Mit Benutzerattributen arbeiten - Amazon Cognito
StandardattributeBenutzernamen und bevorzugter BenutzernameAnpassen von AnmeldeattributenCustom attributes (Benutzerdefinierte Attribute)Attributberechtigungen und -bereiche

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mit Benutzerattributen arbeiten

Attribute sind Informationen, anhand derer Sie einzelne Benutzer ermitteln können, z. B. Name, E-Mail-Adresse und Telefonnummer. Ein neuer Benutzerpool hat einen Satz standardmäßiger Standardattribute. Sie können Ihrer Benutzerpool-Definition im auch benutzerdefinierte Attribute hinzufügen AWS Management Console. In diesem Thema werden diese Attribute ausführlich beschrieben und Sie erhalten Tipps zum Einrichten des Benutzerpools.

Speichern Sie nicht alle Informationen von Benutzern in Attributen. Speichern Sie beispielsweise Benutzerdaten, die häufig geändert werden (wie Nutzungsstatistiken oder Spielstände) in einem separaten Datenspeicher, z. B. Amazon Cognito Sync oder Amazon DynamoDB.

Anmerkung

In einigen Dokumentationen und Standards werden Attribute als Member bezeichnet.

Standardattribute

Amazon Cognito weist allen Benutzern basierend auf der OpenID-Connect-Spezifikation eine Reihe von Standardattributen zu. Standard- und benutzerdefinierte Attributwerte können standardmäßig aus einer beliebigen Zeichenfolge von bis zu 2048 Zeichen bestehen. Einige Attributwerte unterliegen jedoch Formatierungseinschränkungen.

Die Standardattribute sind:

  • name

  • family_name

  • given_name

  • middle_name

  • nickname

  • preferred_username

  • profile

  • picture

  • website

  • gender

  • birthdate

  • zoneinfo

  • locale

  • updated_at

  • address

  • email

  • phone_number

  • sub

Mit Ausnahme von sub sind Standardattribute standardmäßig für alle Benutzer optional. Um ein Attribut als erforderlich festzulegen, aktivieren Sie bei der Erstellung des Benutzerpools das Kontrollkästchen Required (Erforderlich) neben dem Attribut. Amazon Cognito weist jedem sub-Benutzerattribut einen eindeutigen Benutzerkennungswert zu. Nur die Attribute email und phone_number können verifiziert werden.

Standardattribute haben vordefinierte Eigenschaften, die Sie im SchemaAttributes Parameter einer DescribeUserPool APIAntwort anzeigen können. Sie können benutzerdefinierte Werte für diese Attributeigenschaften wie Datentyp, Veränderbarkeit und Längenbeschränkungen festlegen. Um Standardattributeigenschaften zu ändern, legen Sie ihre benutzerdefinierten Werte im CreateUserPool Schema-Parameter fest. Im Schema legen Sie auch die erforderlichen Attribute fest. Sie können die Eigenschaften von Standardattributen nicht ändern, wenn Sie Benutzerpools in der Amazon Cognito Cognito-Konsole erstellen.

Anmerkung

Wenn Sie ein Standardattribut als erforderlich markieren, kann ein Benutzer sich erst registrieren, wenn er einen Wert für das Attribut angibt. Um Benutzer zu erstellen und keine Werte für erforderliche Attribute anzugeben, können Administratoren die AdminCreateUserAPIverwenden. Nachdem Sie einen Benutzerpool erstellt haben, können Sie die Markierung eines Attributs als erforderlich und nicht erforderlich nicht mehr ändern.

Details zu Standardattributen und Formateinschränkungen
birthdate

Der Wert muss ein gültiges 10-stelliges Datum im Format sein YYYY-MM-DD.

email

Benutzer und Administratoren können die Werte für E-Mail-Adressen überprüfen.

Ein Administrator mit den entsprechenden AWS-Konto Berechtigungen kann die E-Mail-Adresse des Benutzers ändern und sie auch als verifiziert markieren. Markieren Sie eine E-Mail-Adresse mit dem Befehl AdminUpdateUserAttributesAPIoder dem Befehl admin-update-user-attributes AWS Command Line Interface (AWS CLI) als verifiziert. Mit diesem Befehl kann der Administrator das email_verified-Attribut in true ändern. Sie können einen Benutzer auch auf der Registerkarte Benutzer von bearbeiten AWS Management Console , um eine E-Mail-Adresse als verifiziert zu markieren.

Der Wert muss eine gültige E-Mail-Adresszeichenfolge sein, die dem Standard-E-Mail-Format mit dem @-Symbol und der Domäne entspricht und bis zu 2048 Zeichen umfassen kann.

phone_number

Ein Benutzer muss eine Telefonnummer angeben, wenn die SMS Multi-Faktor-Authentifizierung (MFA) aktiv ist. Weitere Informationen finden Sie unter MFAZu einem Benutzerpool hinzufügen.

Benutzer und Administratoren können Telefonnummernwerte überprüfen.

Ein Administrator mit den entsprechenden AWS-Konto Berechtigungen kann die Telefonnummer des Benutzers ändern und sie auch als verifiziert markieren. Markieren Sie eine Telefonnummer mit dem Befehl AdminUpdateUserAttributesAPIoder dem admin-update-user-attributes AWS CLI Befehl als verifiziert. Mit diesem Befehl kann der Administrator das phone_number_verified-Attribut in true ändern. Sie können einen Benutzer auch auf der Registerkarte Benutzer von bearbeiten AWS Management Console , um eine Telefonnummer als verifiziert zu markieren.

Wichtig

Bei Telefonnummern müssen die folgenden Formatierungsregeln beachtet werden: Eine Telefonnummer muss mit einem Pluszeichen (+) beginnen, auf das direkt der Ländercode folgt. Eine Telefonnummer kann nur das Pluszeichen + und Ziffern enthalten. Entfernen Sie alle anderen Zeichen, z. B. Klammern, Leerzeichen und Bindestriche (-) aus einer Telefonnummer, bevor Sie den Wert an den Service übermitteln. Eine Telefonnummer in den Vereinigten Staaten muss beispielsweise das folgende Format haben: +14325551212.

preferred_username

Sie können preferred_username als erforderlich oder als Alias auswählen, aber nicht beides. Wenn es sich um einen Alias preferred_username handelt, können Sie eine Anfrage für den UpdateUserAttributesAPIVorgang stellen und den Attributwert hinzufügen, nachdem Sie den Benutzer bestätigt haben.

sub

Indexieren und durchsuchen Sie Ihre Benutzer basierend auf dem sub-Attribut. Das sub-Attribut ist eine eindeutige Benutzerkennung in jedem Benutzerpool. Benutzer können Attribute wie phone_number und email ändern. Das sub-Attribut hat einen festen Wert. Weitere Informationen zur Suche nach Benutzern finden Sie unter Verwalten von und Suchen nach Benutzerkonten.

Erforderliche Attribute anzeigen

Gehen Sie wie folgt vor, um die erforderlichen Attribute für einen bestimmten Benutzerpool anzuzeigen.

Anmerkung

Sie können erforderliche Attribute nicht mehr ändern, nachdem Sie einen Benutzerpool erstellt haben.

Erforderliche Attribute anzeigen

  1. Gehen Sie zu Amazon Cognito in der AWS Management Console. Wenn Sie von der Konsole dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

  2. Wählen Sie User Pools (Benutzerpools) aus.

  3. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus.

  4. Wählen Sie die Registerkarte Sign-up experience (Anmeldeerlebnis) aus.

  5. Zeigen Sie die erforderlichen Attribute Ihres Benutzerpools im Abschnitt Required attributes (Erforderliche Attribute) an.

Benutzernamen und bevorzugter Benutzername

Der Wert username ist ein separates Attribut und nicht mit dem Attribut name identisch. Jeder Benutzer hat ein username-Attribut. Amazon Cognito generiert automatisch einen Benutzernamen für Verbundbenutzer. Sie müssen ein username-Attribut angeben, um einen lokalen Benutzer im Amazon-Cognito-Verzeichnis zu erstellen. Nachdem Sie einen Benutzer erstellt haben, können Sie den Wert des username-Attributs nicht mehr ändern.

Entwickler können das preferred_username-Attribut verwenden, um Benutzern Benutzernamen zuzuteilen, die diese ändern können. Weitere Informationen finden Sie unter Anpassen von Anmeldeattributen.

Wenn für Ihre Anwendung kein Benutzername erforderlich ist, müssen Sie Benutzer nicht zur Angabe eines Benutzernamens auffordern. Ihre App kann im Hintergrund einen eindeutigen Benutzernamen für Benutzer erstellen. Dies kann sich als nützlich erweisen, wenn Sie beispielsweise möchten, dass sich Benutzer mit einer E-Mail-Adresse und einem Passwort registrieren und anmelden. Weitere Informationen finden Sie unter Anpassen von Anmeldeattributen.

Der username muss innerhalb eines Benutzerpools eindeutig sein. Ein username kann wiederverwendet werden, aber erst, nachdem er gelöscht wurde und nicht mehr in Gebrauch ist. Informationen zu den Zeichenkettenbeschränkungen für die username Attribute finden Sie in der Eigenschaft username einer SignUpAPIAnfrage.

Anpassen von Anmeldeattributen

Beim Erstellen eines Benutzerpools können Sie Benutzernamenattribute einrichten, wenn Sie möchten, dass sich Ihre Benutzer mit einer E-Mail-Adresse oder Telefonnummer als Benutzername registrieren können. Alternativ können Sie Aliasattribute einrichten, um Ihren Benutzern die Wahl zu lassen: Sie können mehrere Attribute angeben, wenn sie sich registrieren, und sich dann mit einem Benutzernamen, einem bevorzugten Benutzernamen, einer E-Mail-Adresse oder einer Telefonnummer anmelden.

Wichtig

Nachdem Sie einen Benutzerpool erstellt haben, können Sie diese Einstellung nicht mehr ändern.

So wählen Sie zwischen Aliasattributen und Benutzernamenattributen

Ihre Anforderung Aliasattribute Benutzernamenattribute
Benutzer haben mehrere Anmeldeattribute Ja¹ Nein²
Benutzer müssen ihre E-Mail-Adresse oder Telefonnummer verifizieren, bevor sie sich damit anmelden können Ja Nein
Melden Sie Benutzer mit doppelten E-Mail-Adressen oder Telefonnummern an und vermeiden Sie UsernameExistsException Fehler³ Ja Nein
Kann denselben Attributwert für E-Mail-Adresse oder Telefonnummer mehreren Benutzern zuweisen Ja⁴ Nein

¹ Verfügbare Anmeldeattribute sind der Benutzername, die E-Mail-Adresse, die Telefonnummer und der bevorzugte Benutzername.

² Es ist eine Anmeldung mit der E-Mail-Adresse oder der Telefonnummer möglich.

³ Ihr Benutzerpool generiert keine UsernameExistsException-Fehler, wenn sich Benutzer mit möglicherweise doppelten E-Mail-Adressen oder Telefonnummern, aber ohne Benutzernamen registrieren. Dieses Verhalten ist unabhängig von der Option Fehler bei vorhandenen Benutzernamen verhindern, die für Anmelde-, aber nicht für Registrierungsvorgänge gilt.

³ Nur der letzte Benutzer, der das Attribut verifiziert hat, kann sich damit anmelden.

Sie können Aliase aktivieren, wenn Sie Ihren Benutzern die Möglichkeit geben möchten, bei der Anmeldung ihren Benutzernamen oder andere Attributwerte einzugeben. Standardmäßig melden sich Benutzer mit ihrem Benutzernamen und ihrem Passwort an. Der Benutzername ist ein fester Wert, den Benutzer nicht ändern können. Wenn Sie ein Attribut als Alias markieren, können Benutzer anstelle des Benutzernamens dieses Attribut zur Anmeldung verwenden. Die Attribute E-Mail-Adresse, Telefonnummer und bevorzugter Benutzername können als Aliasnamen markiert werden. Wenn Sie beispielsweise die E-Mail-Adresse und die Telefonnummer als Aliasnamen für einen Benutzerpool auswählen, können sich Benutzer in diesem Benutzerpool mit ihrem Benutzernamen, ihrer E-Mail-Adresse oder ihrer Telefonnummer sowie ihrem Passwort anmelden.

Wählen Sie zum Auswählen von Aliasattributen User name (Benutzername) und mindestens eine zusätzliche Anmeldeoption aus, wenn Sie den Benutzerpool erstellen.

Anmerkung

Wenn Sie Ihren Benutzerpool ohne Berücksichtigung der Groß- und Kleinschreibung konfigurieren, kann ein Benutzer entweder Klein- oder Großbuchstaben verwenden, um sich mit seinem Alias zu registrieren oder anzumelden. Weitere Informationen finden Sie CreateUserPoolin der Amazon Cognito API Cognito-Benutzerpool-Referenz.

Wenn Sie die E-Mail-Adresse als Alias auswählen, akzeptiert Amazon Cognito keinen Benutzernamen, der mit einem gültigen E-Mail-Adressformat übereinstimmt. Ebenso wenig akzeptiert Amazon Cognito einen Benutzernamen für diesen Benutzerpool, der einem gültigen Telefonnummernformat entspricht, wenn Sie eine Telefonnummer als Alias auswählen.

Anmerkung

Aliaswerte müssen in einem Benutzerpool eindeutig sein. Wenn Sie einen Alias für eine E-Mail-Adresse oder eine Telefonnummer konfigurieren, kann der von Ihnen bereitgestellte Wert nur in einem Konto den bestätigten Status aufweisen. Wenn Ihr Benutzer während der Registrierung eine E-Mail-Adresse oder Telefonnummer als Aliaswert angibt und ein anderer Benutzer diesen Aliaswert bereits verwendet hat, ist die Registrierung erfolgreich. Versucht ein Benutzer allerdings, das Konto mit dieser E-Mail-Adresse (oder Telefonnummer) zu bestätigen, und gibt den gültigen Code ein, gibt Amazon Cognito einen AliasExistsException-Fehler zurück. Der Fehler weist den Benutzer darauf hin, dass bereits ein Konto mit dieser E-Mail-Adresse (oder Telefonnummer) vorhanden ist. An diesem Punkt kann der Benutzer die Erstellung des neuen Kontos abbrechen und stattdessen versuchen, das Passwort für das alte Konto zurückzusetzen. Wenn der Benutzer weiterhin das neue Konto erstellt, muss Ihre App das ConfirmSignUp API mit der forceAliasCreation Option aufrufen. ConfirmSignUpwith forceAliasCreation verschiebt den Alias vom vorherigen Konto auf das neu erstellte Konto und markiert das Attribut im vorherigen Konto als nicht verifiziert.

Telefonnummern und E-Mail-Adressen werden für einen Benutzer erst zu aktiven Aliasnamen, nachdem Ihr Benutzer die Telefonnummern und E-Mail-Adressen verifiziert hat. Wir empfehlen, die automatische Verifizierung von E-Mail-Adressen und Telefonnummern zu aktivieren, wenn Sie diese als Aliasnamen verwenden.

Wählen Sie Aliasattribute, um den Fehler UsernameExistsException bei den Attributen für E-Mail-Adressen und Telefonnummern zu vermeiden, wenn sich Ihre Benutzer anmelden.

Aktivieren Sie das preferred_username-Attribut, damit Ihr Benutzer den Benutzernamen ändern kann, mit dem er sich anmeldet, während sich der username-Attributwert nicht ändert. Wenn Sie diese Benutzererfahrung unterstützen möchten, senden Sie den neuen username-Wert als preferred_username und wählen preferred_username als Alias aus. Anschließend können sich Benutzer mit dem neuen Wert anmelden, den sie eingegeben haben. Wenn preferred_username als Alias ausgewählt ist, kann Ihr Benutzer den Wert nur dann bereitstellen, wenn er ein Konto bestätigt. Er kann den Wert nicht während der Registrierung bereitstellen.

Wenn sich der Benutzer mit einem Benutzernamen anmeldet, können Sie auswählen, ob er sich mit einem oder mehreren der folgenden Aliasnamen anmelden kann.

  • Verifizierte E-Mail-Adresse

  • Verifizierte Telefonnummer

  • Bevorzugter Benutzername

Nachdem sich der Benutzer registriert hat, kann er diese Aliasnamen ändern.

Wichtig

Wenn Ihr Benutzerpool die Anmeldung mit Aliasen unterstützt und Sie einen Benutzer autorisieren oder suchen möchten, identifizieren Sie Ihren Benutzer nicht anhand seiner Anmeldeattribute. Die Benutzerkennung sub mit festem Wert ist der einzige konsistente Bezeichner für die Identität des Benutzers.

Fügen Sie die folgenden Schritte ein, wenn Sie den Benutzerpool erstellen, damit sich Benutzer mit einem Alias anmelden können.

So konfigurieren Sie einen Benutzerpool für die Anmeldung mit einem bevorzugten Benutzernamen

  1. Wechseln Sie zu Amazon Cognito in der AWS Management Console. Wenn Sie von der Konsole dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

  2. Wählen Sie User Pools (Benutzerpools) aus.

  3. Wählen Sie in der rechten oberen Ecke der Seite Create a user pool (Benutzerpool erstellen) aus, um den Assistenten zur Erstellung von Benutzerpools zu starten.

  4. Wählen Sie unter Configure sign-in experience (Anmeldeerlebnis konfigurieren) die Identitätsanbietertypen aus, die Ihrem Benutzerpool zugewiesen werden sollen.

  5. Wählen Sie unter Cognito user pool sign-in options (Anmeldeoptionen für Cognito-Benutzerpool) eine beliebige Kombination von Benutzername, E-Mail-Adresse und Telefonnummer aus.

  6. Wählen Sie unter Anforderungen an Benutzernamen die Option Anmeldung auch mit bevorzugtem Benutzernamen zulassen aus, damit Benutzer bei der Anmeldung einen alternativen Benutzernamen festlegen können.

  7. Wählen Sie Next (Weiter) aus und führen Sie alle Schritte im Assistenten aus.

Wenn sich der Benutzer mit einer E-Mail-Adresse oder Telefonnummer als Benutzername registriert, können Sie auswählen, ob er sich nur mit E-Mail-Adressen, nur mit Telefonnummern oder mit beidem registrieren kann.

Wählen Sie zum Auswählen von Benutzernamenattributen nicht Benutzername als Anmeldeoption aus, wenn Sie den Benutzerpool erstellen.

Die E-Mail-Adresse oder Telefonnummer muss eindeutig sein und darf nicht bereits von einem anderen Benutzer verwendet werden. Sie muss nicht bestätigt sein. Nachdem sich der Benutzer mit einer E-Mail-Adresse oder Telefonnummer registriert hat, kann der Benutzer mit dieser E-Mail-Adresse oder Telefonnummer kein neues Konto erstellen. Der Benutzer kann das vorhandene Konto nur wiederverwenden und das Kontopasswort bei Bedarf zurücksetzen. Der Benutzer kann jedoch die E-Mail-Adresse oder Telefonnummer in eine neue E-Mail-Adresse oder Telefonnummer ändern. Wenn die E-Mail-Adresse oder Telefonnummer noch nicht in Gebrauch ist, wird sie zum neuen Benutzernamen.

Anmerkung

Wenn sich ein Benutzer mit einer E-Mail-Adresse als Benutzername registriert, kann er den Benutzernamen zu einer anderen E-Mail-Adresse ändern, jedoch nicht zu einer Telefonnummer. Wenn sich Benutzer mit einer Telefonnummer registrieren, können sie den Benutzernamen zu einer anderen Telefonnummer ändern, jedoch nicht zu einer E-Mail-Adresse.

Führen Sie während der Erstellung des Benutzerpools die folgenden Schritte aus, um eine Registrierung und Anmeldung mit einer E-Mail-Adresse oder Telefonnummer einzurichten.

Konfigurieren Sie einen Benutzerpool für die Registrierung und Anmeldung mit einer E-Mail-Adresse oder Telefonnummer wie folgt

  1. Wechseln Sie zu Amazon Cognito in der AWS Management Console. Wenn Sie von der Konsole dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

  2. Wählen Sie User Pools (Benutzerpools) aus.

  3. Wählen Sie in der rechten oberen Ecke der Seite Create a user pool (Benutzerpool erstellen) aus, um den Assistenten zur Erstellung von Benutzerpools zu starten.

  4. Wählen Sie unter Cognito user pool sign-in options (Anmeldeoptionen für Cognito-Benutzerpool) eine beliebige Kombination von Email (E-Mail-Adresse) und Phone number (Telefonnummer) aus, die die Attribute repräsentiert, mit denen sich der Benutzer anmelden kann.

  5. Wählen Sie Next (Weiter) aus und führen Sie die restlichen Schritte im Assistenten aus.

Anmerkung

Sie müssen die E-Mail-Adresse oder die Telefonnummer nicht als erforderliche Attribute für Ihren Benutzerpool markieren.

So implementieren Sie Option 2 in Ihrer App

  1. Rufen Sie den CreateUserPool API auf, um Ihren Benutzerpool zu erstellen. Setzen Sie den Parameter UserNameAttributes auf phone_number, email oder phone_number | email.

  2. Rufen Sie den an SignUp API und übergeben Sie eine E-Mail-Adresse oder Telefonnummer in den username Parameter vonAPI. Dies API macht Folgendes:

    • Wenn die Zeichenfolge username ein gültiges E-Mail-Adressformat besitzt, füllt der Benutzerpool das Attribut email des Benutzers automatisch mit dem Wert username aus.

    • Wenn die Zeichenfolge username ein gültiges Telefonnummernformat besitzt, füllt der Benutzerpool das Attribut phone_number des Benutzers automatisch mit dem Wert username aus.

    • Wenn das username Zeichenkettenformat nicht im Format E-Mail-Adresse oder Telefonnummer vorliegt, wird eine Ausnahme SignUp API zurückgegeben.

    • Das SignUp API generiert eine persistente Datei UUIDfür Ihren Benutzer und verwendet sie intern als unveränderliches Benutzernamenattribut. Dies UUID hat denselben Wert wie der sub Anspruch im Benutzeridentitätstoken.

    • Wenn die username Zeichenfolge eine E-Mail-Adresse oder Telefonnummer enthält, die bereits verwendet wird, wird eine Ausnahme SignUp API zurückgegeben.

Sie können eine E-Mail-Adresse oder Telefonnummer als Alias anstelle des Benutzernamens für alle verwenden, APIs mit Ausnahme von ListUsersAPI. Wenn Sie ListUsers aufrufen, können Sie nach dem email- oder dem phone_number-Attribut suchen. Wenn Sie nach username suchen, müssen Sie den tatsächlichen Benutzernamen und keinen Alias angeben.

Custom attributes (Benutzerdefinierte Attribute)

Sie können Ihrem Benutzerpool bis zu 50 benutzerdefinierte Attribute hinzufügen. Für die benutzerdefinierten Attribute können Sie eine Mindest- und/oder Höchstlänge festlegen. Die maximale Länge eines benutzerdefinierten Attributs darf jedoch nicht mehr als 2048 Zeichen betragen.

Jedes benutzerdefinierte Attribut hat die folgenden Eigenschaften:

  • Sie können es als String oder Zahl definieren. Amazon Cognito schreibt benutzerdefinierte Attributwerte nur als Strings in das ID-Token.

  • Sie können nicht verlangen, dass Benutzer einen Wert für das Attribut angeben.

  • Sie können es nicht mehr entfernen oder ändern, nachdem Sie es dem Benutzerpool hinzugefügt haben.

  • Die Zeichenlänge des Attributnamens liegt innerhalb des Grenzwerts, den Amazon Cognito akzeptiert. Weitere Informationen finden Sie unter Kontingente in Amazon Cognito.

  • Es kann veränderlich oder unveränderlich sein. Sie können einen Wert nur in ein unveränderliches benutzerdefiniertes Attribut schreiben, wenn Sie einen Benutzer erstellen. Sie können den Wert eines veränderlichen Attributs ändern, wenn Ihr App-Client über Schreibberechtigung für das Attribut verfügt. Weitere Informationen finden Sie unter Attributberechtigungen und -bereiche.

Anmerkung

Im Code und in den Regeleinstellungen für Verwenden der rollenbasierten Zugriffskontrolle ist für benutzerdefinierte Attribute zur Unterscheidung von Standardattributen das Präfix custom: erforderlich.

Sie können auch Entwicklerattribute hinzufügen, wenn Sie Benutzerpools erstellen, und zwar in der SchemaAttributes Eigenschaft von CreateUserPool. Entwicklerattribute verfügen über ein dev:-Präfix. Sie können die Entwicklerattribute eines Benutzers nur mit AWS Anmeldeinformationen ändern. Entwicklerattribute sind eine veraltete Funktion, die Amazon Cognito durch Lese- und Schreibberechtigungen für App-Clients ersetzt hat.

Führen Sie die folgenden Schritte aus, um ein neues benutzerdefiniertes Attribut zu erstellen.

Ein benutzerdefiniertes Attribut mithilfe der Konsole hinzufügen

  1. Gehen Sie zu Amazon Cognito in der AWS Management Console. Wenn Sie von der Konsole dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

  2. Wählen Sie User Pools (Benutzerpools) aus.

  3. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus.

  4. Wählen Sie die Registerkarte Sign-up experience (Anmeldeerlebnis) und im Abschnitt Custom attributes (Benutzerdefinierte Attribute) Add custom attributes (Benutzerdefinierte Attribute hinzufügen) aus.

  5. Geben Sie auf der Seite Add custom attributes (Benutzerdefinierte Attribute hinzufügen) die folgenden Details zu neuen Attributen ein:

    • Geben Sie einen Name (Namen) ein.

    • Wählen Sie als Type (Typ) entweder String (Zeichenfolge) oder Number (Zahl) aus.

    • Geben Sie eine/n Min (minimal) Zeichenfolgelänge oder -Zahlenwert ein.

    • Geben Sie eine/n Max (maximal) Zeichenfolgelänge oder -Zahlenwert ein.

    • Wählen Sie Mutable (Veränderlich) aus, wenn Sie Benutzern die Berechtigung erteilen möchten, den Wert eines benutzerdefinierten Attributs zu ändern, nachdem sie den Anfangswert festgelegt haben.

  6. Wählen Sie Änderungen speichern.

Attributberechtigungen und -bereiche

Für jeden App-Client können Sie Lese- und Schreibberechtigungen für jedes Benutzerattribut festlegen. Auf diese Weise können Sie den Zugriff steuern, den jede App benötigt, um jedes Attribut zu lesen und zu ändern, das Sie für Ihre Benutzer speichern. Beispiel: Sie haben ein benutzerdefiniertes Attribut, das angibt, ob ein Benutzer zahlender Kunde ist oder nicht. Ihre Apps können dieses Attribut möglicherweise sehen, es aber nicht direkt ändern. Stattdessen aktualisieren Sie dieses Attribut mit einem Verwaltungstool oder einem Hintergrundprozess. Sie können Berechtigungen für Benutzerattribute über die Amazon Cognito-Konsole, Amazon Cognito API oder die festlegen. AWS CLI Standardmäßig werden alle neuen benutzerdefinierten Attribute erst verfügbar, wenn Sie Lese- und Schreibberechtigungen dafür einrichten. Wenn Sie einen neuen App-Client erstellen, gewähren Sie Ihrer App standardmäßig Lese- und Schreibberechtigungen für alle Standard- und benutzerdefinierten Attribute. Wenn Sie Ihre App nur auf die Menge an Informationen beschränken möchten, die sie benötigt, weisen Sie Attributen in Ihrer App-Client-Konfiguration bestimmte Berechtigungen zu.

Es hat sich bewährt, Lese- und Schreibberechtigungen für Attribute anzugeben, wenn Sie einen App-Client erstellen. Gewähren Sie Ihrem App-Client Zugriff auf die Mindestanzahl an Benutzerattributen, die Sie für den Betrieb Ihrer Anwendung benötigen.

Anmerkung

DescribeUserPoolClientgibt nur Werte für ReadAttributes und zurückWriteAttributes, wenn Sie andere App-Client-Berechtigungen als die Standardberechtigungen konfigurieren.

So aktualisieren Sie Attributberechtigungen (AWS Management Console)

  1. Gehen Sie zu Amazon Cognito in der AWS Management Console. Wenn Sie von der Konsole dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

  2. Wählen Sie User Pools (Benutzerpools) aus.

  3. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus.

  4. Wählen Sie die Registerkarte App integration (Anwendungsintegration) aus und klicken Sie anschließend im Abschnitt App clients (App-Clients) auf einen App-Client aus der Liste.

  5. Wählen Sie im Abschnitt Attribute read and write permissions (Lese- und Schreibberechtigungen für Attribute) Edit (Bearbeiten) aus.

  6. Konfigurieren Sie auf der Seite Edit attribute read and write permissions (Lese- und Schreibberechtigungen für Attribute bearbeiten) Ihre Lese- und Schreibberechtigungen und wählen Sie anschließend Save changes (Änderungen speichern) aus.

Wiederholen Sie diese Schritte für jeden App-Client, der das benutzerdefinierte Attribut verwendet.

Für jeden App-Client können Sie Attribute als lesbar oder schreibbar markieren. Dies gilt sowohl für Standard- als auch für benutzerdefinierte Attribute. Ihre App kann den Wert von Attributen abrufen, die Sie als lesbar markieren, und den Wert von Attributen festlegen oder ändern, die Sie als schreibbar markieren. Wenn Ihre App versucht, einen Wert für ein Attribut festzulegen, für das sie keine Schreibberechtigung hat, gibt Amazon Cognito NotAuthorizedException zurück. GetUserAnfragen enthalten ein Zugriffstoken mit einem App-Client-Anspruch; Amazon Cognito gibt nur Werte für Attribute zurück, die Ihr App-Client lesen kann. Das ID-Token Ihres Benutzers aus einer App enthält nur Ansprüche, die den lesbaren Attributen entsprechen. Alle App-Clients können für den Benutzerpool erforderliche Attribute schreiben. Sie können den Wert eines Attributs in einer Amazon API Cognito-Benutzerpools-Anfrage nur festlegen, wenn Sie auch einen Wert für alle erforderlichen Attribute angeben, die noch keinen Wert haben.

Benutzerdefinierte Attribute verfügen über unterschiedliche Funktionen für Lese- und Schreibberechtigungen. Sie können sie für den Benutzerpool als veränderbar oder unveränderlich erstellen und sie für jeden App-Client einzeln als Lese- oder Schreibattribute festlegen.

Ein unveränderliches benutzerdefiniertes Attribut kann einmal während der Benutzererstellung aktualisiert werden. Sie können ein unveränderliches Attribut mit den folgenden Methoden auffüllen.

  • SignUp: Ein Benutzer meldet sich mit einem App-Client an, der Schreibzugriff auf ein unveränderliches benutzerdefiniertes Attribut hat. Es wird ein Wert für dieses Attribut angegeben.

  • Anmeldung mit einem Drittanbieter-IdP: Ein Benutzer meldet sich bei einem App-Client an, der Schreibzugriff auf ein unveränderliches benutzerdefiniertes Attribut hat. Ihre Benutzerpoolkonfiguration für den IdP enthält eine Regel, mit der ein bereitgestellter Antrag einem unveränderlichen Attribut zugeordnet wird. Dies ist möglich, aber nicht praktikabel, da sich der Benutzer nur einmal anmelden kann. Bei Anmeldeversuchen nach dem ersten Versuch lehnt Amazon Cognito den Versuch aufgrund der Zuordnungsregel zu einem jetzt nicht schreibbaren Attribut ab.

  • AdminCreateUser: Sie geben einen Wert für ein unveränderliches Attribut an.

Attributberechtigungen mit Geltungsbereichen

In Benutzerpools, die Sie mit einem AWS SDK oderCDK, dem oder dem konfigurieren RESTAPI, können Sie den AWS CLI Lese- oder Schreibzugriff des App-Clients mit dem OIDC Bereich oidc:profile konfigurieren. Das oidc:profile gewährt Lese- oder Schreibzugriff auf die folgenden Standardattribute:

  • name

  • family_name

  • given_name

  • middle_name

  • nickname

  • preferred_username

  • profile

  • picture

  • website

  • gender

  • birthdate

  • zoneinfo

  • locale

Diese Liste enthält die OIDC Standardattribute abzüglich email phone_numbersub,address, und, wie in Abschnitt 2.4 der OIDC Spezifikation definiert. Informationen zu den Bereichen, die Sie Ihren App-Clients zuweisen können, finden Sie unter Bereiche, M2M und APIs mit Ressourcenservern.

Um Ihren App-Client so zu konfigurieren, dass er in die Attribute im oidc:profile Bereich schreibt, legen Sie in einer WriteAttributesCreateUserPoolClientUpdateUserPoolClientAPIOR-Anfrage den Wert auf sowie alle anderen Attribute fest, deren Änderung Sie durch Ihre Anwendung zulassen möchten. oidc:profile Um ebenfalls Lesezugriff auf diese Attribute zu gewähren, erhöhen Sie oidc:profile den Wert von ReadAttributes.

Sie können Attributberechtigungen und -bereiche nach dem Erstellen des Benutzerpools ändern.