Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Grupos de usuarios de Amazon Cognito
Un grupo de usuarios de Amazon Cognito es un directorio de usuarios para la autenticación y autorización de aplicaciones web y móviles. Desde la perspectiva de la aplicación, un grupo de usuarios de Amazon Cognito es un proveedor de identidades (IdP) OpenID Connect (OIDC). Un grupo de usuarios agrega capas de características adicionales para la seguridad, la federación de identidades, la integración de aplicaciones y la personalización de la experiencia del usuario.
Puede, por ejemplo, comprobar que las sesiones de los usuarios provengan de orígenes fiables. Puede combinar el directorio de Amazon Cognito con un proveedor de identidad externo. Con el AWS SDK preferido, puede elegir el modelo de autorización de la API que mejor se adapte a la aplicación. Además, puede agregar funciones de AWS Lambda que modifiquen o revisen el comportamiento predeterminado de Amazon Cognito.
Temas
- Características
- Introducción a los grupos de usuarios
- Autenticación con un grupo de usuarios
- Uso de la API de grupos de usuarios de Amazon Cognito y los puntos de conexión de grupos de usuarios
- Actualización de la configuración del grupo de usuarios
- Configuración y uso de la interfaz de usuario alojada y los puntos de conexión de federación de Amazon Cognito
- Ámbitos de OAuth 2.0 y autorización de API con servidores de recursos
- Agregar inicio de sesión de grupo de usuarios a través de un tercero
- Personalización de flujos de trabajo de grupos de usuarios con desencadenadores de Lambda
- Uso del análisis de Amazon Pinpoint con grupos de usuarios de Amazon Cognito
- Administración de usuarios en el grupo de usuarios
- Configuración de correo electrónico para grupos de usuarios de Amazon Cognito
- Configuración de mensajes SMS para grupos de usuarios de Amazon Cognito
- Uso de tokens con grupos de usuarios
- Acceso a los recursos después de una autenticación correcta con el grupo de usuarios
- Uso de las características de seguridad de los grupos de usuarios de Amazon Cognito
Características
Los grupos de usuarios de Amazon Cognito cuentan con las características siguientes.
Sign-up (Registro)
Los grupos de usuarios de Amazon Cognito cuentan con métodos programáticos, impulsados por el usuario y por el administrador para agregar perfiles de usuario al grupo de usuarios. Los grupos de usuarios de Amazon Cognito admiten los siguientes modelos de registro. Puede usar cualquier combinación de estos modelos en la aplicación.
importante
Si activa el registro de usuarios en el grupo de usuarios, cualquier usuario de Internet podrá crear una cuenta e iniciar sesión en las aplicaciones. No habilite el registro automático en el grupo de usuarios a menos que quiera abrir la aplicación para que el público se registre. Para cambiar esta configuración, actualiza el registro de autoservicio en la pestaña Experiencia de registro de la consola del grupo de usuarios o actualiza el valor de AllowAdminCreateUserOnlyen una CreateUserPoolsolicitud de API. UpdateUserPool
Para obtener información sobre las características de seguridad que puede configurar en los grupos de usuarios, consulte Uso de las características de seguridad de los grupos de usuarios de Amazon Cognito.
-
Los usuarios pueden ingresar la información en la aplicación y crear un perfil de usuario nativo para el grupo de usuarios. Puede realizar operaciones de registro de la API para registrar a los usuarios en el grupo de usuarios. Puede abrir estas operaciones de registro a cualquier persona o puede autorizarlas con un secreto de cliente o credenciales de AWS.
-
Puede redirigir a los usuarios a un IdP de terceros al que puedan autorizar a transmitir la información a Amazon Cognito. Amazon Cognito procesa los tokens de ID de OIDC, los datos
userInfode OAuth 2.0 y las afirmaciones de SAML 2.0 en los perfiles de usuario del grupo de usuarios. Controla los atributos que desea que reciba Amazon Cognito en función de las reglas de mapeo de atributos. -
Puede omitir el registro público o federado y crear usuarios en función del propio origen de datos y esquema. Agregue usuarios directamente en la consola o la API de Amazon Cognito. Importe usuarios desde un archivo CSV. Ejecute una just-in-time AWS Lambda función que busque al nuevo usuario en un directorio existente y complete su perfil de usuario a partir de los datos existentes.
Después de que los usuarios se registren, puede agregarlos a los grupos que Amazon Cognito muestra en los tokens de acceso e ID. También puede enlazar grupos de grupos de usuarios a roles de IAM al pasar el token de ID a un grupo de identidades.
Temas relacionados de
Sign-in (Inicio de sesión)
Amazon Cognito puede ser un directorio de usuarios independiente y proveedor de identidades (IdP) para la aplicación. Los usuarios pueden iniciar sesión con una interfaz de usuario alojada por Amazon Cognito o con su propia interfaz de usuario a través de la API de grupos de usuarios de Amazon Cognito. El nivel de la aplicación que está detrás de la interfaz de usuario personalizada de frontend puede autorizar las solicitudes en el backend con cualquiera de varios métodos para confirmar las solicitudes legítimas.
Para iniciar sesión en los usuarios con un directorio externo, combinado opcionalmente con el directorio de usuarios integrado en Amazon Cognito, puede agregar las siguientes integraciones.
-
Inicie sesión e importe datos de usuarios de consumidores con el inicio de sesión social de OAuth 2.0. Amazon Cognito admite el inicio de sesión con Google, Facebook, Amazon y Apple a través de OAuth 2.0.
-
Inicie sesión e importe datos de usuarios empresariales con el inicio de sesión de SAML y OIDC. También puede configurar Amazon Cognito para aceptar reclamaciones de cualquier proveedor de identidades (IdP) de SAML u OpenID Connect (OIDC).
-
Enlace los perfiles de usuario externos a los perfiles de usuario nativos. Un usuario enlazado puede iniciar sesión con una identidad de usuario de terceros y recibir el acceso que asigne a un usuario en el directorio integrado.
Temas relacionados de
Mi autorización achine-to-machine
Algunas sesiones no son una human-to-machine interacción. Es posible que necesite una cuenta de servicio que pueda autorizar una solicitud a una API mediante un proceso automatizado. Para generar tokens de acceso para la machine-to-machine autorización con los ámbitos de OAuth 2.0, puedes añadir un cliente de aplicación que genere concesiones de credenciales de cliente.
Temas relacionados de
IU alojada
Si no desea crear una interfaz de usuario, puede presentar a los usuarios una interfaz de usuario alojada en Amazon Cognito personalizada. La interfaz de usuario alojada es un conjunto de páginas web para registrarse, iniciar sesión, autenticación multifactor (MFA) y restablecer contraseña. Puede agregar la interfaz de usuario alojada en el dominio existente o usar un identificador de prefijo en un subdominio de AWS.
Temas relacionados de
Seguridad
Los usuarios locales pueden proporcionar un factor de autenticación adicional con un código de un mensaje SMS o una aplicación que genere códigos de autenticación multifactor (MFA). Puede crear mecanismos para configurar y procesar la MFA en la aplicación o puede dejar que la interfaz de usuario alojada la administre. Los grupos de usuarios de Amazon Cognito pueden omitir la MFA cuando los usuarios inician sesión desde dispositivos de confianza.
Si no desea solicitar inicialmente la MFA a los usuarios, puede exigirla de forma condicional. Gracias a las características de seguridad avanzadas, Amazon Cognito puede detectar posibles actividades malintencionadas y solicitar al usuario que configure la MFA o bloquee el inicio de sesión.
Si el tráfico de red al grupo de usuarios puede ser malintencionado, puede monitorearlo y tomar medidas con las ACL web de AWS WAF.
Temas relacionados de
Personalizar la experiencia del usuario
En la mayoría de las etapas del registro, el inicio de sesión o la actualización del perfil de un usuario, puede personalizar la forma en que Amazon Cognito gestiona la solicitud. Con los desencadenadores de Lambda, puede modificar un token de ID o rechazar una solicitud de registro en función de las condiciones personalizadas. Puede crear su propio flujo de autenticación personalizado.
Puede cargar CSS y logotipos personalizados para dar a la interfaz de usuario alojada un aspecto familiar para los usuarios.
Temas relacionados de
Monitoreo y análisis
Los grupos de usuarios de Amazon Cognito registran las solicitudes de la API, incluidas las solicitudes a la interfaz de usuario alojada, en AWS CloudTrail. Puede revisar las métricas de rendimiento de Amazon CloudWatch Logs, insertar registros personalizados CloudWatch con activadores de Lambda y supervisar el volumen de solicitudes de API en la consola de Service Quotas.
También puede registrar los datos del dispositivo y de la sesión de las solicitudes de la API en una campaña de Amazon Pinpoint. Con Amazon Pinpoint, puede enviar notificaciones push desde la aplicación en función del análisis de la actividad de los usuarios.
Temas relacionados de
Integración de los grupos de identidades de Amazon Cognito
La otra mitad de Amazon Cognito son grupos de identidades. Los grupos de identidades proporcionan credenciales que autorizan y monitorean las solicitudes de la API a Servicios de AWS, por ejemplo, Amazon DynamoDB o Amazon S3, de los usuarios. Puede crear políticas de acceso basadas en la identidad que protejan los datos en función de la forma en que clasifique a los usuarios del grupo de usuarios. Los grupos de identidades también pueden aceptar tokens y aserciones SAML 2.0 de diversos proveedores de identidades, independientemente de la autenticación del grupo de usuarios.
Temas relacionados de
