Grupos de usuarios de Amazon Cognito - Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Grupos de usuarios de Amazon Cognito

Un grupo de usuarios de Amazon Cognito es un directorio de usuarios para la autenticación y autorización de aplicaciones web y móviles. Desde la perspectiva de la aplicación, un grupo de usuarios de Amazon Cognito es un proveedor de identidades (IdP) OpenID Connect (OIDC). Un grupo de usuarios agrega capas de características adicionales para la seguridad, la federación de identidades, la integración de aplicaciones y la personalización de la experiencia del usuario.

Puede, por ejemplo, comprobar que las sesiones de los usuarios provengan de orígenes fiables. Puede combinar el directorio de Amazon Cognito con un proveedor de identidad externo. Con el AWS SDK que prefieras, puedes elegir el modelo de autorización de API que mejor se adapte a tu aplicación. Además, puede agregar funciones de  AWS Lambda  que modifiquen o revisen el comportamiento predeterminado de Amazon Cognito.

Información general sobre la autenticación

Características

Los grupos de usuarios de Amazon Cognito cuentan con las características siguientes.

Sign-up (Registro)

Los grupos de usuarios de Amazon Cognito cuentan con métodos programáticos, impulsados por el usuario y por el administrador para agregar perfiles de usuario al grupo de usuarios. Los grupos de usuarios de Amazon Cognito admiten los siguientes modelos de registro. Puede usar cualquier combinación de estos modelos en la aplicación.

importante

Si activa el registro de usuarios en el grupo de usuarios, cualquier usuario de Internet podrá crear una cuenta e iniciar sesión en las aplicaciones. No habilite el registro automático en el grupo de usuarios a menos que quiera abrir la aplicación para que el público se registre. Para cambiar esta configuración, actualiza el registro de autoservicio en la pestaña Experiencia de registro de la consola del grupo de usuarios o actualiza el valor de una solicitud AllowAdminCreateUserOnlyde API CreateUserPool. UpdateUserPool

Para obtener información sobre las características de seguridad que puede configurar en los grupos de usuarios, consulte Uso de las características de seguridad de los grupos de usuarios de Amazon Cognito.

  1. Los usuarios pueden ingresar la información en la aplicación y crear un perfil de usuario nativo para el grupo de usuarios. Puede realizar operaciones de registro de la API para registrar a los usuarios en el grupo de usuarios. Puedes abrir estas operaciones de registro a cualquier persona o puedes autorizarlas con un secreto de cliente o credenciales. AWS

  2. Puede redirigir a los usuarios a un IdP de terceros al que puedan autorizar a transmitir la información a Amazon Cognito. Amazon Cognito procesa los tokens de ID de OIDC, los datos userInfo de OAuth 2.0 y las afirmaciones de SAML 2.0 en los perfiles de usuario del grupo de usuarios. Controla los atributos que desea que reciba Amazon Cognito en función de las reglas de mapeo de atributos.

  3. Puede omitir el registro público o federado y crear usuarios en función del propio origen de datos y esquema. Agregue usuarios directamente en la consola o la API de Amazon Cognito. Importe usuarios desde un archivo CSV. Ejecute una just-in-time AWS Lambda función que busque al nuevo usuario en un directorio existente y complete su perfil de usuario a partir de los datos existentes.

Después de que los usuarios se registren, puede agregarlos a los grupos que Amazon Cognito muestra en los tokens de acceso e ID. También puede enlazar grupos de grupos de usuarios a roles de IAM al pasar el token de ID a un grupo de identidades.

Sign-in (Inicio de sesión)

Amazon Cognito puede ser un directorio de usuarios independiente y proveedor de identidades (IdP) para la aplicación. Los usuarios pueden iniciar sesión con una interfaz de usuario alojada por Amazon Cognito o con su propia interfaz de usuario a través de la API de grupos de usuarios de Amazon Cognito. El nivel de la aplicación que está detrás de la interfaz de usuario personalizada de frontend puede autorizar las solicitudes en el backend con cualquiera de varios métodos para confirmar las solicitudes legítimas.

Para iniciar sesión en los usuarios con un directorio externo, combinado opcionalmente con el directorio de usuarios integrado en Amazon Cognito, puede agregar las siguientes integraciones.

  1. Inicie sesión e importe datos de usuarios de consumidores con el inicio de sesión social de OAuth 2.0. Amazon Cognito admite el inicio de sesión con Google, Facebook, Amazon y Apple a través de OAuth 2.0.

  2. Inicie sesión e importe datos de usuarios empresariales con el inicio de sesión de SAML y OIDC. También puede configurar Amazon Cognito para aceptar reclamaciones de cualquier proveedor de identidades (IdP) de SAML u OpenID Connect (OIDC).

  3. Enlace los perfiles de usuario externos a los perfiles de usuario nativos. Un usuario enlazado puede iniciar sesión con una identidad de usuario de terceros y recibir el acceso que asigne a un usuario en el directorio integrado.

Mi autorización achine-to-machine

Algunas sesiones no son una human-to-machine interacción. Es posible que necesite una cuenta de servicio que pueda autorizar una solicitud a una API mediante un proceso automatizado. Para generar tokens de acceso para la machine-to-machine autorización con los ámbitos de OAuth 2.0, puedes añadir un cliente de aplicación que genere concesiones de credenciales de cliente.

IU alojada

Si no desea crear una interfaz de usuario, puede presentar a los usuarios una interfaz de usuario alojada en Amazon Cognito personalizada. La interfaz de usuario alojada es un conjunto de páginas web para registrarse, iniciar sesión, autenticación multifactor (MFA) y restablecer contraseña. Puedes añadir la interfaz de usuario alojada a tu dominio existente o usar un identificador de prefijo en un subdominio. AWS

Seguridad

Los usuarios locales pueden proporcionar un factor de autenticación adicional con un código de un mensaje SMS o una aplicación que genere códigos de autenticación multifactor (MFA). Puede crear mecanismos para configurar y procesar la MFA en la aplicación o puede dejar que la interfaz de usuario alojada la administre. Los grupos de usuarios de Amazon Cognito pueden omitir la MFA cuando los usuarios inician sesión desde dispositivos de confianza.

Si no desea solicitar inicialmente la MFA a los usuarios, puede exigirla de forma condicional. Gracias a las características de seguridad avanzadas, Amazon Cognito puede detectar posibles actividades malintencionadas y solicitar al usuario que configure la MFA o bloquee el inicio de sesión.

Si el tráfico de red hacia tu grupo de usuarios puede ser malintencionado, puedes supervisarlo y tomar medidas con las ACL AWS WAF web.

Personalizar la experiencia del usuario

En la mayoría de las etapas del registro, el inicio de sesión o la actualización del perfil de un usuario, puede personalizar la forma en que Amazon Cognito gestiona la solicitud. Con los desencadenadores de Lambda, puede modificar un token de ID o rechazar una solicitud de registro en función de las condiciones personalizadas. Puede crear su propio flujo de autenticación personalizado.

Puede cargar CSS y logotipos personalizados para dar a la interfaz de usuario alojada un aspecto familiar para los usuarios.

Monitoreo y análisis

Los grupos de usuarios de Amazon Cognito registran las solicitudes de la API, incluidas las solicitudes a la interfaz de usuario alojada, en  AWS CloudTrail. Puede revisar las métricas de rendimiento de Amazon CloudWatch Logs, insertar registros personalizados CloudWatch con activadores de Lambda y supervisar el volumen de solicitudes de API en la consola de Service Quotas.

También puede registrar los datos del dispositivo y de la sesión de las solicitudes de la API en una campaña de Amazon Pinpoint. Con Amazon Pinpoint, puede enviar notificaciones push desde la aplicación en función del análisis de la actividad de los usuarios.

Integración de los grupos de identidades de Amazon Cognito

La otra mitad de Amazon Cognito son grupos de identidades. Los grupos de identidades proporcionan credenciales que autorizan y supervisan las solicitudes de API de sus usuarios a Servicios de AWS, por ejemplo, Amazon DynamoDB o Amazon S3. Puede crear políticas de acceso basadas en la identidad que protejan los datos en función de la forma en que clasifique a los usuarios del grupo de usuarios. Los grupos de identidades también pueden aceptar tokens y aserciones SAML 2.0 de diversos proveedores de identidades, independientemente de la autenticación del grupo de usuarios.