Grupos de usuários do Amazon Cognito - Amazon Cognito
Atributos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Grupos de usuários do Amazon Cognito

Um grupo de usuários do Amazon Cognito é um diretório de usuários para autenticação e autorização de aplicativos móveis e aplicações web. Do ponto de vista da aplicação, um grupo de usuários do Amazon Cognito é um provedor de identidades (IdP) OpenID Connect (OIDC). Um grupo de usuários adiciona camadas de outros recursos para segurança, federação de identidades, integração de aplicações e personalização da experiência do usuário.

Você pode, por exemplo, verificar se as sessões dos usuários são de fontes confiáveis. É possível combinar o diretório do Amazon Cognito com um provedor de identidades externo. Com seu AWS SDK preferido, você pode escolher o modelo de autorização de API que funciona melhor para seu aplicativo. E pode adicionar funções do  AWS Lambda  que modificam ou inspecionam o comportamento padrão do Amazon Cognito.

Um diagrama com uma visão geral de alto nível de como os grupos de usuários funcionam. Os clientes podem entrar com aplicativos criados usando um AWS SDK ou com o IdP do OIDC incorporado aos grupos de usuários. Os grupos de usuários também unificam os processos de login para vários provedores de identidade social, OpenID Connect e SAML 2.0.
Tópicos

Atributos

Os grupos de usuários do Amazon Cognito têm os recursos a seguir.

Cadastrar-se

Os grupos de usuários do Amazon Cognito têm métodos orientados pelo usuário, orientados pelo administrador e programáticos para adicionar perfis de usuário ao grupo de usuários. Os grupos de usuários do Amazon Cognito são compatíveis com os modelos de inscrição a seguir. É possível usar qualquer combinação desses modelos em sua aplicação.

Importante

Se você ativar a inscrição de usuário no grupo de usuários, qualquer pessoa na internet poderá se inscrever em uma conta e entrar nas suas aplicações. Não habilite o autorregistro no grupo de usuários, a menos que queira abrir a aplicação para inscrição pública. Para alterar essa configuração, atualize a inscrição por autoatendimento no menu Inscrição em Autenticação no console do grupo de usuários ou atualize o valor de AllowAdminCreateUserOnlyem uma CreateUserPoolsolicitação de API. UpdateUserPool

Para obter informações sobre os atributos de segurança que você pode configurar nos grupos de usuários, consulte Usar atributos de segurança de grupos de usuários do Amazon Cognito.

  1. Os usuários podem inserir informações em sua aplicação e criar um perfil de usuário nativo para seu grupo de usuários. Você pode chamar as operações de inscrição da API para registrar usuários em seu grupo de usuários. Você pode abrir essas operações de inscrição para qualquer pessoa ou autorizá-las com um segredo ou AWS credenciais do cliente.

  2. Você pode redirecionar os usuários para um IdP de terceiros que eles possam autorizar a transmitir as informações deles ao Amazon Cognito. O Amazon Cognito processa tokens de ID do OIDC, userInfo dados OAuth 2.0 e declarações do SAML 2.0 em perfis de usuário em seu grupo de usuários. Você controla os atributos que deseja que o Amazon Cognito receba com base nas regras de mapeamento de atributos.

  3. É possível ignorar a inscrição pública ou federada e criar usuários com base em sua própria fonte de dados e esquema. Adicione usuários diretamente no console ou na API do Amazon Cognito. Importe usuários de um arquivo CSV. Execute uma just-in-time AWS Lambda função que pesquise seu novo usuário em um diretório existente e preencha seu perfil de usuário a partir dos dados existentes.

Depois que os usuários se inscreverem, você poderá adicioná-los aos grupos que o Amazon Cognito lista nos tokens de acesso e ID. Você também pode vincular grupos de usuários a perfis do IAM ao transmitir o token de ID para um banco de identidades.

Tópicos relacionados

Fazer login

O Amazon Cognito pode ser um diretório de usuários autônomo e um provedor de identidades (IdP) da aplicação. Seus usuários podem fazer login com páginas de login gerenciadas hospedadas pelo Amazon Cognito ou com um serviço de autenticação de usuário personalizado por meio da API de grupos de usuários do Amazon Cognito. O nível de aplicativo por trás de seu front-end personalizado pode autorizar solicitações no back-end com qualquer um dos vários métodos para confirmar solicitações legítimas.

Os usuários podem configurar e assinar com nomes de usuário e senhas, chaves de acesso e senhas de uso único de e-mail e SMS. Você pode oferecer login consolidado com diretórios de usuários externos, autenticação multifator (MFA) após o login, dispositivos confiáveis e fluxos de autenticação personalizados que você cria.

Para fazer login de usuários com um diretório externo, opcionalmente combinado com o diretório de usuários incorporado ao Amazon Cognito, você pode adicionar as integrações a seguir.

  1. Faça login e importe dados do usuário do cliente com o login social OAuth 2.0. O Amazon Cognito oferece suporte ao login com Google, Facebook, Amazon e Apple até a versão 2.0. OAuth

  2. Faça login e importe dados de usuários do trabalho e da escola com o login do SAML e do OIDC. Também é possível configurar o Amazon Cognito para aceitar declarações de qualquer provedor de identidades (IdP) SAML ou OpenID Connect (OIDC).

  3. Vincule perfis de usuários externos a perfis de usuário nativos. Um usuário vinculado pode fazer login com uma identidade de usuário de terceiros e receber o acesso que você atribui a um usuário no diretório interno.

Tópicos relacionados
Machine-to-machine autorização

Algumas sessões não são uma human-to-machine interação. Talvez você precise de uma conta de serviço que possa autorizar uma solicitação a uma API por meio de um processo automatizado. Para gerar tokens de acesso para machine-to-machine autorização com escopos OAuth 2.0, você pode adicionar um cliente de aplicativo que gere concessões de credenciais de cliente.

Tópicos relacionados

Login gerenciado

Quando não quiser criar uma interface de usuário, você pode apresentar aos usuários páginas de login gerenciadas personalizadas. O login gerenciado é um conjunto de páginas da web para inscrição, login, autenticação multifator (MFA) e redefinição de senha. Você pode adicionar login gerenciado ao seu domínio existente ou usar um identificador de prefixo em um AWS subdomínio.

Tópicos relacionados

Segurança

Seus usuários locais podem fornecer um fator de autenticação adicional com um código de uma mensagem SMS ou e-mail, ou um aplicativo que gera códigos de autenticação multifator (MFA). Você pode criar mecanismos para configurar e processar o MFA em seu aplicativo ou deixar que o login gerenciado o gerencie. Os grupos de usuários do Amazon Cognito podem ignorar a MFA quando os usuários fazem login em dispositivos confiáveis.

Se você não quiser exigir inicialmente a MFA dos usuários, poderá solicitá-la de maneira condicional. Com recursos avançados de segurança, o Amazon Cognito pode detectar possíveis atividades mal-intencionadas e exigir que seu usuário configure a MFA ou bloqueie o login.

Se o tráfego de rede para seu grupo de usuários puder ser malicioso, você poderá monitorá-lo e agir com a AWS WAF web ACLs.

Tópicos relacionados

Experiência personalizada do cliente

Na maioria dos estágios da inscrição, login ou atualização do perfil de um usuário, você pode personalizar como o Amazon Cognito lida com a solicitação. Com os acionadores do Lambda, você pode modificar um token de ID ou rejeitar uma solicitação de inscrição com base em condições personalizadas. É possível criar seu próprio fluxo de autenticação personalizado.

Você pode fazer upload de CSS e logotipos personalizados para dar ao login gerenciado uma aparência familiar aos seus usuários.

Tópicos relacionados

Monitoramento e análise

Os grupos de usuários do Amazon Cognito registram solicitações de API, incluindo solicitações de login gerenciado, em. AWS CloudTrail Você pode analisar métricas de desempenho no Amazon CloudWatch Logs, enviar registros personalizados CloudWatch com acionadores Lambda, monitorar a entrega de e-mails e mensagens SMS e monitorar o volume de solicitações de API no console de Service Quotas.

Com o plano de recursos Plus, você pode monitorar as tentativas de autenticação do usuário em busca de indicadores de comprometimento com a tecnologia de aprendizado automatizado e remediar imediatamente os riscos. Esses recursos avançados de segurança também registram a atividade do usuário no seu grupo de usuários e, opcionalmente, no Amazon S3 CloudWatch , Logs ou Amazon Data Firehose.

Também é possível registrar em log dados do dispositivo e da sessão das solicitações de API em uma campanha do Amazon Pinpoint. Com o Amazon Pinpoint, você pode enviar notificações push da aplicação com base em sua análise da atividade do usuário.

Tópicos relacionados

Integração de bancos de identidades do Amazon Cognito

A outra metade do Amazon Cognito são bancos de identidades. Os grupos de identidades fornecem credenciais que autorizam e monitoram solicitações de API para Serviços da AWS, por exemplo, Amazon DynamoDB ou Amazon S3, de seus usuários. É possível criar políticas de acesso baseadas em identidade que protejam os dados com base em como você classifica os usuários em seu grupo de usuários. Os bancos de identidades também podem aceitar tokens e declarações do SAML 2.0 de vários provedores de identidades, independentemente da autenticação do grupo de usuários.

Tópicos relacionados