzati immutabili nelle richieste API. AdminCreateUser Questa funzionalità non è disponibile nella console Amazon Cognito.

  • Specificate una password temporanea, create un utente senza password o consentite ad Amazon Cognito di generare automaticamente una password.

  • Crea nuovi utenti e conferma automaticamente i loro account, verifica i loro indirizzi e-mail o verifica i loro numeri di telefono.

  • Specificate SMS e messaggi di invito e-mail personalizzati per i nuovi utenti tramite i trigger AWS Management Console o Lambda come messaggio personalizzato, mittente SMS personalizzato e mittente e-mail personalizzato.

  • Specificare se i messaggi di invito vengono inviati tramite SMS, e-mail, o entrambi.

  • Inviare nuovamente il messaggio di benvenuto a un utente esistente chiamando l'API AdminCreateUser, specificando RESEND per il parametro MessageAction.

  • Sopprimi l'invio del messaggio di invito quando l'utente viene creato.

  • Specificate un limite di scadenza fino a 90 giorni per i nuovi account utente.

  • Consentire agli utenti di registrarsi o richiedere che i nuovi utenti vengano aggiunti solo dall'amministratore.

Gli amministratori possono inoltre accedere agli utenti con AWS credenziali in un'applicazione lato server. Per ulteriori informazioni, consulta Modelli di autorizzazione per l'autenticazione tramite API e SDK.

Flussi di autenticazione degli utenti e creazione di utenti

La creazione amministrativa degli utenti presenta opzioni che differiscono in base alla configurazione del pool di utenti. I flussi di autenticazione, o metodi disponibili per gli utenti per l'accesso e l'MFA, possono modificare il modo in cui crei gli utenti e i messaggi che invii loro. Di seguito sono riportati alcuni flussi di autenticazione disponibili nei pool di utenti.

  • Nome utente e password

  • Chiavi di accesso

  • Accedi con terze parti IdPs

  • Senza password con password monouso per e-mail e SMS () OTPs

  • Autenticazione a più fattori con e-mail, SMS e app di autenticazione OTPs

  • Autenticazione personalizzata con trigger Lambda

Per ulteriori informazioni su come configurare questi fattori di accesso, consulta. Autenticazione con pool di utenti Amazon Cognito

Creare utenti senza password

Se hai abilitato l'accesso senza password per il tuo pool di utenti, puoi creare utenti senza password. Per creare un utente senza password, è necessario fornire i valori degli attributi per un fattore di accesso senza password disponibile. Ad esempio, se nel pool di utenti è disponibile l'accesso OTP senza password tramite posta elettronica, è possibile creare un utente senza password e senza un attributo di indirizzo e-mail. Se gli unici flussi di autenticazione disponibili per i nuovi utenti richiedono una password, ad esempio passkey o username-password, è necessario creare o generare una password temporanea per ogni nuovo utente.

Per creare un nuovo utente senza password

  • Scegli Non impostare una password nella console Amazon Cognito

  • Ometti o lascia vuoto il TemporaryPassword parametro della tua richiesta API AdminCreateUser

Gli utenti senza password vengono confermati automaticamente

Normalmente i nuovi utenti ricevono una password temporanea e entrano in uno FORCE_CHANGE_PASSWORD stato al momento della creazione. Quando si creano utenti senza password, questi entrano immediatamente in uno CONFIRMED stato. Non puoi inviare nuovamente i codici di conferma a questi utenti nello CONFIRMED stato.

I messaggi di invito cambiano per gli utenti senza password.

Per impostazione predefinita, Amazon Cognito invia un messaggio di invito ai nuovi utenti con il seguente messaggio: Your username is {userName} and your password is {####}. Quando crei utenti senza password, il messaggio riporta Your username is {userName}. Personalizza il tuo messaggio di invito per indicare se intendi impostare le password per gli utenti. Ometti la variabile {####} password nei modelli di autenticazione senza password.

Non è possibile generare automaticamente le password quando sono disponibili fattori privi di password

Se hai configurato il tuo pool di utenti per supportare l'accesso senza password OTP tramite e-mail o telefono, non puoi generare automaticamente una password. Per ogni utente che disporrà di una password, è necessario impostare una password temporanea al momento della creazione del profilo.

Gli utenti senza password devono avere valori per tutti gli attributi obbligatori

Quando crei un utente senza password, la tua richiesta ha esito positivo solo se l'utente fornisce valori per tutti gli attributi che hai contrassegnato come obbligatori nel tuo pool di utenti. Ciò si applica a qualsiasi attributo obbligatorio, non solo al numero di telefono e agli attributi e-mail richiesti per la consegna OTP.

Creazione di utenti che forniranno i valori degli attributi obbligatori in un secondo momento

Potresti voler richiedere gli attributi nel tuo pool di utenti, ma raccoglierli dopo aver creato gli utenti a livello amministrativo, durante l'interazione dell'utente nell'applicazione. Gli amministratori possono omettere i valori per gli attributi obbligatori quando creano utenti con password temporanee. Non è possibile omettere i valori degli attributi obbligatori per gli utenti senza password.

Gli utenti con valori mancanti per gli attributi obbligatori e una password temporanea ricevono una sfida NEW_PASSWORD_REQUIRED al primo accesso. Possono quindi fornire un valore per gli attributi obbligatori mancanti nel parametro. requiredAttributes È possibile creare utenti con password e senza attributi obbligatori solo se tutti gli attributi obbligatori sono modificabili. Gli utenti possono completare l'accesso con NEW_PASSWORD_REQUIRED sfide e valori degli attributi obbligatori solo se gli attributi richiesti sono scrivibili dal client dell'app con cui accedono.

Quando imposti una password permanente per un utente creato dall'amministratore, il suo stato cambia CONFIRMED e il pool di utenti non richiede loro una nuova password o gli attributi obbligatori al primo accesso.

Creazione di un nuovo utente nella AWS Management Console

Puoi impostare i requisiti della password utente, configurare i messaggi di invito e verifica inviati agli utenti e aggiungere nuovi utenti con la console Amazon Cognito.

Impostare una policy per le password e abilitare l'auto-registrazione

Puoi configurare le impostazioni per ridurre al minimo la complessità delle password e stabilire se gli utenti possono registrarsi utilizzando public APIs nel tuo pool di utenti.

Configurare una policy per le password

  1. Passa alla console Amazon Cognito e scegli bacini d'utenza.

  2. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  3. Scegli il menu Metodi di autenticazione e individua la politica delle password. Scegli Modifica.

  4. Impostare la Password policy mode (modalità di policy per le password) su Custom (personalizzata).

  5. Scegli una lunghezza minima della password. Per i limiti al requisito di lunghezza della password, consulta User pools resource quotas (Quote di risorse del pool di utenti).

  6. Scegli un requisito di Password complexity (complessità delle password).

  7. Scegli la durata della validità della password impostata dagli amministratori.

  8. Scegli Save changes (salva modifiche).

Consenti l'iscrizione self-service

  1. Passa alla console Amazon Cognito e scegli bacini d'utenza.

  2. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  3. Scegli il menu di registrazione e individua l'iscrizione in modalità self-service. Seleziona Edit (Modifica).

  4. Decidi se scegliere l'opzione Abilita l'auto-registrazione. L'autoregistrazione viene in genere utilizzata con client di app pubbliche che devono registrare nuovi utenti nel pool di utenti senza distribuire un client secret o credenziali API AWS Identity and Access Management (IAM).

    Disattivare dell'auto-registrazione

    Se non abiliti l'auto-registrazione, i nuovi utenti devono essere creati mediante operazioni API amministrative utilizzando le credenziali API IAM o tramite accesso con i provider federati.

  5. Scegli Save changes (salva modifiche).

Personalizzare e-mail ed SMS

Personalizzare i messaggi utente

Puoi personalizzare i messaggi inviati da Amazon Cognito ai tuoi utenti che ricevono un invito ad accedere, si registrano per un account utente o a cui viene richiesta l'autenticazione a più fattori (MFA) all'accesso.

Nota

Viene inviato un Invitation message (messaggio di invito) quando crei un utente nel bacino d'utenza e lo inviti a effettuare l'accesso. Amazon Cognito invia le informazioni di accesso iniziali all'indirizzo e-mail o al numero di telefono dell'utente.

Quando un utente effettua la registrazione per un account utente nel bacino d'utenza, viene inviato un messaggio di verifica. Amazon Cognito invia un codice all'utente. Quando l'utente fornisce il codice ad Amazon Cognito, verifica le informazioni di contatto e conferma il proprio account per l'accesso. I codici di verifica sono validi 24 ore.

Quando si abilita la MFA via SMS nel bacino d'utenza e un utente che ha configurato la MFA via SMS accede e gli viene richiesto di effettuare la MFA, viene inviato un Messaggio MFA.

  1. Passa alla console Amazon Cognito e scegli bacini d'utenza.

  2. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  3. Scegli il menu Modelli di messaggio e seleziona Messaggio di verifica, Messaggio di invito o Messaggio MFA e scegli Modifica.

  4. Personalizza i messaggi per il tipo di messaggio scelto.

    Nota

    Tutte le variabili nei modelli di messaggio devono essere incluse quando si personalizza il messaggio. Se la variabile, ad esempio {####}, non è inclusa, l'utente avrà informazioni insufficienti per completare l'azione del messaggio.

    Per ulteriori informazioni, vedi Message templates (modelli di messaggi).

    1. Verification messages (Messaggi di verifica)

      1. Scegli un Verification type (tipo di verifica) per le e-mail. Un Code (codice) di verifica invia un codice numerico che l'utente dovrà inserire. Un Link di verifica invia un link su cui l'utente può fare clic per verificare le informazioni di contatto. Il testo nella variabile per un messaggio Link viene visualizzato come testo del collegamento ipertestuale. Ad esempio, viene visualizzato un modello di messaggio che utilizza la variabile {##Click here##} Click here (clicca qui) nel testo dell'e-mail.

      2. Specificare un Email subject (oggetto dell'e-mail) per i messaggi via e-mail.

      3. Inserisci un modello di e-mail personalizzato per i messaggi via e-mail. È possibile personalizzare questo modello in formato HTML.

      4. Inserisci un modello personalizzato di SMS per i messaggi SMS.

      5. Scegli Save changes (salva modifiche).

    2. Invitation messages (Messaggi di invito)

      1. Specificare un Email subject (oggetto dell'e-mail) per i messaggi via e-mail.

      2. Inserisci un modello di e-mail personalizzato per i messaggi via e-mail. È possibile personalizzare questo modello in formato HTML.

      3. Inserisci un modello personalizzato di SMS per i messaggi SMS.

      4. Scegli Save changes (salva modifiche).

    3. MFA messages (Messaggi MFA)

      1. Inserisci un modello personalizzato di SMS per i messaggi SMS.

      2. Scegli Save changes (salva modifiche).

Creazione di un utente

Creazione di un utente

Puoi creare nuovi utenti per il tuo bacino d'utenza dalla console Amazon Cognito. In genere, gli utenti possono accedere dopo aver impostato una password. Per effettuare l'accesso con un indirizzo e-mail l'utente deve verificare l'attributo email. Per accedere con un numero di telefono, l'utente deve verificare l'attributo phone_number. Per confermare gli account come amministratore, puoi anche utilizzare l'API AWS CLI o o creare profili utente con un provider di identità federato. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API di Amazon Cognito.

  1. Passa alla console Amazon Cognito e scegli bacini d'utenza.

  2. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  3. Scegli il menu Utenti e scegli Crea un utente.

  4. Esamina i User pool sign-in and security requirements (Requisiti di accesso e sicurezza del bacino d'utenza) per informazioni sui requisiti delle password, sui metodi di recupero dell'account disponibili e sugli attributi alias per il bacino d'utenza.

  5. Scegli come desideri inviare l'Invitation message (Messaggio d'invito). Puoi scegliere messaggio SMS, messaggio e-mail o entrambi. Per eliminare il messaggio di invito, scegli Non inviare un invito.

    Nota

    Prima di poter inviare messaggi di invito, configura un mittente e un messaggio Regione AWS con Amazon Simple Notification Service e Amazon Simple Email Service nel menu Metodi di autenticazione del tuo pool di utenti. Messaggi e velocità dati del destinatario. Amazon SES fattura separatamente i messaggi e-mail e Amazon SNS fattura separatamente i messaggi SMS.

  6. Scegli uno Username (nome utente) per il nuovo utente.

  7. Scegli se selezionare Create a password (Crea una password) o se vuoi che Amazon Cognito esegua l'operazione Generate a password (Genera una password) per l'utente. L'opzione per generare una password non è disponibile se nel pool di utenti è disponibile l'accesso senza password. Qualsiasi password temporanea deve rispettare i criteri delle password del bacino d'utenza.

  8. Scegli Create (Crea) .

  9. Scegli il menu Utenti e scegli la voce Nome utente per l'utente. Aggiungi e modifica User attributes (Attributi utente) e Group memberships (Appartenenze a gruppi). Esamina User event history (Cronologia eventi dell'utente).