Situaciones comunes de Amazon Cognito - Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Situaciones comunes de Amazon Cognito

En este tema, se describen seis situaciones comunes del uso de Amazon Cognito.

Los dos componentes principales de Amazon Cognito son los grupos de usuarios y los grupos de identidades. Los grupos de usuarios son directorios de usuarios que proporcionan opciones de registro y de inicio de sesión para los usuarios de la aplicación web y la móvil. Los grupos de identidades proporcionan las credenciales de AWS para conceder a los usuarios acceso a otros servicios de AWS.

Un grupo de usuarios es un directorio de usuarios en Amazon Cognito. Los usuarios de la apliación pueden iniciar sesión directamente mediante un grupo de usuarios o federarse mediante un proveedor de identidades (IdP) externo. El grupo de usuarios administra la sobrecarga que supone controlar los tokens que se devuelven del el inicio de sesión social mediante Facebook, Google, Amazon y Apple, y desde los IdPs de OpenID Connect (OIDC) y SAML. Tanto si los usuarios inician sesión directamente o a través de un tercero, todos los miembros del grupo de usuarios tienen un perfil de directorio al que puede obtener acceso a través de un SDK.

Con un grupo de identidades, los usuarios pueden obtener credenciales temporales de AWS para obtener acceso a los servicios de AWS, como Amazon S3 y DynamoDB. Los grupos de identidades admiten usuarios invitados anónimos, así como la federación por medio de proveedores de identidad de terceros.

Autenticar con un grupo de usuarios

Puede permitir que los usuarios se autentiquen con un grupo de usuarios. Los usuarios de la aplicación pueden iniciar sesión directamente mediante un grupo de usuarios o federarse mediante un proveedor de identidades (IdP) externo. El grupo de usuarios administra la sobrecarga que supone controlar los tokens que se devuelven del el inicio de sesión social mediante Facebook, Google, Amazon y Apple, y desde los IdPs de OpenID Connect (OIDC) y SAML.

Tras una autenticación correcta, la aplicación web o móvil recibirá tokens de grupos de usuarios desde Amazon Cognito. Puede utilizar estos tokens para recuperar las credenciales de AWS que permitan a su aplicación obtener acceso a otros servicios de AWS o podría elegir utilizarlos para controlar el acceso a los recursos del lado del servidor o a Amazon API Gateway.

Para obtener más información, consulte Flujo de autenticación de los grupos de usuarios y Uso de tokens con grupos de usuarios.


        Información general sobre la autenticación

Acceso a los recursos del lado del servidor con un grupo de usuarios

Tras un inicio de sesión de grupo de usuarios correcto, la aplicación web o móvil recibirá tokens de grupos de usuarios desde Amazon Cognito. Puede utilizar los tokens para controlar el acceso a los recursos del lado del servidor. También puede crear conjuntos de grupos de usuarios para administrar permisos y representar diferentes tipos de usuarios. Para obtener más información sobre el uso de grupos para controlar el acceso a los recursos, consulte Agregar grupos a un grupo de usuarios.


        Acceso a los recursos del lado del servidor mediante un grupo de usuarios

Después de configurar un dominio para el grupo de usuarios, Amazon Cognito aprovisiona una IU web alojada que le permite agregar páginas de registro e inicio de sesión a la aplicación. Con esta base de OAuth 2.0, puede crear su propio servidor de recursos y permitir que los usuarios obtengan acceso a los recursos protegidos. Para obtener más información, consulte Ámbitos de OAuth 2.0 y autorización de API con servidores de recursos.

Para obtener más información sobre la autenticación de grupos de usuarios, consulte Flujo de autenticación de los grupos de usuarios y Uso de tokens con grupos de usuarios.

Acceso a los recursos con API Gateway y Lambda mediante un grupo de usuarios

Puede habilitar a los usuarios para que accedan a la API a través de API Gateway. API Gateway valida los tokens a partir de una autenticación correcta de grupos de usuarios y los utiliza para conceder acceso a sus usuarios a los recursos, incluidas las funciones de Lambda o su propia API.

Puede utilizar grupos en un grupo de usuarios a fin de controlar permisos con API Gateway al mapear membresías de grupo a roles de IAM. Los grupos a los que pertenece un usuario están incluidos en el token de ID proporcionado por un grupo de usuarios cuando el usuario de la aplicación inicia sesión. Para obtener más información acerca de los conjuntos de grupos de usuarios, consulte Agregar grupos a un grupo de usuarios.

Puede enviar sus tokens de grupo de usuarios con una solicitud a API Gateway para que los verifique una función de Lambda del autorizador de Amazon Cognito. Para obtener más información acerca de API Gateway, consulte Uso de API Gateway con grupos de usuarios de Amazon Cognito.


        Acceso a API Gateway mediante un grupo de usuarios

Acceso a los servicios de AWS con un grupo de usuarios y de identidades

Tras una autenticación correcta mediante el grupo de usuarios, la aplicación web o móvil recibirá tokens de grupos de usuarios desde Amazon Cognito. Puede intercambiarlos por acceso temporal a otros servicios de AWS con un grupo de identidades. Para obtener más información, consulte Acceso a los servicios de AWS utilizando un grupo de identidades después del inicio de sesión y Introducción a los grupos de identidades de Amazon Cognito (identidades federadas).


        Acceso a las credenciales de AWS mediante un grupo de usuarios con un grupo de identidades

Autenticación con un tercero y acceso a los servicios de AWS con un grupo de identidades

Puede habilitar a los usuarios para que obtengan acceso a los servicios de AWS por medio de un grupo de identidades. Un grupo de identidades requiere un token de proveedor de identidad de un usuario que se haya autenticado mediante un proveedor de identidad de terceros (o nada si se trata de un invitado anónimo). A cambio, el grupo de identidades concede credenciales temporales de AWS que puede utilizar para acceder a otros servicios de AWS. Para obtener más información, consulte Introducción a los grupos de identidades de Amazon Cognito (identidades federadas).


        Acceso a las credenciales de AWS mediante un proveedor de identidad de terceros con un grupo de identidades

Acceso a los recursos de AWS AppSync con Amazon Cognito

Puede conceder acceso a los usuarios a los recursos de AWS AppSync con tokens de una autenticación de grupo de usuarios de Amazon Cognito correcta. Para obtener más información, consulte la autorización de AMAZON_COGNITO_USER_POOLS en la Guía para desarrolladores de AWS AppSync.

También puede firmar las solicitudes a la API de AWS AppSync GraphQL con las credenciales de IAM que reciba de un grupo de identidades. Consulte Autorización AWS_IAM.


        Acceso a recursos de AWS AppSync mediante un grupo de usuarios o de identidades