Trabalhando com atributos do usuário - Amazon Cognito
Atributos padrãoNome de usuário e nome de usuário preferencialPersonalização dos atributos de loginAtributos personalizadosPermissões e escopos do atributo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Trabalhando com atributos do usuário

Os atributos são informações que ajudam a identificar usuários específicos, como nome, endereço de e-mail e número de telefone. Um novo grupo de usuários tem um conjunto padrão de atributos. Você também pode adicionar atributos personalizados à sua definição de grupo de usuários no AWS Management Console. Este tópico descreve esses atributos detalhadamente e oferece dicas sobre como configurar seu grupo de usuários.

Não armazene todas as informações sobre seus usuários nos atributos. Por exemplo, mantenha os dados do usuário que são alterados com frequência, como estatísticas de uso ou pontuações de jogos, em um repositório de dados separado, como o Amazon Cognito Sync ou o Amazon DynamoDB.

nota

Alguns documentos e padrões se referem a atributos como membros.

Atributos padrão

O Amazon Cognito atribui a todos os usuários um conjunto de atributos padrão com base na Especificação do OpenID Connect. Por padrão, os valores de atributo padrão e personalizados podem ser qualquer string de até 2.048 caracteres, mas alguns valores têm restrições de formato.

Os atributos padrão são:

  • name

  • family_name

  • given_name

  • middle_name

  • nickname

  • preferred_username

  • profile

  • picture

  • website

  • gender

  • birthdate

  • zoneinfo

  • locale

  • updated_at

  • address

  • email

  • phone_number

  • sub

Exceto sub, os atributos padrão são opcionais por padrão para todos os usuários. Para tornar um atributo obrigatório, durante o processo de criação do grupo de usuários, marque a caixa de seleção Required (Obrigatório) ao lado do atributo. O Amazon Cognito atribui um valor de identificador de usuário exclusivo ao atributo sub de cada usuário. Somente os atributos email e phone_number podem ser verificados.

Os atributos padrão têm propriedades predefinidas que você pode visualizar no SchemaAttributes parâmetro de uma DescribeUserPool APIresposta. Você pode definir valores personalizados para essas propriedades de atributos, como restrições de tipo de dados, mutabilidade e comprimento. Para modificar as propriedades do atributo padrão, defina seus valores personalizados no parâmetro CreateUserPool Esquema. O esquema também é onde você define os atributos necessários. Você não pode modificar as propriedades dos atributos padrão ao criar grupos de usuários no console do Amazon Cognito.

nota

Quando você marcar um atributo padrão como Required (Obrigatório), o usuário não poderá se inscrever, a menos que forneça um valor para o atributo. Para criar usuários e não fornecer valores para os atributos necessários, os administradores podem usar o. AdminCreateUserAPI Após a criação de um grupo de usuários, não é possível alternar um atributo entre obrigatório e não obrigatório.

Detalhes do atributo padrão e restrições de formato
birthdate

O valor deve ser uma data válida de 10 caracteres no formato YYYY-MM-DD.

email

Os usuários e administradores podem verificar valores de endereço de e-mail.

Um administrador com Conta da AWS as permissões adequadas pode alterar o endereço de e-mail do usuário e também marcá-lo como verificado. Marque um endereço de e-mail como verificado com o comando AdminUpdateUserAttributesAPIou o admin-update-user-attributes AWS Command Line Interface (AWS CLI). Com esse comando, o administrador pode alterar o atributo email_verified para true. Você também pode editar um usuário na guia Usuários do AWS Management Console para marcar um endereço de e-mail como verificado.

O valor deve ser uma string de endereço de e-mail válida seguindo o formato de e-mail padrão com o símbolo @ e o domínio, com até 2.048 caracteres.

phone_number

O usuário deve fornecer um número de telefone se a autenticação SMS multifator (MFA) estiver ativa. Para obter mais informações, consulte Adicionando MFA a um grupo de usuários.

Os usuários e administradores podem verificar valores de número de telefone.

Um administrador com Conta da AWS as permissões adequadas pode alterar o número de telefone do usuário e também marcá-lo como verificado. Marque um número de telefone como verificado com o AdminUpdateUserAttributesAPIou o admin-update-user-attributes AWS CLI comando. Com esse comando, o administrador pode alterar o atributo phone_number_verified para true. Você também pode editar um usuário na guia Usuários do AWS Management Console para marcar um número de telefone como verificado.

Importante

Os números de telefone devem seguir estas regras de formatação: devem começar com um sinal de mais (+), seguido imediatamente do código do país. Um número de telefone pode conter apenas o sinal + e os dígitos. Remova quaisquer outros caracteres de um número de telefone, como parênteses, espaços ou traços (-) antes de enviar o valor ao serviço. Por exemplo, um número de telefone dos Estados Unidos deve seguir este formato: +14325551212.

preferred_username

Você pode selecionar preferred_username conforme necessário ou como um alias, mas não ambos. Se preferred_username for um alias, você poderá fazer uma solicitação à UpdateUserAttributesAPIoperação e adicionar o valor do atributo depois de confirmar o usuário.

sub

Indexe e pesquise seus usuários com base no atributo sub. O atributo sub é um identificador de usuário exclusivo em cada grupo de usuários. Os usuários podem alterar atributos como phone_number e email. O atributo sub tem um valor fixo. Para ter mais informações sobre como descobrir usuários, consulte Como gerenciar e pesquisar contas de usuários.

Exibir atributos obrigatórios

Siga o procedimento abaixo a fim de exibir atributos obrigatórios para um determinado grupo de usuários.

nota

Não é possível alterar atributos obrigatórios após a criação de um grupo de usuários.

Para exibir atributos obrigatórios

  1. Acesse o Amazon Cognito no. AWS Management Console Se o console solicitar, insira suas AWS credenciais.

  2. Escolha User Pools (Grupos de usuários).

  3. Escolha um grupo de usuários existente da lista.

  4. Escolha a guia Sign-up experience (Experiência de cadastro).

  5. Na seção Required attributes (Atributos obrigatórios), veja os atributos obrigatórios de seu grupo de usuários.

Nome de usuário e nome de usuário preferencial

O valor de username é um atributo separado; não equivale ao atributo name. Cada usuário tem um atributo username. O Amazon Cognito gera automaticamente um nome de usuário para usuários federados. Você deve fornecer um atributo username para criar um usuário local no diretório do Amazon Cognito. Após a criação de um usuário, não é possível alterar o valor do atributo username.

Os desenvolvedores podem usar o atributo preferred_username para atribuir aos usuários nomes de usuário que eles podem alterar. Para obter mais informações, consulte Personalização dos atributos de login.

Se sua aplicação não exigir um nome de usuário, não será necessário solicitar que os usuários o forneçam. O aplicativo pode criar um nome de usuário exclusivo para os usuários no plano de fundo. Isso pode ser útil se você desejar que os usuários se inscrevam e façam login com um endereço de e-mail e senha. Para obter mais informações, consulte Personalização dos atributos de login.

username deve ser exclusivo em um grupo de usuários. username pode ser reutilizado, mas somente depois que você o excluir e ele não estiver mais em uso. Para obter informações sobre as restrições de string aos username atributos, consulte a propriedade username de uma SignUpAPIsolicitação.

Personalização dos atributos de login

Ao criar um grupo de usuários, você pode configurar atributos de nome de usuário caso queira que os usuários possam se inscrever e fazer login com um endereço de e-mail ou um número de telefone como nome de usuário. Como alternativa, você pode configurar atributos de alias para dar aos usuários a seguinte opção: incluir vários atributos ao se inscreverem e, então, fazer login com um nome de usuário, nome de usuário preferencial, endereço de e-mail ou número de telefone.

Importante

Após a criação de um grupo de usuários, não é possível alterar essa configuração.

Como escolher entre atributos de alias e atributos de nome de usuário

Seu requisito Atributos de alias Atributos do nome de usuário
Os usuários têm vários atributos de login Sim¹ Não²
Os usuários devem verificar o endereço de e-mail ou o número de telefone antes de poderem fazer login com ele Sim Não
Inscreva usuários com endereços de e-mail ou números de telefone duplicados e evite erros³ UsernameExistsException Sim Não
Pode atribuir o mesmo valor de atributo de endereço de e-mail ou número de telefone a mais de um usuário Sim⁴ Não

¹ Os atributos de login disponíveis são nome de usuário, endereço de e-mail, número de telefone e nome de usuário de preferência.

² É possível fazer login com o endereço de e-mail ou o número de telefone.

³ O grupo de usuários não gera erros UsernameExistsException quando os usuários se registram com endereços de e-mail ou números de telefone possivelmente duplicados, mas sem nome de usuário. Esse comportamento é independente de Evitar erros de existência de nome de usuário, que se aplica às operações de login, mas não às operações de inscrição.

⁴ Somente o último usuário que verificou o atributo pode fazer login com ele.

Você pode ativar aliases se quiser permitir que os usuários optem por inserir o nome de usuário ou outros valores de atributo ao fazerem login. Por padrão, os usuários fazem login com nome de usuário e senha. O nome de usuário é um valor fixo que os usuários não podem mudar. Se você marcar um atributo como alias, os usuários poderão fazer login usando esse atributo em vez de o nome de usuário. Você pode marcar os atributos de endereço de e-mail, número de telefone e nome de usuário preferido como aliases. Por exemplo, se você selecionar um endereço de e-mail e número de telefone como aliases para um grupo de usuários, os usuários desse grupo poderão fazer login usando o respectivo nome de usuário, endereço de e-mail ou número de telefone com a senha.

Para escolher atributos de alias, selecione User name (Nome de usuário) e pelo menos uma opção de login adicional ao criar o grupo de usuários.

nota

Ao configurar seu grupo de usuários para indistinção de maiúsculas e minúsculas, o usuário poderá usar letras minúsculas ou maiúsculas para se cadastrar ou fazer login com o alias. Para obter mais informações, consulte a Referência CreateUserPoolde grupos API de usuários do Amazon Cognito.

Se você selecionar o endereço de e-mail como um alias, o Amazon Cognito não aceitará um nome de usuário que corresponda a um formato de endereço de e-mail válido. Da mesma forma, se você selecionar o número de telefone como alias, o Amazon Cognito não aceitará um nome de usuário para esse grupo de usuários que corresponda a um formato de número de telefone válido.

nota

Os valores de alias devem ser exclusivos em um grupo de usuários. Se configurar um alias para um endereço de e-mail ou número de telefone, o valor que você fornecer poderá apresentar o estado verificado em apenas uma conta. Durante o cadastro, se o usuário fornecer um endereço de e-mail ou número de telefone como um valor de alias e outro usuário já tiver usado esse valor, o registro será bem-sucedido. No entanto, quando um usuário tentar confirmar a conta com esse e-mail (ou número de telefone) e inserir o código válido, o Amazon Cognito retornará um erro AliasExistsException. Esse erro indica ao usuário que já existe uma conta com esse endereço de e-mail (ou número de telefone). Nesse ponto, o usuário pode abandonar a tentativa de criar a nova conta e, em vez disso, tentar redefinir a senha para a conta antiga. Se o usuário continuar criando a nova conta, seu aplicativo deverá chamar a ConfirmSignUp API com a forceAliasCreation opção. ConfirmSignUpwith forceAliasCreation move o alias da conta anterior para a conta recém-criada e marca o atributo como não verificado na conta anterior.

Os números de telefone e os endereços de e-mail só se tornarão aliases ativos para um usuário depois que você os verificar. Recomendamos escolher a verificação automática dos endereços de e-mail e números de telefone se você os usar como aliases.

Escolha atributos de alias para evitar erros UsernameExistsException nos atributos de endereço de e-mail e número de telefone quando os usuários se inscreverem.

Ative o atributo preferred_username para que o usuário possa alterar o nome que ele usa para fazer login enquanto o valor de atributo username não mudar. Se desejar configurar essa experiência de usuário, envie o novo valor de username como preferred_username e escolha preferred_username como alias. Assim, os usuários poderão fazer login com o novo valor que eles inseriram. Se você selecionar preferred_username como alias, o usuário só poderá fornecer o valor quando confirmar uma conta. Ele não poderá fornecer o valor durante o registro.

Quando o usuário se inscreve com um nome de usuário, é possível escolher se ele pode fazer login com um ou mais dos aliases a seguir.

  • Um endereço de e-mail verificado

  • Um número de telefone verificado

  • Nome de usuário preferido

Depois que o usuário se cadastra, ele não pode alterar esses aliases.

Importante

Quando seu grupo de usuários é compatível com login com aliases e você deseja autorizar ou pesquisar um usuário, não identifique seu usuário por nenhum de seus atributos de login. O identificador de usuário de valor fixo sub é o único indicador consistente da identidade do seu usuário.

Inclua as etapas a seguir quando criar o grupo de usuários para que os usuários possam fazer login com um alias.

Como configurar um grupo de usuários para que seja possível fazer login com um nome de usuário preferido

  1. Acesse o Amazon Cognito no AWS Management Console. Se o console solicitar, insira suas AWS credenciais.

  2. Escolha User Pools (Grupos de usuários).

  3. No canto superior direito da página, escolha Create a user pool (Criar um grupo de usuários) para iniciar o assistente de criação de grupo de usuários.

  4. Em Configure sign-in experience (Configurar experiência de acesso), escolha a identidade Provider types (Tipos de provedores) que você deseja associar ao grupo de usuários.

  5. Em Cognito user pool sign-in options (Opções de acesso do grupo de usuários do Cognito), escolha qualquer combinação de User name (Nome de usuário), Email (E-mail) e Phone number (Número de telefone).

  6. Em Requisitos de nome do usuário, selecione Permitir que os usuários façam login com um nome de usuário preferido para permitir a definição de um nome de usuário alternativo para login.

  7. Selecione Next (Próximo) e, em seguida, conclua todas as etapas no assistente.

Quando o usuário se inscreve com um endereço de e-mail ou número de telefone como o respectivo nome de usuário, é possível escolher se ele pode se inscrever apenas com endereços de e-mail, apenas números de telefone ou qualquer um dos dois.

Para escolher atributos de nome de usuário, não selecione Nome de usuário como opção de login ao criar o grupo de usuários.

O endereço de e-mail ou o número de telefone deve ser exclusivo e não deve estar em uso por outro usuário. Ele não precisa ser verificado. Depois que o usuário se cadastra com um endereço de e-mail ou número de telefone, ele não pode criar uma nova conta com o mesmo endereço de e-mail ou número de telefone. O usuário só poderá reutilizar a conta existente e redefinir a respectiva senha, se necessário. No entanto, ele pode alterar o endereço de e-mail ou o número de telefone para um novo endereço de e-mail ou número de telefone. Se o endereço de e-mail ou o número de telefone ainda não estiver em uso, ele se tornará o novo nome de usuário.

nota

Se um usuário se inscrever com um endereço de e-mail como nome de usuário, ele poderá alterar o nome de usuário para outro endereço de e-mail, mas não poderá alterá-lo para um número de telefone. Se os usuários se inscreverem com um número de telefone, eles poderão alterar o nome de usuário para outro número de telefone, mas não poderão alterá-lo para um endereço de e-mail.

Siga as etapas abaixo durante o processo de criação do grupo de usuários para configurar o cadastro e o login com um endereço de e-mail ou número de telefone.

Para configurar um grupo de usuários para cadastro e login com um endereço de e-mail ou número de telefone

  1. Acesse o Amazon Cognito no AWS Management Console. Se o console solicitar, insira suas AWS credenciais.

  2. Escolha User Pools (Grupos de usuários).

  3. No canto superior direito da página, escolha Create a user pool (Criar um grupo de usuários) para iniciar o assistente de criação de grupo de usuários.

  4. Em Cognito user pool sign-in options (Opções de login do grupo de usuários do Cognito), escolha qualquer combinação de Email (E-mail) e Phone number (Número de telefone) que represente os atributos de alias que o usuário pode usar para fazer login.

  5. Selecione Next (Próximo) e conclua todas as etapas restantes no assistente.

nota

Não é necessário marcar o endereço de e-mail ou número de telefone como atributos obrigatórios para o grupo de usuários.

Para implementar a opção 2 no aplicativo

  1. Ligue CreateUserPool API para o para criar seu grupo de usuários. Defina o parâmetro UserNameAttributes como phone_number, email ou phone_number | email.

  2. Ligue para SignUp API e informe um endereço de e-mail ou número de telefone no username parâmetro doAPI. Isso API faz o seguinte:

    • Se a string username estiver no formato válido de endereço de e-mail, o grupo de usuários preencherá automaticamente o atributo email do usuário com o valor username.

    • Se a string username estiver no formato válido de número de telefone, o grupo de usuários ocupa automaticamente o atributo phone_number do usuário com o valor username.

    • Se o formato da username string não estiver no formato de endereço de e-mail ou número de telefone, ele SignUp API retornará uma exceção.

    • O SignUp API gera uma persistência UUIDpara seu usuário e a usa internamente como o atributo de nome de usuário imutável. Isso UUID tem o mesmo valor da sub declaração no token de identidade do usuário.

    • Se a username string contiver um endereço de e-mail ou número de telefone que já esteja em uso, ela SignUp API retornará uma exceção.

Você pode usar um endereço de e-mail ou número de telefone como um alias no lugar do nome de usuário em todosAPIs, exceto o. ListUsers API Quando você chama ListUsers, é possível pesquisar pelo atributo email ou phone_number. Se você pesquisar por username, será necessário fornecer o nome de usuário real, não o alias.

Atributos personalizados

Você pode adicionar até 50 atributos personalizados ao grupo de usuários. Você pode especificar um comprimento mínimo e/ou máximo para os atributos personalizados. No entanto, o comprimento máximo para qualquer atributo personalizado não pode ultrapassar 2.048 caracteres.

Todo atributo personalizado tem as seguintes características:

  • Você pode defini-lo como uma string ou um número. O Amazon Cognito grava valores de atributo personalizados no token de ID somente como strings.

  • Não é possível exigir que os usuários forneçam um valor para o atributo.

  • Você não poderá removê-lo ou alterá-lo depois de adicioná-lo ao grupo de usuários.

  • A extensão de caracteres do nome do atributo está dentro do limite que o Amazon Cognito aceita. Para obter mais informações, consulte Cotas no Amazon Cognito.

  • Ele pode ser mutável ou imutável. É possível gravar um valor em um atributo imutável ao criar um usuário. Você pode alterar o valor de um atributo mutável se o cliente de aplicação tiver permissão de gravação para o atributo. Consulte Permissões e escopos do atributo Para mais informações.

nota

No código e nas configurações de regra de Controle de acesso com base em perfil, os atributos personalizados requerem o prefixo custom: para que sejam diferenciados dos atributos padrão.

Você também pode adicionar atributos de desenvolvedor ao criar grupos de usuários, na SchemaAttributes propriedade de CreateUserPool. Os atributos de desenvolvedor têm um prefixo dev:. Você só pode modificar os atributos de desenvolvedor de um usuário com AWS credenciais. Os atributos de desenvolvedor são um recurso herdado que o Amazon Cognito substituiu pelas permissões de leitura e gravação do cliente da aplicação.

Siga o procedimento abaixo para criar um novo atributo personalizado.

Para adicionar um atributo personalizado usando o console

  1. Acesse o Amazon Cognito no. AWS Management Console Se o console solicitar, insira suas AWS credenciais.

  2. Escolha User Pools (Grupos de usuários).

  3. Escolha um grupo de usuários existente da lista.

  4. Selecione a guia Sign-up experience (Experiência de cadastro) e na seção Custom attributes (Atributos personalizados), escolha Add custom attributes (Adicionar atributos personalizados).

  5. Na página Add custom attributes (Adicionar atributos personalizados), forneça os seguintes detalhes sobre o novo atributo:

    • Insira um Name (Nome).

    • Selecione um Type (Tipo), que pode ser String ou Number (Número).

    • Insira um tamanho de string Min. (Mínimo) ou um valor numérico.

    • Insira um tamanho de string Max. (Máximo) ou um valor numérico.

    • Selecione Mutable (Mutável) se quiser conceder permissão aos usuários para alterar o valor de um atributo personalizado depois que eles definirem o valor inicial.

  6. Escolha Salvar alterações.

Permissões e escopos do atributo

Para cada aplicação cliente, é possível configurar permissões de leitura e gravação para cada atributo de usuário. Dessa forma, você pode controlar o acesso de leitura que qualquer aplicação tiver e modificar cada atributo armazenado para seus usuários. Por exemplo, você pode ter um atributo personalizado que indique se um usuário é ou não um cliente pagante. Suas aplicações podem ver esse atributo, mas não o alterar diretamente. Em vez disso, você atualizará o atributo usando uma ferramenta administrativa ou um processo em segundo plano. Você pode definir permissões para atributos de usuário no console do Amazon Cognito, no Amazon API Cognito ou no. AWS CLI Por padrão, todos os novos atributos personalizados só estarão disponíveis depois que você definir permissões de leitura e gravação para eles. Por padrão, ao criar um novo cliente de aplicativo, você concede permissões de leitura e gravação ao seu aplicativo para todos os atributos padrão e personalizados. Para limitar a aplicação somente à quantidade de informações necessárias, atribua permissões específicas aos atributos na configuração do cliente da aplicação.

Como prática recomendada, especifique as permissões de leitura e gravação de atributos ao criar um cliente de aplicativo. Conceda ao cliente do aplicativo acesso ao conjunto mínimo de atributos de usuário necessários para a operação do seu aplicativo.

nota

DescribeUserPoolClientretorna somente valores para ReadAttributes e WriteAttributes quando você configura permissões do cliente do aplicativo que não sejam as padrão.

Como atualizar as permissões de atributo (AWS Management Console)

  1. Acesse o Amazon Cognito no. AWS Management Console Se o console solicitar, insira suas AWS credenciais.

  2. Escolha User Pools (Grupos de usuários).

  3. Escolha um grupo de usuários existente da lista.

  4. Selecione a guia App integration (Integração de aplicação) e na seção App clients (Clientes da aplicação), escolha um cliente da aplicação na lista.

  5. Na seção Attribute read and write permissions (Permissões de gravação e leitura de atributos), escolha Edit (Editar).

  6. Na página Edit attribute read and write permissions (Editar permissões de leitura e gravação de atributos), configure suas permissões de leitura e gravação e, em seguida, escolha Save changes (Salvar alterações).

Repita essas etapas para cada cliente de aplicativo usando o atributo personalizado.

Para cada cliente de aplicativo, você pode marcar atributos como legíveis ou graváveis. Isso se aplica aos atributos padrão e aos atributos personalizados. A aplicação pode recuperar o valor dos atributos que você marca como legíveis, bem como definir ou modificar o valor dos atributos marcados como graváveis. Se a aplicação tentar definir um valor para um atributo que não esteja autorizado a gravar, o Amazon Cognito retornará NotAuthorizedException. GetUseras solicitações incluem um token de acesso com uma reivindicação do cliente do aplicativo; o Amazon Cognito retorna somente valores para atributos que o cliente do aplicativo pode ler. O token de ID do usuário de uma aplicação contém apenas declarações que correspondem aos atributos legíveis. Todos os clientes da aplicação podem gravar os atributos necessários do grupo de usuários. Você só pode definir o valor de um atributo em uma API solicitação de grupos de usuários do Amazon Cognito quando você também fornece um valor para quaisquer atributos obrigatórios que ainda não tenham um valor.

Os atributos personalizados têm recursos distintos para permissões de leitura e gravação. É possível criá-los como mutáveis ou imutáveis para o grupo de usuários e defini-los como atributos de leitura ou gravação para qualquer cliente da aplicação.

Um atributo personalizado imutável pode ser atualizado uma vez durante a criação do usuário. É possível preencher um atributo imutável com os métodos a seguir.

  • SignUp: um usuário se inscreve em um cliente da aplicação que tenha acesso de gravação a um atributo personalizado imutável. Ele fornece um valor para esse atributo.

  • Fazer login com um IdP de terceiros: um usuário faz login em um cliente da aplicação que tem acesso de gravação a um atributo personalizado imutável. A configuração do grupo de usuários para o IdP tem uma regra para associar uma declaração fornecida a um atributo imutável. Isso é possível, mas não prático, porque o usuário só poderá fazer login uma vez. Nas tentativas de login após a primeira, o Amazon Cognito rejeita a tentativa por causa da regra de mapeamento para um atributo que agora não pode ser gravado.

  • AdminCreateUser: você fornece um valor para um atributo imutável.

Permissões de atributos com escopos

Nos grupos de usuários que você configura com um AWS SDK ouCDK, o REST API ou o AWS CLI, você pode configurar o acesso de leitura ou gravação do cliente do aplicativo com o OIDC escopooidc:profile. O oidc:profile concede acesso de leitura ou gravação aos seguintes atributos padrão:

  • name

  • family_name

  • given_name

  • middle_name

  • nickname

  • preferred_username

  • profile

  • picture

  • website

  • gender

  • birthdate

  • zoneinfo

  • locale

Essa lista contém os atributos OIDC padrão menosemail,,phone_number, e subaddress, conforme definido na seção 2.4 da OIDC especificação. Para receber informações sobre os escopos que você pode atribuir aos clientes da aplicação, consulte Escopos, M2M e APIs com servidores de recursos.

Para configurar seu cliente de aplicativo para gravar nos atributos sob o oidc:profile escopo, defina o valor de WriteAttributestooidc:profile, além de quaisquer outros atributos que você queira permitir que seu aplicativo modifique, em uma UpdateUserPoolClientAPIsolicitação CreateUserPoolClientor. Da mesma forma, para conceder acesso de leitura a esses atributos, adicione oidc:profile ao valor de ReadAttributes.

Você pode alterar os escopos e as permissões de atributo após ter criado o grupo de usuários.