Erstellen von Benutzerkonten als Administrator

Wenn Sie einen eigenen Benutzerpool erstellen, können Sie mithilfe der AWS Management Console, über die AWS Command Line Interface oder mit der Amazon-Cognito-API Benutzer erstellen. Sie können ein Profil für einen neuen Benutzer in einem Create a User Pool und eine Willkommensnachricht mit Anmeldeinformationen an den Benutzer per SMS oder E-Mail senden.

Entwickler und Administratoren können die folgenden Aufgaben ausführen:

• Ein neues Benutzerprofil mithilfe der AWS Management Console oder durch Aufrufen der AdminCreateUser-API erstellen.

• Legen Sie Benutzerattributwerte fest.

• Erstellen Sie benutzerdefinierte Attribute.

• Legen Sie den Wert unveränderlicher benutzerdefinierter Attribute in AdminCreateUser-API-Anfragen fest. Dieses Feature ist in der Amazon-Cognito-Konsole nicht verfügbar.

• Das temporäre Passwort angeben oder von Amazon Cognito automatisch eines generieren lassen.

• Angeben, ob bereitgestellte E-Mail-Adressen und Telefonnummern für neue Benutzer als verifiziert markiert werden.

• Benutzerdefinierte SMS- und E-Mail-Einladungsnachrichten für neue Benutzer über die AWS Management Console oder einen benutzerdefinierten Message Lambda-Auslöser angeben. Weitere Informationen finden Sie unter Anpassen von Benutzerpool-Workflows mit Lambda-Auslösern.

• Angeben, ob Einladungs-Nachrichten per SMS, E-Mail oder beides gesendet werden.

• Begrüßungsnachricht an einen vorhandenen Benutzer erneut senden, indem die AdminCreateUser-API aufgerufen und RESEND für den MessageAction-Parameter festgelegt wird.

  Anmerkung

  Diese Aktion kann derzeit nicht mithilfe der durchgeführt werden AWS Management Console.

• Das Senden der Einladungsnachricht beim Erstellen des Benutzers unterdrücken.

• Eine Ablaufzeitbeschränkung für das Benutzerkonto (bis zu 90 Tage) angeben.

• Benutzer gestatten, sich anzumelden, oder verlangen, dass neue Benutzer nur durch den Administrator hinzugefügt werden.

Authentifizierungsablauf für Benutzer, die durch Administratoren oder Entwickler erstellt wurden

Der Authentifizierungsablauf für diese Benutzer umfasst den zusätzlichen Schritt des Einsendens des neuen Passwort und Bereitstellen aller fehlenden Werte für erforderliche Attribute. Die Schritte sind nachstehend aufgeführt; die Schritte 5, 6 und 7 gelten nur für diesen Benutzer.

1. Der Benutzer startet die erstmalige Anmeldung, indem er seinen Benutzernamen und sein Passwort absendet.

2. Das SDK ruft auf InitiateAuth(Username, USER_SRP_AUTH).

3. Amazon Cognito gibt die PASSWORD_VERIFIER-Herausforderung mit Salt-und-Secret-Block zurück.

4. Das SDK führt die SRP-Berechnungen durch und ruft auf RespondToAuthChallenge(Username, <SRP variables>, PASSWORD_VERIFIER).

5. Amazon Cognito gibt die Aufforderung NEW_PASSWORD_REQUIRED zurück. Der Hauptteil dieser Aufforderung umfasst die aktuellen Attribute des Benutzers und alle erforderlichen Attribute in Ihrem Benutzerpool, die derzeit keinen Wert im Benutzerprofil haben. Weitere Informationen finden Sie unter RespondToAuthChallenge.

6. Der Benutzer wird aufgefordert und gibt ein neues Passwort und alle fehlenden Werte für erforderliche Attribute ein.

7. Das SDK ruft auf RespondToAuthChallenge(Username, <New password>, <User attributes>).

8. Wenn der Benutzer einen zweiten Faktor für MFA benötigt, gibt Amazon Cognito die SMS_MFA-Herausforderung zurück und der Code wird übermittelt.

9. Nachdem der Benutzer das Passwort erfolgreich geändert und optional Attribute bereitgestellt oder MFA abgeschlossen hat, wird der Benutzer angemeldet, und Token werden ausgestellt.

Wenn der Benutzer alle Herausforderungen erfüllt hat, markiert der Amazon-Cognito-Service den Benutzer als bestätigt und gibt ID, Zugriff und Aktualisierungs-Token für den Benutzer aus. Weitere Informationen finden Sie unter Verwenden von Token mit Benutzerpools.

Erstellen eines neuen Benutzers in der AWS Management Console

Sie können die Anforderungen an das Benutzerpasswort festlegen, die an Benutzer gesendeten Einladungs- und Verifizierungsnachrichten konfigurieren und neue Benutzer mit der Amazon-Cognito-Konsole hinzufügen.

Festlegen einer Passwortrichtlinie und Aktivieren der Selbstregistrierung

Sie können Einstellungen für minimale Passwortkomplexität konfigurieren und ob Benutzer sich mit öffentlichen APIs in Ihrem Benutzerpool anmelden können.

Konfigurieren einer Passwortrichtlinie

1. Navigieren Sie zur Amazon-Cognito-Konsole und wählen Sie User Pools (Benutzerpools) aus.

2. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder erstellen Sie einen neuen Benutzerpool.

3. Wählen Sie die Registerkarte Sign-in experience (Anmeldeerlebnis) aus und suchen Sie nach Password policy (Passwortrichtlinie). Wählen Sie Edit.

4. Wählen Sie für den Passwortrichtlinienmodus Custom (Benutzerdefiniert) aus.

5. Wählen Sie eine Mindestpasswortlänge aus. Beschränkungen für die Passwortlänge finden Sie unter User pools resource quotas (Benutzerpool-Ressourcenkontingente).

6. Wählen Sie eine Passwortkomplexität aus.

7. Wählen Sie aus, wie lange das von Administratoren festgelegte Passwort gültig sein soll.

8. Wählen Sie Save Changes.

Zulassen der Self-Service-Anmeldung

1. Navigieren Sie zur Amazon-Cognito-Konsole und wählen Sie User Pools (Benutzerpools) aus.

2. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder erstellen Sie einen neuen Benutzerpool.

3. Wählen Sie die Registerkarte Sign-up experience (Anmeldungserlebnis) aus und suchen Sie nach Self-service sign-up (Self-Service-Anmeldung). Wählen Sie Edit (Bearbeiten) aus.

4. Wählen Sie aus, ob Sie die Selbstregistrierung aktivieren möchten. Die Selbstregistrierung wird normalerweise mit öffentlichen App-Clients verwendet, die neue Benutzer in Ihrem Benutzerpool registrieren müssen, ohne ein Clientgeheimnis oder AWS Identity and Access Management (IAM)-API-Anmeldeinformationen zu verteilen.

   Deaktivieren der Selbstregistrierung

   Wenn Sie die Selbstregistrierung nicht aktivieren, müssen neue Benutzer durch administrative API-Aktionen mithilfe von IAM-API-Anmeldeinformationen oder durch Anmeldung bei Verbundanbietern erstellt werden.

5. Wählen Sie Änderungen speichern.

Anpassen von E-Mail- und SMS-Nachrichten

Anpassen von Benutzernachrichten

Sie können die Nachrichten anpassen, die Amazon Cognito an Ihre Benutzer sendet, wenn Sie sie zur Anmeldung einladen, sie sich für ein Benutzerkonto anmelden oder sich anmelden und zur Multi-Faktor-Authentifizierung (MFA) weitergeleitet werden.

Anmerkung

Es wird eine Einladungsnachricht gesendet, wenn Sie einen Benutzer in Ihrem Benutzerpool erstellen und ihn einladen, sich anzumelden. Amazon Cognito sendet erste Anmeldeinformationen an die E-Mail-Adresse oder die Telefonnummer des Benutzers.

Eine Verifizierungsnachricht wird gesendet, wenn sich ein Benutzer für ein Benutzerkonto in Ihrem Benutzerpool anmeldet. Amazon Cognito sendet einen Code an den Benutzer. Wenn der Benutzer Amazon Cognito den Code zur Verfügung stellt, überprüft er seine Kontaktinformationen und bestätigt sein Konto für die Anmeldung. Verifizierungscodes sind 24 Stunden lang gültig.

Eine MFA-Nachricht wird gesendet, wenn Sie SMS MFA in Ihrem Benutzerpool aktivieren, und ein Benutzer, der SMS MFA konfiguriert hat, sich anmeldet und zu MFA weitergeleitet wird.

1. Navigieren Sie zur Amazon-Cognito-Konsole und wählen Sie User Pools (Benutzerpools) aus.

2. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder erstellen Sie einen neuen Benutzerpool.

3. Wählen Sie die Registerkarte Messaging aus und suchen Sie nach Nachrichtenvorlagen. Wählen Sie Verification messages (Verifizierungsnachrichten),Invitation messages (Einladungsnachrichten) oder MFA messages (MFA-Nachrichten) aus und klicken Sie anschließend auf Edit (Bearbeiten).

4. Passen Sie die Nachrichten für den ausgewählten Nachrichtentyp an.

   Anmerkung

   Alle Variablen in Nachrichtenvorlagen müssen beim Anpassen der Nachricht enthalten sein. Wenn die Variable, zum Beispiel {####}, nicht enthalten ist, wird Ihr Benutzer nicht über ausreichende Informationen verfügen, um die Nachrichtenaktion abzuschließen.

   Weitere Informationen finden Sie unter Message templates (Nachrichtenvorlagen).

5. 1. Verifizierungsnachrichten

      1. Wählen Sie einen Verifizierungs-Typ für E-Mail-Nachrichten. Eine Codeverifizierung sendet einen numerischen Code, den der Benutzer eingeben muss. Eine Linkverifizierung sendet einen Link, den der Benutzer für die Verifizierung der Kontaktinformationen anklicken kann. Der Text in der Variable für eine Linknachricht wird als Hyperlinktext angezeigt. Beispielsweise wird eine Nachrichtenvorlage mit der Variable {##Click here##} als Click here (Hier klicken) in der E-Mail-Nachricht angezeigt.

      2. Geben Sie einen E-Mail-Betreff für E-Mail-Nachrichten ein.

      3. Geben Sie eine benutzerdefinierte E-Mail-Vorlage für E-Mail-Nachrichten ein. Sie können diese Vorlage mit HTML anpassen.

      4. Geben Sie eine benutzerdefinierte SMS-Vorlage für SMS-Nachrichten ein.

      5. Wählen Sie Save Changes.

   2. Einladungsnachrichten

      1. Geben Sie einen E-Mail-Betreff für E-Mail-Nachrichten ein.

      2. Geben Sie eine benutzerdefinierte E-Mail-Vorlage für E-Mail-Nachrichten ein. Sie können diese Vorlage mit HTML anpassen.

      3. Geben Sie eine benutzerdefinierte SMS-Vorlage für SMS-Nachrichten ein.

      4. Wählen Sie Save Changes.

   3. MFA-Nachrichten

      1. Geben Sie eine benutzerdefinierte SMS-Vorlage für SMS-Nachrichten ein.

      2. Wählen Sie Save Changes.

Erstellen eines Benutzers

Erstellen eines Benutzers

Sie können über die Amazon-Cognito-Konsole neue Benutzer für Ihren Benutzerpool erstellen. In der Regel können sich Benutzer anmelden, nachdem sie ein Passwort festgelegt haben. Zum Anmelden mit einer E-Mail-Adresse oder einer Telefonnummer muss ein Benutzer das email-Attribut verifizieren. Zum Anmelden mit einer Telefonnummer muss der Benutzer das phone_number-Attribut verifizieren. Wenn Sie Konten als Administrator bestätigen möchten, können Sie auch die AWS CLI oder die API verwenden oder Benutzerprofile bei einem Verbundidentitätsanbieter erstellen. Weitere Informationen finden Sie in der Amazon-Cognito-API-Referenz.

1. Navigieren Sie zur Amazon-Cognito-Konsole und wählen Sie User Pools (Benutzerpools) aus.

2. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder erstellen Sie einen Benutzerpool.

3. Wählen Sie die Registerkarte Users (Benutzer) und anschließend die Option Create a user (Benutzer erstellen) aus.

4. In den Anforderungen für die Anmeldung im Benutzerpool und die Sicherheit finden Sie Anleitungen zu Passwortanforderungen, verfügbare Methoden zur Kontowiederherstellung und Aliasattribute für Ihren Benutzerpool.

5. Wählen Sie aus, wie Sie eine Invitation message (Einladungsnachricht) senden möchten. Wählen Sie SMS-Nachricht, E-Mail-Nachricht oder beides aus.

   Anmerkung

   Bevor Sie Einladungsnachrichten senden können, müssen Sie einen Absender und die AWS-Region mit Amazon Simple Notification Service und Amazon Simple Email Service auf der Registerkarte Messaging in Ihrem Benutzerpool konfigurieren. Es gelten Empfängernachrichten und Datengebühren. Amazon SES berechnet Ihnen E-Mail-Nachrichten separat und Amazon SNS berechnet Ihnen SMS-Nachrichten separat.

6. Wählen Sie einen Username (Benutzername) für den neuen Benutzer aus.

7. Wählen Sie aus, ob Sie mit Create a password (Passwort erstellen) ein Passwort erstellen oder Amazon Cognito mit Generate a password (Passwort generieren) ein Passwort für den Benutzer generieren lassen möchten. Jedes temporäre Passwort muss der Passwortrichtlinie des Benutzerpools entsprechen.

8. Wählen Sie Create (Erstellen) aus.

9. Wählen Sie die Registerkarte Users (Benutzer) aus und klicken Sie auf den Eintrag User name (Benutzername) für den Benutzer. Fügen Sie User attributes (Benutzerattribute) und Group memberships (Gruppenmitgliedschaften) hinzu und bearbeiten Sie diese. Sehen Sie sich User event history (Ereignisverlauf des Benutzers) an.