Como criar contas de usuário como administrador - Amazon Cognito
Fluxos de autenticação de usuários e criação de usuáriosCrie usuários sem senhasCriação de usuários que fornecerão valores de atributos obrigatórios posteriormenteComo criar um novo usuário no AWS Management Console

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como criar contas de usuário como administrador

Os grupos de usuários não são apenas um diretório de usuários do gerenciamento de identidade e acesso do cliente (CIAM), em que qualquer pessoa na Internet pode cadastrar um perfil de usuário na aplicação. Você pode desativar o cadastro por autoatendimento. Talvez você já conheça seus clientes e queira admitir apenas aqueles que foram autorizados com antecedência. Você pode colocar barreiras de proteção na autenticação manual da aplicação com um provedor de identidades SAML 2.0 ou OIDC privado, importando usuários, examinando usuários no momento do cadastro ou criando usuários com operações administrativas de API. Seu fluxo de trabalho para criação administrativa de usuários pode ser programático, provisionando usuários após o registro em outro sistema, ou pode ser baseado em testes case-by-case ou no console do Amazon Cognito.

Quando você cria usuários como administrador, o Amazon Cognito define uma senha temporária para eles e envia uma mensagem de boas-vindas ou convite. Eles podem seguir o link na mensagem de convite e fazer login pela primeira vez, definindo uma senha e confirmando a conta. A página a seguir descreve como criar usuários e configurar a mensagem de boas-vindas. Para obter mais informações sobre a criação de usuários com a API de grupos de usuários e um AWS SDK ou CDK, consulte. AdminCreateUser

Depois de criar seu grupo de usuários, você pode criar usuários usando a AWS Management Console, bem como a API do AWS Command Line Interface Amazon Cognito. Você pode criar um perfil para um novo usuário em um grupo de usuários e enviar uma mensagem de boas-vindas com instruções de cadastro por SMS ou e-mail.

Veja a seguir alguns exemplos de como os administradores podem gerenciar usuários em grupos de usuários.

Os administradores também podem fazer login de usuários com AWS credenciais em um aplicativo do lado do servidor. Para obter mais informações, consulte Modelos de autorização para autenticação de API e SDK.

Fluxos de autenticação de usuários e criação de usuários

A criação administrativa de usuários tem opções que diferem com base na configuração do seu grupo de usuários. Os fluxos de autenticação, ou métodos disponíveis aos usuários para login e MFA, podem alterar a forma como você cria usuários e as mensagens que você envia a eles. Veja a seguir alguns fluxos de autenticação que estão disponíveis em grupos de usuários.

  • Nome de usuário e senha

  • Chaves de acesso

  • Faça login com terceiros IdPs

  • Sem senha com senhas de uso único por e-mail e SMS () OTPs

  • Autenticação multifatorial com e-mail, SMS e aplicativo autenticador OTPs

  • Autenticação personalizada com gatilhos Lambda

Para obter mais informações sobre como configurar esses fatores de login, consulte. Autenticação com grupos de usuários do Amazon Cognito

Crie usuários sem senhas

Se você tiver ativado o login sem senha para seu grupo de usuários, poderá criar usuários sem senhas. Para criar um usuário sem uma senha, você deve fornecer valores de atributos para um fator de login sem senha disponível. Por exemplo, se o login OTP sem senha por e-mail estiver disponível em seu grupo de usuários, você poderá criar um usuário sem senha e com um atributo de endereço de e-mail. Se os únicos fluxos de autenticação disponíveis para novos usuários exigirem uma senha, por exemplo, chave de acesso ou senha de nome de usuário, você deverá criar ou gerar uma senha temporária para cada novo usuário.

Para criar um novo usuário sem uma senha

  • Escolha Não definir uma senha no console do Amazon Cognito

  • Omita ou deixe em branco o TemporaryPassword parâmetro da sua solicitação de AdminCreateUser API

Usuários sem senhas são confirmados automaticamente

Normalmente, novos usuários recebem uma senha temporária e entram em um FORCE_CHANGE_PASSWORD status quando você os cria. Quando você cria usuários sem senhas, eles imediatamente entram em um CONFIRMED estado. Você não pode reenviar códigos de confirmação para esses usuários no CONFIRMED estado.

As mensagens de convite mudam para usuários sem senhas.

Por padrão, o Amazon Cognito envia uma mensagem de convite para novos usuários que diz: Your username is {userName} and your password is {####}. Quando você cria usuários sem senha, a mensagem diz Your username is {userName}. Personalize sua mensagem de convite para refletir se você definirá senhas para os usuários. Omita a variável de {####} senha nos modelos de autenticação sem senha.

Você não pode gerar senhas automaticamente quando fatores sem senha estão disponíveis

Se você configurou seu grupo de usuários para oferecer suporte ao login sem senha OTP por e-mail ou telefone, não poderá gerar uma senha automaticamente. Para cada usuário que terá uma senha, você deverá definir uma senha temporária ao criar o perfil.

Os usuários sem senha devem ter valores para todos os atributos necessários

Quando você cria um usuário sem uma senha, sua solicitação só é bem-sucedida se o usuário fornecer valores para todos os atributos que você marcou como obrigatórios em seu grupo de usuários. Isso se aplica a qualquer atributo obrigatório, não apenas aos atributos de número de telefone e e-mail necessários para a entrega OTP.

Criação de usuários que fornecerão valores de atributos obrigatórios posteriormente

Talvez você queira exigir atributos em seu grupo de usuários, mas coletar esses atributos depois de criar usuários administrativamente, durante a interação do usuário em seu aplicativo. Os administradores podem omitir valores para os atributos necessários ao criar usuários com senhas temporárias. Você não pode omitir valores de atributos obrigatórios para usuários sem senha.

Usuários com valores ausentes para os atributos obrigatórios e uma senha temporária recebem um desafio NEW_PASSWORD_REQUIRED no primeiro login. Em seguida, eles podem fornecer um valor para os atributos obrigatórios ausentes no requiredAttributes parâmetro. Você pode criar usuários com senhas e sem atributos obrigatórios somente se todos os atributos obrigatórios forem mutáveis. Os usuários só podem concluir o login com NEW_PASSWORD_REQUIRED desafios e valores de atributos obrigatórios se os atributos necessários puderem ser gravados a partir do cliente do aplicativo com o qual eles fazem login.

Quando você define uma senha permanente para um usuário criado pelo administrador, o status muda para CONFIRMED e seu grupo de usuários não solicita uma nova senha ou atributos obrigatórios no primeiro login.

Como criar um novo usuário no AWS Management Console

É possível definir requisitos de senha de usuário, configurar as mensagens de convite e verificação enviadas aos usuários e adicionar novos usuários com o console do Amazon Cognito.

Definir uma política de senha e habilitar a autoinscrição

Você pode definir as configurações para a complexidade mínima da senha e se os usuários podem se inscrever usando public APIs em seu grupo de usuários.

Configurar uma política de senhas

  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Escolha o menu Métodos de autenticação e localize Política de senha. Selecione Editar.

  4. Selecione o Password policy mode (Modo de política de senha) Custom (Personalizado).

  5. Selecione um Password minimum length (Comprimento mínimo da senha). Para os limites do requisito de tamanho da senha, consulte Cotas de recursos de grupos de usuários.

  6. Selecione um requisito de Password complexity (Complexidade de senha).

  7. Escolha por quanto tempo a senha definida pelos administradores deve ser válida.

  8. Escolha Salvar alterações.

Permitir cadastro por autoatendimento

  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Escolha o menu Inscrição e localize a inscrição por autoatendimento. Selecione Edit (Editar).

  4. Escolha se deseja Enable self-registration (Habilitar a autoinscrição). O autorregistro geralmente é usado com clientes de aplicativos públicos que precisam registrar novos usuários em seu grupo de usuários sem distribuir um segredo de cliente ou credenciais de API AWS Identity and Access Management (IAM).

    Como desabilitar a autoinscrição

    Se você não habilitar a autoinscrição, os novos usuários deverão ser criados por ações administrativas da API usando credenciais da API do IAM ou mediante login com provedores federados.

  5. Escolha Salvar alterações.

Personalizar mensagens de e-mail e de SMS

Personalizar mensagens de usuário

É possível personalizar as mensagens que o Amazon Cognito envia aos seus usuários quando você os convida para o acesso, eles se cadastram em uma conta de usuário ou acessam e são solicitados a fazer a autenticação multifator (MFA).

nota

Uma Invitation message (Mensagem de convite) é enviada quando você cria um usuário em seu grupo de usuários e o convida a acessar. O Amazon Cognito envia informações iniciais de acesso para o endereço de e-mail ou o número de telefone do usuário.

Uma Verification message (Mensagem de verificação) é enviada quando um usuário se cadastra em uma conta no grupo de usuários. O Amazon Cognito envia um código para o usuário. Quando o usuário fornece o código ao Amazon Cognito, ele verifica suas informações de contato e confirma sua conta para acesso. Códigos de verificação são válidos por 24 horas.

Uma MFA message (Mensagem de MFA) é enviada quando você habilita o SMS de MFA em seu grupo de usuários e um usuário que tenha configurado o SMS de MFA faz o acesso e a MFA é solicitada.

  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Escolha o menu Modelos de mensagem e selecione Mensagem de verificação, Mensagem de convite ou Mensagem de MFA e escolha Editar.

  4. Personalize as mensagens para o tipo de mensagem escolhido.

    nota

    Todas as variáveis nos modelos de mensagens devem ser incluídas quando você personaliza a mensagem. Se a variável, por exemplo {####}, não for incluída, seu usuário não terá informações suficientes para concluir a ação da mensagem.

    Para mais informações, consulte Modelos de mensagens.

    1. Mensagens de verificação

      1. Selecione um Verification type (Tipo de verificação) para mensagens de Email (E-mail). Um verificação por Code (Código) envia um código numérico que o usuário deve inserir. Uma verificação por Link (Link) envia um link no qual o usuário pode clicar para verificar suas informações de contato. O texto na variável para uma mensagem de Link é exibido como texto com hiperlink. Por exemplo, um modelo de mensagem usando a variável {##Clique aqui##} é exibido como Clique aqui na mensagem de e-mail.

      2. Insira um Email subject (Assunto do e-mail) para mensagens de Email (E-mail).

      3. Insira um modelo personalizado de Email message (Mensagem de e-mail) para mensagens de Email (E-mail). Você pode personalizar esse modelo usando código em HTML.

      4. Insira um modelo personalizado de SMS message (Mensagem SMS) para mensagens de SMS (SMS).

      5. Escolha Salvar alterações.

    2. Mensagens de convite

      1. Insira um Email subject (Assunto do e-mail) para mensagens de Email (E-mail).

      2. Insira um modelo personalizado de Email message (Mensagem de e-mail) para mensagens de Email (E-mail). Você pode personalizar esse modelo usando código em HTML.

      3. Insira um modelo personalizado de SMS message (Mensagem SMS) para mensagens de SMS (SMS).

      4. Escolha Salvar alterações.

    3. Mensagens de MFA

      1. Insira um modelo personalizado de SMS message (Mensagem SMS) para mensagens de SMS (SMS).

      2. Escolha Salvar alterações.

Criar um usuário

Criar um usuário

Você pode criar novos usuários para seu grupo de usuários diretamente do console do Amazon Cognito. Normalmente, os usuários podem fazer login depois que eles definem uma senha. Para acesso com um endereço de e-mail, o usuário precisa verificar o atributo email. Para fazer login com um número de telefone, o usuário deve verificar o atributo phone_number. Para confirmar contas como administrador, você também pode usar a API AWS CLI ou ou criar perfis de usuário com um provedor de identidade federado. Para mais informações, consulte a Referência de API do Amazon Cognito.

  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Escolha o menu Usuários e escolha Criar um usuário.

  4. Revise os User pool sign-in and security requirements (Requisitos de acesso e segurança do grupo de usuários) para obter orientações sobre requisitos de senha, métodos de recuperação de conta disponíveis e atributos de alias para seu grupo de usuários.

  5. Escolha como você deseja enviar uma Invitation message (Mensagem de convite). Escolha mensagem SMS, mensagem de e-mail ou ambos. Para suprimir a mensagem de convite, escolha Não enviar um convite.

    nota

    Antes de enviar mensagens de convite, configure um remetente e um Região da AWS com o Amazon Simple Notification Service e o Amazon Simple Email Service no menu de métodos de autenticação do seu grupo de usuários. Aplicam-se tarifas de mensagens e dados do destinatário da mensagem. A cobrança de mensagens de e-mail pelo Amazon SES e de mensagens SMS pelo Amazon SNS é feita separadamente.

  6. Selecione um Username (Nome de usuário) para o novo usuário.

  7. Escolha Create a password (Criar uma senha) ou Generate a password (Gerar uma senha) se desejar que o Amazon Cognito gere uma senha para o usuário. A opção de gerar uma senha não estará disponível se o login sem senha estiver disponível no grupo de usuários. Qualquer senha temporária deve aderir à política de senha do grupo de usuários.

  8. Escolha Criar.

  9. Escolha o menu Usuários e escolha a entrada Nome de usuário para o usuário. Adicione e edite User attributes (Atributos do usuário) e Group memberships (Associações de grupo). Examine User event history (Histórico de eventos do usuário).