Configuración de políticas para la creación de usuarios - Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de políticas para la creación de usuarios

Su grupo de usuarios puede permitir que los usuarios se registren o puede crearlos como administrador. También puede controlar qué parte del proceso de comprobación y confirmación tras el registro queda en manos de sus usuarios. Por ejemplo, es posible que desee revisar los registros y aceptarlos en función de un proceso de validación externo. Esta configuración, o política de creación de usuarios por parte del administrador, también establece el tiempo que pasará antes de que un usuario ya no pueda confirmar su cuenta de usuario.

Amazon Cognito puede satisfacer las necesidades de sus clientes públicos como plataforma de gestión de acceso e identidad de los clientes (CIAM) para su software. Un grupo de usuarios que acepta el registro y tiene un cliente de aplicaciones, con o sin una interfaz de usuario alojada, crea un perfil de usuario para cualquier usuario de Internet que conozca su ID de cliente de aplicación, visible públicamente, y solicite registrarse. Un perfil de usuario registrado puede recibir tokens de identidad y acceso, así como acceder a los recursos que haya autorizado para su aplicación. Antes de activar el registro en su grupo de usuarios, revise sus opciones y asegúrese de que la configuración cumpla con sus estándares de seguridad. Configure con cuidado Habilitar el registro automático y AllowAdminCreateUserOnly, tal como se describe en los siguientes procedimientos.

AWS Management Console

La pestaña Experiencia de inicio de sesión de su grupo de usuarios y el paso Configurar la experiencia de registro del asistente de creación de grupos de usuarios contienen algunos de los ajustes para el registro y la creación administrativa de usuarios en su grupo de usuarios.

Para configurar la experiencia de registro

  1. En Verificación y confirmación asistidas por Cognito, elija si desea Permitir que Cognito envíe mensajes automáticamente para verificar y confirmar. Con esta configuración habilitada, Amazon Cognito envía un mensaje de correo electrónico o mensaje SMS a los nuevos usuarios con un código que deben presentar a su grupo de usuarios. De este modo, se confirma que son los propietarios de la dirección de correo electrónico o el número de teléfono, se establece el atributo equivalente como verificado y se confirma la cuenta de usuario para el inicio de sesión. Los Atributos para verificar que elija determinan los métodos de entrega y los destinos de los mensajes de verificación.

  2. La verificación de los cambios en los atributos no es importante a la hora de crear usuarios, pero está relacionada con la verificación de los atributos. Puede permitir que los usuarios que hayan cambiado sus atributos de inicio de sesión, pero aún no los hayan verificado, continúen iniciando sesión con su nuevo valor de atributo o con el original. Para obtener más información, consulte Verificación al cambiar los usuarios su correo electrónico o su número de teléfono.

  3. Los atributos obligatorios muestran los atributos a los que se debe proporcionar un valor para que un usuario pueda registrarse o se puede crear un usuario. Solo puede establecer los atributos necesarios en el asistente de creación de grupos de usuarios.

  4. Los atributos personalizados son importantes para el proceso de creación y registro de usuarios, ya que solo se puede establecer un valor para los atributos personalizados inmutables al crear un usuario por primera vez. Para obtener más información sobre atributos personalizados, consulte Custom attributes (Atributos personalizados).

  5. En Registro de autoservicio, seleccione Permitir el registro automático si desea que los usuarios puedan generar una nueva cuenta con la API de SignUp no autenticada. Si deshabilita el registro automático, solo podrá crear nuevos usuarios como administrador, en la consola de Amazon Cognito o con solicitudes de API de AdminCreateUser. En un grupo de usuarios en el que el registro automático está inactivo, las solicitudes de la API de SignUp devuelven NotAuthorizedException y la UI alojada no muestra ningún Registro.

En el caso de los grupos de usuarios en los que planea crear usuarios como administrador, puede configurar la duración de sus contraseñas temporales en la pestaña Experiencia de inicio de sesión, en Contraseñas temporales establecidas por los administradores que caducan en.

Otro elemento importante de la creación de usuarios como administrador es el mensaje de invitación. Cuando crea un usuario nuevo, Amazon Cognito le envía un mensaje con un enlace a su aplicación para que pueda iniciar sesión por primera vez. Personalice esta plantilla de mensaje en la pestaña Mensajería, en Plantillas de mensaje.

Puede configurar clientes de aplicaciones confidenciales, normalmente aplicaciones web, con un secreto de cliente que impida el registro sin el secreto de cliente de la aplicación. Como práctica recomendada de seguridad, no distribuya los secretos de los clientes de aplicaciones en clientes de aplicaciones públicos, normalmente aplicaciones móviles. Puede crear clientes de aplicaciones con secretos de cliente en la pestaña Integración de aplicaciones de la consola de Amazon Cognito.

Amazon Cognito user pools API

Puede configurar mediante programación los parámetros para la creación de usuarios en un grupo de usuarios en una solicitud de la API CreateUserPool o UpdateUserPool.

El elemento AdminCreateUserConfig establece los valores de las siguientes propiedades de un grupo de usuarios.

  1. Habilitación de registro de autoservicio

  2. El mensaje de invitación que se envía a los nuevos usuarios creados por el administrador

El siguiente ejemplo, cuando se añade a un cuerpo completo de solicitud de la API, establece un grupo de usuarios con el registro de autoservicio inactivo y un correo electrónico de invitación básico.

"AdminCreateUserConfig": { 
      "AllowAdminCreateUserOnly": true,
      "InviteMessageTemplate": { 
         "EmailMessage": "Your username is {username} and temporary password is {####}.",
         "EmailSubject": "Welcome to ExampleApp",
         "SMSMessage": "Your username is {username} and temporary password is {####}."
      }
   }

Los siguientes parámetros adicionales de una solicitud de API CreateUserPool o UpdateUserPool rigen la creación de nuevos usuarios.

AutoVerifiedAttributes

Los atributos, direcciones de correo electrónico o números de teléfono a los que desea enviar automáticamente un mensaje al registrar un nuevo usuario.

Políticas

La política de contraseñas del grupo de usuarios.

Esquema

Los atributos personalizados del grupo de usuarios. Son importantes para el proceso de creación y registro de usuarios, ya que solo se puede establecer un valor para los atributos personalizados inmutables al crear un usuario por primera vez.

Este parámetro también establece los atributos necesarios para el grupo de usuarios. El texto siguiente, cuando se inserta en el elemento Schema de un cuerpo completo de solicitud de API, establece el atributo email según sea necesario.

{
            "Name": "email",
            "Required": true
}