Konfigurieren von Richtlinien für die Benutzererstellung - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von Richtlinien für die Benutzererstellung

Ihr Benutzerpool kann Benutzern gestatten, sich zu registrieren, oder Sie können sie als Administrator erstellen. Sie können auch kontrollieren, in welchem Umfang der Verifizierungs- und Bestätigungsprozess nach der Registrierung in den Händen Ihrer Benutzer liegt. Beispielsweise möchten Sie eventuell Anmeldungen auf der Grundlage eines externen Validierungsprozesses überprüfen und akzeptieren. Diese Konfiguration bzw. die Richtlinie für die Benutzererstellung durch Administratoren legt auch die Zeit fest, die vergehen muss, bevor ein Benutzer sein Benutzerkonto nicht mehr bestätigen kann.

Amazon Cognito kann als Customer Identity and Access Management (CIAM)-Plattform für Ihre Software die Anforderungen Ihrer öffentlichen Kunden erfüllen. Ein Benutzerpool, der Registrierungen akzeptiert und über einen App-Client mit oder ohne gehostete Benutzeroberfläche verfügt, erstellt ein Benutzerprofil für jede Person im Internet, die Ihre öffentlich auffindbare App-Client-ID kennt und eine Registrierung anfordert. Ein registriertes Benutzerprofil kann Zugriffs- und Identitätstoken erhalten und auf Ressourcen zugreifen, die Sie für Ihre App autorisiert haben. Bevor Sie die Registrierung in Ihrem Benutzerpool aktivieren, überprüfen Sie Ihre Optionen und stellen Sie sicher, dass die Konfiguration Ihren Sicherheitsstandards entspricht. Stellen Sie die Option Selbstregistrierung aktivieren und AllowAdminCreateUserOnly ein, wie in den folgenden Verfahren beschrieben; gehen Sie dabei vorsichtig vor.

AWS Management Console

Die Registerkarte Anmeldeerfahrung Ihres Benutzerpools und der Schritt Konfigurieren der Anmeldeerfahrung des Assistenten zum Erstellen von Benutzerpools enthalten einige Einstellungen für die Registrierung und administrative Erstellung von Benutzern in Ihrem Benutzerpool.

So konfigurieren Sie die Anmeldeerfahrung

  1. Wählen Sie unter Von Cognito unterstützte Überprüfung und Bestätigung aus, ob Sie Cognito erlauben, automatisch Nachrichten zur Überprüfung und Bestätigung zu senden. Wenn diese Einstellung aktiviert ist, sendet Amazon Cognito eine E-Mail- oder SMS-Nachricht an neue Benutzer mit einem Code, den sie Ihrem Benutzerpool vorlegen müssen. Dadurch wird bestätigt, dass sie Eigentümer der E-Mail-Adresse oder Telefonnummer sind, das entsprechende Attribut wird als verifiziert festgelegt und das Benutzerkonto für die Anmeldung bestätigt. Die von Ihnen ausgewählten Attribute zur Überprüfung bestimmen die Zustellungsmethoden und Ziele der Bestätigungsnachrichten.

  2. Die Überprüfung von Attributänderungen ist nicht wichtig, wenn Sie Benutzer erstellen, sondern bezieht sich auf die Überprüfung von Attributen. Sie können Benutzern, die ihre Anmeldeattribute geändert, aber noch nicht verifiziert haben, gestatten, sich weiterhin entweder mit ihrem neuen oder ihrem ursprünglichen Attributwert anzumelden. Weitere Informationen finden Sie unter Verifizieren, wenn Benutzer ihre E-Mail-Adresse oder Telefonnummer ändern.

  3. Unter Erforderliche Attribute werden die Attribute angezeigt, für die ein Wert angegeben werden muss, bevor sich ein Benutzer registrieren kann oder Sie einen Benutzer erstellen können. Sie können die erforderlichen Attribute nur im Assistenten zum Erstellen eines Benutzerpools festlegen.

  4. Benutzerdefinierte Attribute sind wichtig für den Benutzererstellungs- und Anmeldeprozess, da Sie einen Wert für unveränderliche benutzerdefinierte Attribute nur dann festlegen können, wenn Sie zuvor einen Benutzer erstellt haben. Weitere Informationen zu benutzerdefinierten Attributen finden Sie unter Custom attributes (Benutzerdefinierte Attribute).

  5. Wählen Sie unter Selbstregistrierung die Option Selbstregistrierung aktivieren aus, wenn Sie möchten, dass Benutzer mit der nicht authentifizierten SignUp-API ein neues Konto erstellen können. Wenn Sie die Selbstregistrierung deaktivieren, können Sie neue Benutzer nur als Administrator, in der Amazon-Cognito-Konsole oder mit AdminCreateUser-API-Anfragen erstellen. In einem Benutzerpool, in dem die Selbstregistrierung nicht aktiv ist, geben SignUp-API-Anfragen NotAuthorizedException zurück und auf der gehosteten Benutzeroberfläche wird kein Anmeldelink angezeigt.

Für Benutzerpools, in denen Sie als Administrator Benutzer erstellen möchten, können Sie die Dauer ihrer temporären Passwörter auf der Registerkarte Anmeldeerfahrung unter Von Administratoren festgelegte temporäre Passwörter laufen ab in konfigurieren.

Ein weiteres wichtiges Element bei der Erstellung von Benutzern als Administrator ist die Einladungsnachricht. Wenn Sie einen neuen Benutzer erstellen, sendet Amazon Cognito diesem eine Nachricht mit einem Link zu Ihrer App, damit er sich zum ersten Mal anmelden kann. Passen Sie diese Nachrichtenvorlage auf der Registerkarte Nachrichten unter Nachrichtenvorlagen an.

Sie können vertrauliche App-Clients, in der Regel Webanwendungen, mit einem geheimen Client-Secret konfigurieren, das eine Anmeldung ohne das geheime App-Client-Secret verhindert. Aus Sicherheitsgründen sollten Sie App-Client-Secrets nicht auf öffentlichen App-Clients, die in der Regel mobile Apps sind, verteilen. Sie können App-Clients mit Client-Secrets auf der Registerkarte App-Integration der Amazon Cognito-Konsole erstellen.

Amazon Cognito user pools API

Sie können die Parameter für die Erstellung von Benutzern in einem Benutzerpool in einer CreateUserPool- oder UpdateUserPool-API-Anfrage programmgesteuert festlegen.

Das AdminCreateUserConfig-Element legt Werte für die folgenden Eigenschaften eines Benutzerpools fest.

  1. Aktivieren der Self-Service-Anmeldung

  2. Die Einladungsnachricht, die Sie an neue vom Administrator erstellte Benutzer senden

Wird das folgende Beispiel zu einem vollständigen API-Anfragetext hinzugefügt, wird ein Benutzerpool mit inaktiver Self-Service-Registrierung und einer einfachen Einladungs-E-Mail eingerichtet.

"AdminCreateUserConfig": { 
      "AllowAdminCreateUserOnly": true,
      "InviteMessageTemplate": { 
         "EmailMessage": "Your username is {username} and temporary password is {####}.",
         "EmailSubject": "Welcome to ExampleApp",
         "SMSMessage": "Your username is {username} and temporary password is {####}."
      }
   }

Die folgenden zusätzlichen Parameter einer CreateUserPool- oder UpdateUserPool-API-Anfrage regeln die Erstellung neuer Benutzer.

AutoVerifiedAttributes

Die Attribute, E-Mail-Adressen oder Telefonnummern, an die Sie automatisch eine Nachricht senden möchten, wenn Sie einen neuen Benutzer registrieren.

Richtlinien

Die Passwortrichtlinie für den Benutzerpool.

Schema

Die benutzerdefinierten Attribute des Benutzerpools. Diese sind wichtig für den Benutzererstellungs- und Anmeldeprozess, da Sie einen Wert für unveränderliche benutzerdefinierte Attribute nur dann festlegen können, wenn Sie zuvor einen Benutzer erstellt haben.

Dieser Parameter legt auch die erforderlichen Attribute für Ihren Benutzerpool fest. Wird der folgende Text in das Schema-Element eines vollständigen API-Anforderungstexts eingefügt, wird das email-Attribut nach Bedarf festgelegt.

{
            "Name": "email",
            "Required": true
}