Custom pool attributes ( - Amazon Cognito
Atributos estándarNombres de usuario y nombres de usuario preferidosPersonalización de los atributos de inicio de sesiónCustom attributes (Atributos personalizados)Permisos y ámbitos de los atributos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Custom pool attributes (

Los atributos son fragmentos de información de usuarios individuales, como su nombre, la dirección de correo electrónico o su número de teléfono, que ayudan a identificarlos. Los grupos de usuarios nuevos tienen un conjunto de atributos estándar predeterminados. También puede añadir atributos personalizados a la definición de su grupo de usuarios en AWS Management Console. En este tema se describen estos atributos en detalle y se le ofrecen consejos sobre cómo configurar el grupo de usuarios.

No almacene toda la información de los usuarios en atributos. Por ejemplo, guarda los datos de los usuarios que cambien con frecuencia, como las puntuaciones en juegos o las estadísticas de uso, en un almacén de datos independiente, como Amazon Cognito Sync o Amazon DynamoDB.

nota

Algunos documentos y estándares hacen referencia a los atributos como miembros.

Atributos estándar

Amazon Cognito asigna a todos los usuarios un conjunto de atributos estándar en función de la OpenID Connect specification. De forma predeterminada, los valores de atributo estándar y personalizados pueden tener un máximo de 2048 caracteres, aunque algunos valores de atributo tienen restricciones de formato.

Los atributos estándar son:

  • name

  • family_name

  • given_name

  • middle_name

  • nickname

  • preferred_username

  • profile

  • picture

  • website

  • gender

  • birthdate

  • zoneinfo

  • locale

  • updated_at

  • address

  • email

  • phone_number

  • sub

A excepción de sub, los atributos estándar son opcionales de forma predeterminada para todos los usuarios. Para que un atributo sea obligatorio, durante el proceso de creación del grupo de usuarios, seleccione laObligatorioLa casilla de verificación situada junto al atributo. Amazon Cognito asigna un valor de identificador de usuario único al atributo sub de cada usuario. Solo se pueden verificar los atributos email y phone_number.

Los atributos estándar tienen propiedades predefinidas que puede ver en el SchemaAttributes parámetro de una DescribeUserPool APIrespuesta. Puede establecer valores personalizados para estas propiedades de atributo, como el tipo de datos, la mutabilidad y las restricciones de longitud. Para modificar las propiedades de los atributos estándar, defina sus valores personalizados en el parámetro CreateUserPool Schema. El esquema también es el lugar donde se establecen los atributos necesarios. No puede modificar las propiedades de los atributos estándar al crear grupos de usuarios en la consola de Amazon Cognito.

nota

Cuando un atributo estándar se marca como Required (Obligatorio), el usuario no puede registrarse, salvo que indique un valor para el atributo. Para crear usuarios y no proporcionar valores para los atributos obligatorios, los administradores pueden usar el AdminCreateUserAPI. Después de crear un grupo de usuarios, no puede cambiar un atributo de obligatorio a no obligatorio y viceversa.

Detalles de atributos estándar y restricciones de formato
birthdate

El valor debe ser una fecha válida de 10 caracteres con el formato YYYY -MM-DD.

email

Los usuarios y los administradores pueden verificar los valores de las direcciones de correo electrónico.

Un administrador con Cuenta de AWS los permisos adecuados puede cambiar la dirección de correo electrónico del usuario y también marcarla como verificada. Marque una dirección de correo electrónico como verificada con el comando AdminUpdateUserAttributesAPIo admin-update-user-attributes AWS Command Line Interface (AWS CLI). Este comando permite al administrador cambiar el atributo email_verified a true. También puede editar un usuario en la pestaña Usuarios del AWS Management Console para marcar una dirección de correo electrónico como verificada.

El valor debe ser una cadena de dirección de correo electrónico válida que siga el formato de correo electrónico estándar con el símbolo @ y el dominio, con una longitud máxima de 2048 caracteres.

phone_number

El usuario debe proporcionar un número de teléfono si la SMS autenticación multifactorial (MFA) está activa. Para obtener más información, consulte Añadir MFA a un grupo de usuarios.

Los usuarios y los administradores pueden verificar los valores de números de teléfono.

Un administrador con Cuenta de AWS los permisos adecuados puede cambiar el número de teléfono del usuario y también marcarlo como verificado. Marque un número de teléfono como verificado con el admin-update-user-attributes AWS CLI comando AdminUpdateUserAttributesAPIo. Este comando permite al administrador cambiar el atributo phone_number_verified a true. También puede editar un usuario en la pestaña Usuarios AWS Management Console para marcar un número de teléfono como verificado.

importante

Los números de teléfono deben cumplir con las reglas de formato siguientes: deben comenzar por un signo más (+) seguido inmediatamente por el código de país. Un número de teléfono solo puede contener el signo + y dígitos. Elimine cualquier otro carácter dentro del número de teléfono como, por ejemplo, paréntesis, espacios o guiones (-) antes de enviar el valor al servicio. Por ejemplo, un número de teléfono de Estados Unidos debe tener este formato: +14325551212.

preferred_username

Puede seleccionar preferred_username según sea necesario o como alias, pero no ambas opciones. Si preferred_username se trata de un alias, puede realizar una solicitud a la UpdateUserAttributesAPIoperación y añadir el valor del atributo después de confirmar al usuario.

sub

Indexe y busque los usuarios en función del atributo sub. El atributo sub es un identificador de usuario único dentro de cada grupo de usuarios. Los usuarios pueden cambiar atributos como phone_number y email. El atributo sub tiene un valor fijo. Para obtener más información sobre cómo encontrar a los usuarios, consulte Gestión y búsqueda de cuentas de usuario.

Ver atributos obligatorios

Utilice el siguiente procedimiento para ver los atributos obligatorios de un grupo de usuarios determinado.

nota

No puede cambiar los atributos obligatorios una vez que se haya creado el grupo de usuarios.

Para ver los atributos obligatorios

  1. Vaya a Amazon Cognito en. AWS Management Console Si la consola se lo pide, introduzca sus credenciales. AWS

  2. Elija User Pools (Grupos de usuarios).

  3. Elija en la lista un usuario existente.

  4. Elija la pestaña Sign-up experience (Experiencia de inscripción).

  5. Consulte en la sección Atributos obligatorios qué atributos son obligatorios en el grupo de usuarios.

Nombres de usuario y nombres de usuario preferidos

El valor username es un atributo independiente y no es el mismo que el del atributo name. Cada usuario tiene un atributo username. Amazon Cognito genera automáticamente un nombre de usuario para los usuarios federados. Debe proporcionar un atributo username para crear un usuario local en el directorio de Amazon Cognito. Después de crear un usuario, no puede cambiar el valor del atributo username.

Los desarrolladores pueden utilizar el atributo preferred_username para dar a los usuarios un nombre de usuario que estos puedan cambiar. Para obtener más información, consulte Personalización de los atributos de inicio de sesión.

Si la aplicación no exige un nombre de usuario, no tiene que pedir al usuario que proporcione uno. La aplicación puede crear un nombre de usuario único para los usuarios en segundo plano. Esto es útil si, por ejemplo, quiere que los usuarios se registren e inicien sesión con una dirección de correo electrónico y una contraseña. Para obtener más información, consulte Personalización de los atributos de inicio de sesión.

El username debe ser único en el grupo de usuarios. Si bien los valores username pueden volver a utilizarse, solo es posible hacerlo después de haberse eliminado y ya no se estén usando. Para obtener información sobre las restricciones de cadena de los username atributos, consulte la propiedad username de una SignUpAPIsolicitud.

Personalización de los atributos de inicio de sesión

Al crear un grupo de usuarios, puede configurar los atributos de nombre de usuario si desea que los usuarios puedan registrarse e iniciar sesión con una dirección de correo electrónico o un número de teléfono como nombre de usuario. También puede establecer atributos de alias para dar a los usuarios la opción de incluir varios atributos cuando se registren y, a continuación, iniciar sesión con un nombre de usuario, un nombre de usuario preferido, una dirección de correo electrónico o un número de teléfono.

importante

Una vez que se haya creado el grupo de usuarios, no se podrá cambiar esta opción.

Cómo elegir entre atributos de alias y atributos de nombre de usuario

Su requisito Atributos de alias Atributos de nombre de usuario
Los usuarios tienen varios atributos de inicio de sesión Sí¹ No²
Los usuarios deben verificar la dirección de correo electrónico o el número de teléfono antes de poder iniciar sesión con ellos No
Registra a los usuarios con direcciones de correo electrónico o números de teléfono duplicados y evita UsernameExistsException errores³ No
Puede asignar el mismo valor de atributo de dirección de correo electrónico o número de teléfono a más de un usuario Sí⁴ No

¹ Los atributos de inicio de sesión disponibles son: nombre de usuario, dirección de correo electrónico, número de teléfono y nombre de usuario preferido.

² Pueden iniciar sesión con la dirección de correo electrónico o con el número de teléfono.

³ El grupo de usuarios no genera errores UsernameExistsException cuando los usuarios se registran con direcciones de correo electrónico o números de teléfono potencialmente duplicados, pero sin nombre de usuario. Este comportamiento es independiente de Evite errores de existencia del nombre de usuario, que se aplica a las operaciones de inicio de sesión, pero no a las de registro.

⁴ Solo el último usuario que haya verificado el atributo podrá iniciar sesión con él.

Puede activar los alias si quiere que los usuarios tengan la opción de elegir ingresar el nombre de usuario u otros valores de atributos al iniciar sesión. De forma predeterminada, los usuarios inician sesión con su nombre de usuario y una contraseña. El nombre de usuario es un valor fijo que los usuarios no pueden cambiar. Si marca un atributo como alias, los usuarios pueden iniciar sesión con dicho atributo en vez de usar el nombre de usuario. Los atributos de dirección de correo electrónico, número de teléfono y nombre de usuario preferido pueden marcarse como alias. Por ejemplo, si el correo electrónico y el teléfono se seleccionan como alias de un grupo de usuarios, los usuarios de dicho grupo de usuarios pueden iniciar sesión utilizando el nombre de usuario, la dirección de correo electrónico o el número de teléfono, junto con la contraseña.

Para elegir los atributos de alias, seleccione User name (Nombre de usuario) y al menos una opción de inicio de sesión adicional al crear su grupo de usuarios.

nota

Cuando configura el grupo de usuarios para que no tenga en cuenta el uso de mayúsculas o minúsculas, un usuario puede usar minúsculas o mayúsculas al registrarse o iniciar sesión con su alias. Para obtener más información, consulte CreateUserPoolla referencia de grupos API de usuarios de Amazon Cognito.

Si selecciona la dirección de correo electrónico como alias, Amazon Cognito no aceptará un nombre de usuario que coincida con un formato de dirección de correo electrónico válido. Del mismo modo, si selecciona el número de teléfono como alias, Amazon Cognito no aceptará un nombre de usuario para ese grupo de usuarios que coincida con un formato de número de teléfono válido.

nota

Los valores de alias tienen que ser únicos en un grupo de usuarios. Si se configura un alias para una dirección de correo electrónico o un número de teléfono, el valor proporcionado puede estar en estado verificado solo en una cuenta. Durante el registro, si el usuario proporciona una dirección de correo electrónico o un número de teléfono como valor de alias y otro usuario ya ha utilizado ese valor de alias, el registro se realiza correctamente. No obstante, cuando el usuario intente confirmar la cuenta con ese correo electrónico (o ese número de teléfono) y especifique el código válido, devolverá un error AliasExistsException. El error indica al usuario que ya existe una cuenta con ese correo electrónico (o ese número de teléfono). En este punto, el usuario puede desistir de crear una cuenta nueva e intentar restablecer la contraseña de la cuenta antigua. Si el usuario sigue creando la nueva cuenta, la aplicación debe llamarla ConfirmSignUp API con la forceAliasCreation opción. ConfirmSignUpwith forceAliasCreation mueve el alias de la cuenta anterior a la cuenta recién creada y marca el atributo como no verificado en la cuenta anterior.

Los números de teléfono y las direcciones de correo electrónico pasan a ser alias activos de los usuarios únicamente cuando estos verifican los números de teléfono y las direcciones de correo electrónico. Recomendamos que elija la verificación automática de las direcciones de correo electrónico y los números de teléfono si los usa como alias.

Elija atributos de alias para evitar errores UsernameExistsException en los atributos de dirección de correo electrónico y número de teléfono cuando sus usuarios se registren.

Active el atributo preferred_username para que el usuario pueda cambiar el nombre de usuario que utiliza para iniciar sesión mientras su valor de atributo username no cambie. Si desea habilitar esta experiencia de usuario, envíe el nuevo valor de username como preferred_username y elija preferred_username como alias. Esto permitirá a los usuarios iniciar sesión con el valor nuevo que han especificado. Si se ha seleccionado preferred_username como alias, el usuario puede proporcionar el valor solo cuando confirma la cuenta. Este valor no se puede proporcionar en el momento de registro.

Cuando el usuario se registra con un nombre de usuario, usted puede elegir si puede iniciar sesión con uno o más de los alias siguientes.

  • Dirección de correo electrónico verificada

  • Número de teléfono verificado

  • Nombre de usuario preferido

Los usuarios pueden cambiar estos alias después de registrarse.

importante

Si el grupo de usuarios admite el inicio de sesión con alias y desea autorizar o buscar a un usuario, no lo identifique por ninguno de sus atributos de inicio de sesión. El identificador de usuario de valor fijo sub es el único indicador coherente de la identidad del usuario.

Incluya los siguientes pasos al crear el grupo de usuarios para que los usuarios puedan iniciar sesión con un alias.

Para configurar un grupo de usuarios para iniciar de sesión con un nombre de usuario preferido

  1. Diríjase a Amazon Cognito en la AWS Management Console. Si la consola se lo pide, introduzca sus credenciales. AWS

  2. ElegirGrupos de usuarios de.

  3. En la esquina superior derecha de la página, elija Create a User Pool (Crear un grupo de usuarios).

  4. EnConfigurar la experiencia de inicio de sesión, elige la identidadTipos de proveedoresque desea asociar a su grupo de usuarios.

  5. En Cognito user pool sign-in options (Opciones de inicio de sesión del grupo de usuarios de Cognito), elija cualquier combinación de User name (Nombre de usuario), Email (Correo electrónico) y Phone number (Número de teléfono).

  6. En Requisitos para nombre de usuario, elija Permitir a los usuarios iniciar sesión con un nombre de usuario preferido para que los usuarios puedan establecer un nombre de usuario alternativo para iniciar sesión.

  7. Elija Next (Siguiente) y, a continuación, complete todos los pasos del asistente.

Puede elegir si el usuario solo puede registrarse con una dirección de correo electrónico, solo con un número de teléfono o con cualquiera de estas dos opciones cuando este se registra con una dirección de correo electrónico o un número de teléfono como nombre de usuario.

Para elegir los atributos de nombre de usuario, no seleccione Nombre de usuario como opción de inicio de sesión cuando cree el grupo de usuarios.

El correo electrónico o el número de teléfono deben ser únicos y no pueden estar siendo utilizados por otro usuario. No se tiene que verificar. Después de que el usuario se haya registrado con un correo electrónico o un número de teléfono, no podrá crear una cuenta con el mismo correo electrónico o con el mismo número de teléfono, solo podrá reutilizar la cuenta existente (y restablecer la contraseña si es necesario). El usuario solo puede reutilizar la cuenta existente y restablecer la contraseña de la cuenta, si esto fuera necesario. No obstante, el usuario puede cambiar la dirección de correo electrónico o el número de teléfono por otro nuevo. Si la dirección de correo electrónico o el número de teléfono no se están usando, pasará a ser el nuevo nombre de usuario.

nota

Si un usuario se registra con una dirección de correo electrónico como nombre de usuario, puede cambiarlo por otra dirección de correo electrónico, pero no por un número de teléfono. Si se registra con un número de teléfono, puede cambiar el nombre de usuario por otro número de teléfono, pero no por una dirección de correo electrónico.

Siga estos pasos a la hora de crear el grupo de usuarios para configurar el registro y el inicio de sesión con una dirección de correo electrónico o con un número de teléfono.

Para configurar un grupo de usuarios para registrarse e iniciar sesión con un correo electrónico o un número de teléfono

  1. Diríjase a Amazon Cognito en la AWS Management Console. Si la consola se lo pide, introduzca sus credenciales. AWS

  2. ElegirGrupos de usuarios de.

  3. En la esquina superior derecha de la página, elija Create a User Pool (Crear un grupo de usuarios).

  4. En Cognito user pool sign-in options (Opciones de inicio de sesión del grupo de usuarios de Cognito), elija cualquier combinación de Email (Correo electrónico) y Phone number (Número de teléfono) que represente los atributos de alias que el usuario puede usar para iniciar sesión.

  5. Elija Next (Siguiente) y, a continuación, complete los pasos restantes del asistente.

nota

No tiene que marcar la dirección de correo electrónico o el número de teléfono como atributos obligatorios para el grupo de usuarios.

Para implementar la opción 2 en la aplicación

  1. Llama al CreateUserPool API para crear tu grupo de usuarios. Establezca el parámetro UserNameAttributes en phone_number, email o phone_number | email.

  2. Llama al SignUp API y pasa una dirección de correo electrónico o un número de teléfono en el username parámetro delAPI. Esto API hace lo siguiente:

    • Si la cadena username tiene un formato de correo electrónico válido, el grupo de usuarios rellena automáticamente el atributo email del usuario con el valor username.

    • Si la cadena username tiene un formato de número de teléfono válido, el grupo de usuarios rellena automáticamente el atributo phone_number del usuario con el valor username.

    • Si el formato de username cadena no tiene el formato de dirección de correo electrónico o número de teléfono, SignUp API devuelve una excepción.

    • SignUpAPIGenera un persistente UUIDpara tu usuario y lo usa internamente como atributo de nombre de usuario inmutable. UUIDTiene el mismo valor que la sub afirmación del token de identidad del usuario.

    • Si la username cadena contiene una dirección de correo electrónico o un número de teléfono que ya está en uso, SignUp API devuelve una excepción.

Puede utilizar una dirección de correo electrónico o un número de teléfono como alias en lugar del nombre de usuario en todos los APIs casos, excepto en ListUsersAPI. Cuando llama a ListUsers, puede buscar por el atributo email o el atributo phone_number. Si busca por username, debe proporcionar el nombre de usuario real, no un alias.

Custom attributes (Atributos personalizados)

Puede añadir hasta 50 atributos personalizados a un grupo de usuarios. Puede especificar la longitud mínima o máxima de los atributos personalizados. Sin embargo, la longitud máxima de ningún atributo personalizado puede superar los 2048 caracteres.

Cada atributo personalizado incluye las siguientes características:

  • Puede definirlo como cadena o como número. Amazon Cognito escribe valores de atributos personalizados en el token de ID solo como cadenas.

  • No puede exigir que los usuarios proporcionen un valor para el atributo.

  • No puede eliminarlo ni cambiarlo después de agregarlo al grupo de usuarios.

  • La longitud de caracteres del nombre de atributo se encuentra dentro del límite aceptable por parte de Amazon Cognito. Para obtener más información, consulte Cuotas en Amazon Cognito.

  • Puede ser mutable o inmutable. Solo se puede escribir un valor en un atributo inmutable la primera vez que se crea un usuario. Puede cambiar el valor de un atributo mutable si el cliente de la aplicación tiene permiso de escritura para el atributo. Para obtener más información, consulte Permisos y ámbitos de los atributos.

nota

En el código y en la configuración de reglas para Uso del control de acceso basado en roles, los atributos personalizados han de llevar el prefijo custom: para diferenciarse de los atributos estándar.

También puede añadir atributos de desarrollador al crear grupos de usuarios, en la SchemaAttributes propiedad de CreateUserPool. Los atributos del desarrollador tienen un prefijo dev:. Solo puede modificar los atributos de desarrollador de un usuario con AWS credenciales. Los atributos de desarrollador son una característica antigua que Amazon Cognito sustituyó por permisos de lectura-escritura del cliente de la aplicación.

Utilice el siguiente procedimiento para crear una en un almacén de claves personalizado.

Para añadir un atributo personalizado con la consola

  1. Vaya a Amazon Cognito en. AWS Management Console Si la consola se lo pide, introduzca sus credenciales. AWS

  2. Elija User Pools (Grupos de usuarios).

  3. Elija en la lista un usuario existente.

  4. Elija la pestaña Sign-up experience (Experiencia de inscripción) y en la pestaña Custom attributes (Atributos personalizados), elija Add custom attributes (Agregar atributos personalizados).

  5. En la páginaAgregar atributos personalizados, proporcione los siguientes detalles sobre el nuevo atributo:

    • Escriba un Name (nombre).

    • Seleccione Type (tipo), ya sea String (cadena) o Number (número).

    • Escriba una longitud de cadena o un valor numérico Min (mínima).

    • Escriba una longitud de cadena o un valor numérico Max (máximo).

    • Seleccione Mutable (Mutable) si desea dar permiso a los usuarios para cambiar el valor de un atributo personalizado después de establecer el valor inicial.

  6. Elija Guardar cambios.

Permisos y ámbitos de los atributos

Puede establecer permisos de lectura y escritura para cada atributo de usuario para cada una de sus aplicaciones de cliente. Esto permite controlar el acceso del que dispone cualquier aplicación para leer y modificar cada atributo que se almacene para los usuarios. Por ejemplo, puede tener un atributo personalizado que indique si el usuario es cliente de pago o no. Es posible que sus aplicaciones puedan ver este atributo, pero no cambiarlo directamente. Por lo tanto, puede actualizar el atributo mediante una herramienta administrativa o un proceso de fondo. Puede configurar los permisos para los atributos de usuario desde la consola de Amazon Cognito, Amazon API Cognito o la. AWS CLI De forma predeterminada, los nuevos atributos personalizados no están disponibles hasta que defina permisos de lectura y escritura para ellos. De forma predeterminada, cuando crea un nuevo cliente de aplicación, concede a la aplicación permisos de lectura y escritura para todos los atributos estándar y personalizados. Para limitar la aplicación a solo la cantidad de información que necesita, asigne permisos específicos a los atributos de la configuración del cliente de la aplicación.

Como práctica recomendada, especifica los permisos de lectura y escritura de los atributos al crear un cliente de aplicaciones. Conceda al cliente de la aplicación acceso al conjunto mínimo de atributos de usuario que necesita para el funcionamiento de la aplicación.

nota

DescribeUserPoolClientsolo devuelve valores para ReadAttributes y WriteAttributes cuando configuras permisos de cliente de aplicaciones distintos de los predeterminados.

Para actualizar los permisos de los atributos (AWS Management Console)

  1. Vaya a Amazon Cognito en. AWS Management Console Si la consola se lo pide, introduzca sus credenciales. AWS

  2. Elija User Pools (Grupos de usuarios).

  3. Elija en la lista un usuario existente.

  4. Elija la pestaña App integration (Integración de aplicaciones) y en la sección App clients (Clientes de aplicaciones), elija un cliente de aplicación de la lista.

  5. En la sección Attribute read and write permissions (Permisos de lectura y escritura de atributos), elija Edit (Editar).

  6. En la página Edit attribute read and write permissions (Editar permisos de lectura y escritura de atributos), configure los permisos de lectura y escritura y, a continuación, elija Save changes (Guardar cambios).

Repita estos pasos para cada cliente de aplicación que utilice el atributo personalizado.

Para cada cliente de aplicación, puede marcar los atributos como legibles o grabables. Esto es cierto para los atributos estándar y los atributos personalizados. La aplicación puede recuperar el valor de los atributos que marque como legibles y puede establecer o modificar el valor de los atributos que marque como que admiten la escritura. Si la aplicación intenta establecer un valor para un atributo que no está autorizada a escribir, Amazon Cognito devuelve NotAuthorizedException. GetUserlas solicitudes incluyen un token de acceso con una reclamación del cliente de la aplicación; Amazon Cognito solo devuelve valores de los atributos que el cliente de la aplicación puede leer. El token de ID de usuario de una aplicación solo contiene afirmaciones que corresponden a los atributos legibles. Todos los clientes de la aplicación pueden escribir los atributos necesarios para el grupo de usuarios. Solo puede establecer el valor de un atributo en una API solicitud de grupos de usuarios de Amazon Cognito si también proporciona un valor para los atributos obligatorios que aún no tienen un valor.

Los atributos personalizados tienen características distintas para permisos de lectura y escritura. Puede crearlos como mutables o inmutables para el grupo de usuarios y puede configurarlos como atributos de lectura o escritura para cualquier cliente de la aplicación.

Un atributo personalizado inmutable se puede actualizar una vez, durante la creación del usuario. Puede rellenar un atributo inmutable con los siguientes métodos.

  • SignUp: un usuario se registra en un cliente de la aplicación que tiene acceso de escritura a un atributo personalizado inmutable. Proporcionan un valor para ese atributo.

  • Inicio de sesión con un IdP externo: un usuario inicia sesión en un cliente de la aplicación que tiene acceso de escritura a un atributo personalizado inmutable. La configuración del grupo de usuarios para su IdP tiene una regla para asignar una notificación proporcionada a un atributo inmutable.

  • AdminCreateUser: usted proporciona un valor para un atributo inmutable.

Permisos de atributos con ámbitos

En los grupos de usuarios que configure con una AWS SDK oCDK, la o la REST API AWS CLI, puede configurar el acceso de lectura o escritura del cliente de la aplicación con el OIDC ámbitooidc:profile. oidc:profileOtorga acceso de lectura o escritura a los siguientes atributos estándar:

  • name

  • family_name

  • given_name

  • middle_name

  • nickname

  • preferred_username

  • profile

  • picture

  • website

  • gender

  • birthdate

  • zoneinfo

  • locale

Esta lista contiene los atributos OIDC estándar menosemail,phone_number, y subaddress, tal como se definen en la sección 2.4 de la OIDC especificación. Para obtener información sobre los ámbitos que puede asignar a los clientes de la aplicación, consulte Ámbitos, M2M y API autorización con servidores de recursos.

Para configurar el cliente de la aplicación para que escriba en los atributos incluidos en el oidc:profile ámbito, WriteAttributesdefina el valor de tooidc:profile, además de cualquier otro atributo que desee permitir que la aplicación modifique, en una UpdateUserPoolClientAPIsolicitud CreateUserPoolCliento solicitud. Del mismo modo, para conceder acceso de lectura a estos atributos, añade oidc:profile el valor de ReadAttributes.

Puede cambiar los permisos y los alcances de los atributos después de crear el grupo de usuarios.