Général Groupes d’utilisateurs Réserves d’identités

Termes et concepts courants d'Amazon Cognito

Amazon Cognito fournit des informations d'identification pour les applications Web et mobiles. Il s'inspire des termes courants en matière de gestion des identités et des accès et s'appuie sur ceux-ci. De nombreux guides sur l'identité universelle et les conditions d'accès sont disponibles. Voici quelques exemples :

La terminologie dans l' IDPro ensemble des connaissances
AWS Services d'identité
Glossaire du NIST CSRC

Les listes suivantes décrivent des termes propres à Amazon Cognito ou ayant un contexte spécifique dans Amazon Cognito.

Général

Les termes de cette liste ne sont pas spécifiques à Amazon Cognito et sont largement reconnus par les professionnels de la gestion des identités et des accès. Ce qui suit n'est pas une liste exhaustive de termes, mais un guide de leur contexte spécifique à Amazon Cognito dans ce guide.

Jeton d’accès: Un jeton Web JSON (JWT) qui contient des informations sur l'autorisation d'une entité à accéder aux systèmes d'information.
Application, application: Généralement, une application mobile. Dans ce guide, application est souvent un raccourci pour désigner une application Web ou une application mobile qui se connecte à Amazon Cognito.
Contrôle d’accès par attributs (ABAC): Modèle dans lequel une application détermine l'accès aux ressources en fonction des propriétés d'un utilisateur, telles que le titre de son poste ou son département. Les outils Amazon Cognito destinés à appliquer l'ABAC incluent les jetons d'identification dans les groupes d'utilisateurs et les balises principales dans les groupes d'identités.
Authentification: Processus d'établissement d'une identité authentique dans le but d'accéder à un système d'information. Amazon Cognito accepte les preuves d'authentification fournies par des fournisseurs d'identité tiers et sert également de fournisseur d'authentification pour les applications logicielles.
Autorisation: Processus d'octroi d'autorisations à une ressource. Les jetons d'accès aux groupes d'utilisateurs contiennent des informations que les applications peuvent utiliser pour autoriser les utilisateurs et les systèmes à accéder aux ressources.
Serveur d'autorisation: Système OpenID Connect (OIDC) qui génère des jetons Web JSON. OAuth Le serveur d'autorisation géré des groupes d'utilisateurs Amazon Cognito est le composant du serveur d'autorisation des deux méthodes d'authentification et d'autorisation des groupes d'utilisateurs. Les groupes d'utilisateurs prennent également en charge les flux de défi/réponse aux API dans le cadre de l'authentification du SDK.
Application confidentielle, application côté serveur: Application à laquelle les utilisateurs se connectent à distance, avec du code sur un serveur d'applications et un accès à des secrets. Il s'agit généralement d'une application Web.
Identity provider (IdP) (Fournisseur d'identité): Service qui enregistre et vérifie l'identité des utilisateurs. Amazon Cognito peut demander l'authentification à des fournisseurs externes et être un IdP pour les applications.
Jeton Web JSON (JWT): Document au format JSON contenant des allégations concernant un utilisateur authentifié. Les jetons d'identification authentifient les utilisateurs, les jetons d'accès les autorisent et les jetons d'actualisation mettent à jour les informations d'identification. Amazon Cognito reçoit des jetons de fournisseurs externes et émet des jetons vers des applications ou. AWS STS
Machine-to-machine Autorisation (M2M): Processus d'autorisation des demandes adressées aux points de terminaison d'API pour les entités non-user-interactive machine, comme un niveau d'application de serveur Web. Les groupes d'utilisateurs fournissent des autorisations M2M sous forme d'autorisations d'identification client avec des étendues OAuth 2.0 sous forme de jetons d'accès.
Authentification multifactorielle (MFA): Obligation pour les utilisateurs de fournir une authentification supplémentaire après avoir fourni leur nom d'utilisateur et leur mot de passe. Les groupes d'utilisateurs Amazon Cognito disposent de fonctionnalités MFA pour les utilisateurs locaux.
OAuth fournisseur 2.0 (social): Un IdP vers un groupe d'utilisateurs ou un pool d'identités qui fournit un accès JWT et des jetons d'actualisation. Les groupes d'utilisateurs Amazon Cognito automatisent les interactions avec les fournisseurs sociaux une fois que les utilisateurs s'authentifient.
Fournisseur OpenID Connect (OIDC): Un IdP vers un groupe d'utilisateurs ou un pool d'identités qui étend la OAuthspécification pour fournir des jetons d'identification. Les groupes d'utilisateurs Amazon Cognito automatisent les interactions avec les fournisseurs OIDC une fois que les utilisateurs s'authentifient.
Clé d'accès, WebAuthn: Forme d'authentification dans laquelle les clés cryptographiques, ou clés d'accès, présentes sur l'appareil d'un utilisateur fournissent la preuve de son authentification. Les utilisateurs vérifient qu'ils sont présents à l'aide de mécanismes biométriques ou de code PIN dans un authentificateur matériel ou logiciel. Les clés de passe résistent au hameçonnage et sont liées à des sites Web/applications spécifiques, offrant ainsi une expérience sécurisée sans mot de passe. Les groupes d'utilisateurs Amazon Cognito prennent en charge la connexion à l'aide de clés d'accès.
Sans mot de passe: Une forme d'authentification où l'utilisateur n'a pas à saisir de mot de passe. Les méthodes de connexion sans mot de passe incluent les mots de passe à usage unique (OTPs) envoyés aux adresses e-mail et aux numéros de téléphone, ainsi que les clés d'accès. Les groupes d'utilisateurs Amazon Cognito prennent en charge la connexion et les clés d' OTPs accès.
Application publique: Application autonome sur un appareil, dont le code est stocké localement et qui n'a aucun accès aux secrets. Il s'agit généralement d'une application mobile.
Serveur de ressources: Une API avec contrôle d'accès. Les groupes d'utilisateurs Amazon Cognito utilisent également le serveur de ressources pour décrire le composant qui définit la configuration pour interagir avec une API.
Contrôle d’accès basé sur les rôles (RBAC): Modèle qui accorde l'accès en fonction de la désignation fonctionnelle de l'utilisateur. Les pools d'identités Amazon Cognito implémentent le RBAC en différenciant les rôles IAM.
Prestataire de services (SP), partie utilisatrice (RP): Une application qui s'appuie sur un IdP pour affirmer que les utilisateurs sont dignes de confiance. Amazon Cognito agit en tant que SP pour les applications externes IdPs et en tant qu'IdP pour les applications. SPs
fournisseur SAML: Un IdP vers un groupe d'utilisateurs ou un pool d'identités qui génère des documents d'assertion signés numériquement que votre utilisateur transmet à Amazon Cognito.
Identifiant unique universel (UUID): Étiquette de 128 bits appliquée à un objet. Amazon Cognito UUIDs est unique par groupe d'utilisateurs ou par groupe d'identités, mais n'est pas conforme à un format UUID spécifique.
Annuaire des utilisateurs: Ensemble d'utilisateurs et de leurs attributs qui transmet ces informations à d'autres systèmes. Les groupes d'utilisateurs Amazon Cognito sont des annuaires d'utilisateurs, ainsi que des outils de consolidation des utilisateurs provenant d'annuaires d'utilisateurs externes.

Groupes d’utilisateurs

Lorsque vous voyez les termes figurant dans la liste suivante de ce guide, ils font référence à une fonctionnalité ou à une configuration spécifique des groupes d'utilisateurs.

Authentification adaptative

Fonctionnalité de sécurité avancée qui détecte les activités malveillantes potentielles et applique une sécurité supplémentaire aux profils utilisateur.

Fonctionnalités de sécurité avancées

Composant optionnel qui ajoute des outils pour la sécurité des utilisateurs.

Client d'application

Composant qui définit les paramètres d'un groupe d'utilisateurs en tant qu'IdP pour une application.

URL de rappel, URI de redirection, URL de retour

Un paramètre dans un client d'application et un paramètre dans les demandes adressées au serveur d'autorisation du groupe d'utilisateurs. L'URL de rappel est la destination initiale des utilisateurs authentifiés de votre application.

Authentification basée sur les choix

Une forme d'authentification par API avec des groupes d'utilisateurs où chaque utilisateur dispose d'un ensemble de choix pour se connecter. Leurs choix peuvent inclure un nom d'utilisateur et un mot de passe avec ou sans MFA, une connexion par clé d'accès ou une connexion sans mot de passe avec des mots de passe uniques par e-mail ou SMS. Votre application peut définir le processus de choix des utilisateurs en demandant une liste d'options d'authentification ou en déclarant une option préférée.

Comparez avec l'authentification basée sur le client.

Authentification basée sur le client

Une forme d'authentification avec l'API des groupes d'utilisateurs et les backends d'applications intégrés à AWS SDKs. Dans le cadre de l'authentification déclarative, votre application détermine indépendamment le type de connexion qu'un utilisateur doit effectuer et demande ce type dès le départ.

Comparez avec l'authentification basée sur les choix.

Informations d’identification compromises

Fonctionnalité de sécurité avancée qui détecte les mots de passe utilisateur que les attaquants pourraient connaître et applique une sécurité supplémentaire aux profils utilisateur.

Confirmation

Processus qui détermine que les conditions préalables sont remplies pour permettre à un nouvel utilisateur de se connecter. La confirmation se fait généralement par le biais de la vérification de l'adresse e-mail ou du numéro de téléphone.

Authentification personnalisée

Une extension des processus d'authentification avec des déclencheurs Lambda qui définissent des défis et des réponses supplémentaires pour les utilisateurs.

Authentification des appareils

Processus d'authentification qui remplace le MFA par une connexion utilisant l'identifiant d'un appareil fiable.

Domaine, domaine du pool d'utilisateurs

Un domaine Web qui héberge vos pages de connexion gérées dans AWS. Vous pouvez configurer le DNS dans un domaine qui vous appartient ou utiliser un préfixe de sous-domaine d'identification dans un domaine propriétaire. AWS

Plan Essentials

Le plan des fonctionnalités avec les derniers développements en matière de groupes d'utilisateurs. Le plan Essentials n'inclut pas les fonctionnalités de sécurité d'apprentissage automatique du plan Plus.

Fournisseur externe, fournisseur tiers

Un IdP qui entretient une relation de confiance avec un groupe d'utilisateurs. Les groupes d'utilisateurs servent d'entité intermédiaire entre les fournisseurs externes et votre application, gérant les processus d'authentification avec SAML 2.0, OIDC et les fournisseurs sociaux. Les groupes d'utilisateurs consolident les résultats de l'authentification des fournisseurs externes en un seul IdP afin que vos applications puissent traiter de nombreux utilisateurs avec une seule bibliothèque dépendante OIDC.

Plan de fonctionnalités

Groupe de fonctionnalités que vous pouvez sélectionner pour un groupe d'utilisateurs. Les forfaits comportent des coûts différents sur votre AWS facture. Les nouveaux groupes d'utilisateurs utilisent par défaut le plan Essentials.

Plans actuels

Forfait allégé
Plan Essentials
Forfait Plus

Utilisateur fédéré, utilisateur externe

Utilisateur d'un groupe d'utilisateurs authentifié par un fournisseur externe.

Interface utilisateur hébergée (classique), pages d'interface utilisateur hébergées

La première version des services d'authentification frontal, de partie utilisatrice et de fournisseur d'identité sur le domaine de votre groupe d'utilisateurs. L'interface utilisateur hébergée possède un ensemble de fonctionnalités de base et une apparence simplifiée. Vous pouvez appliquer la marque Hosted UI en téléchargeant un fichier image de logo et un fichier contenant un ensemble prédéterminé de styles CSS. Comparez avec la connexion gérée.

Déclencheur Lambda

Fonction AWS Lambda qu'un groupe d'utilisateurs peut invoquer automatiquement à des moments clés des processus d'authentification des utilisateurs. Vous pouvez utiliser des déclencheurs Lambda pour personnaliser les résultats de l'authentification.

Utilisateur local

Un profil utilisateur dans le répertoire des utilisateurs du groupe d'utilisateurs qui n'a pas été créé par authentification auprès d'un fournisseur externe.

Utilisateur lié

Utilisateur d'un fournisseur externe dont l'identité est fusionnée avec celle d'un utilisateur local.

Forfait allégé

Le plan de fonctionnalités avec les fonctionnalités initialement lancées avec les groupes d'utilisateurs. Le plan Lite n'inclut pas les nouvelles fonctionnalités du plan Essentials ni les fonctionnalités de sécurité d'apprentissage automatique du plan Plus.

Serveur d'autorisation géré, serveur d'autorisation d'interface utilisateur hébergé, serveur d'autorisation

Composant de connexion gérée qui héberge des services d'interaction avec le domaine de votre groupe d'utilisateurs IdPs et des applications sur celui-ci. L'interface utilisateur hébergée diffère de la connexion gérée en ce qui concerne les fonctionnalités interactives qu'elle propose, mais elle possède les mêmes fonctionnalités de serveur d'autorisation.

Connexion gérée, pages de connexion gérées

Ensemble de pages Web sur le domaine de votre groupe d'utilisateurs hébergeant des services d'authentification des utilisateurs. Ces services incluent des fonctions permettant de fonctionner en tant qu'IdP, en tant que partie utilisatrice pour un tiers IdPs et en tant que serveur d'une interface utilisateur d'authentification interactive. Lorsque vous configurez un domaine pour votre groupe d'utilisateurs, Amazon Cognito met en ligne toutes les pages de connexion gérées.

Votre application importe des bibliothèques OIDC qui appellent les navigateurs des utilisateurs et les dirigent vers l'interface utilisateur de connexion gérée pour l'inscription, la connexion, la gestion des mots de passe et d'autres opérations d'authentification. Après l'authentification, les bibliothèques OIDC peuvent traiter le résultat de la demande d'authentification.

Authentification de connexion gérée

Connectez-vous aux services du domaine de votre groupe d'utilisateurs, à l'aide de pages de navigateur interactives ou de requêtes d'API HTTPS. Les applications gèrent l'authentification de connexion gérée avec les bibliothèques OpenID Connect (OIDC). Ce processus inclut la connexion avec des fournisseurs externes, la connexion des utilisateurs locaux avec des pages de connexion gérées interactives et l'autorisation M2M. L'authentification avec l'interface utilisateur hébergée classique relève également de ce terme.

Comparez avec l'authentification du AWS SDK.

Forfait Plus

Le plan de fonctionnalités avec les derniers développements et les fonctionnalités de sécurité avancées dans les groupes d'utilisateurs.

Authentification SDK, authentification AWS SDK

Ensemble d'opérations d'API d'authentification et d'autorisation que vous pouvez ajouter au back-end de votre application à l'aide d'un AWS SDK. Ce modèle d'authentification nécessite votre propre mécanisme de connexion personnalisé. L'API peut connecter les utilisateurs locaux et les utilisateurs liés.

Comparez avec l'authentification de connexion gérée.

Protection contre les menaces

Dans les groupes d'utilisateurs, la protection contre les menaces fait référence aux technologies conçues pour atténuer les menaces qui pèsent sur vos mécanismes d'authentification et d'autorisation. L'authentification adaptative, la détection des informations d'identification compromises et les listes d'adresses IP bloquées entrent dans la catégorie de la protection contre les menaces.

Personnalisation des jetons

Résultat d'un déclencheur Lambda avant la génération du jeton qui modifie l'identifiant ou le jeton d'accès d'un utilisateur lors de l'exécution.

Groupe d'utilisateurs, fournisseur d'identité Amazon Cognitocognito-idp, groupes d'utilisateurs Amazon Cognito

Une AWS ressource avec des services d'authentification et d'autorisation pour les applications qui fonctionnent avec OIDC IdPs.

Vérification

Processus permettant de confirmer qu'un utilisateur possède une adresse e-mail ou un numéro de téléphone. Un groupe d'utilisateurs envoie un code à un utilisateur qui a saisi une nouvelle adresse e-mail ou un nouveau numéro de téléphone. Lorsqu'ils soumettent le code à Amazon Cognito, ils vérifient qu'ils sont propriétaires de la destination du message et peuvent recevoir des messages supplémentaires de la part du groupe d'utilisateurs. Voir également la confirmation.

Profil utilisateur, compte utilisateur

Entrée pour un utilisateur dans le répertoire des utilisateurs. Tous les utilisateurs, y compris ceux de tiers IdPs, ont un profil dans leur groupe d'utilisateurs.

Réserves d’identités

Lorsque vous voyez les termes figurant dans la liste suivante de ce guide, ils font référence à une fonctionnalité ou à une configuration spécifique des pools d'identités.

Attributs pour le contrôle d’accès: Implémentation du contrôle d'accès basé sur les attributs dans les pools d'identités. Les pools d'identités appliquent les attributs utilisateur sous forme de balises aux informations d'identification des utilisateurs.
Authentification de base (classique): Processus d'authentification dans le cadre duquel vous pouvez personnaliser la demande d'informations d'identification utilisateur.
Identités authentifiées par le développeur: Processus d'authentification qui autorise les informations d'identification des utilisateurs du pool d'identités avec les informations d'identification du développeur.
Informations d'identification du développeur: Les clés d'API IAM d'un administrateur de pool d'identités.
Authentification améliorée: Flux d'authentification qui sélectionne un rôle IAM et applique des balises principales conformément à la logique que vous définissez dans votre pool d'identités.
Identity: UUID qui lie un utilisateur de l'application et ses informations d'identification à son profil dans un annuaire d'utilisateurs externe qui entretient une relation de confiance avec un pool d'identités.
pool d'identités, identités fédérées Amazon Cognito, identité Amazon Cognito, cognito-identity: AWS Ressource proposant des services d'authentification et d'autorisation pour les applications utilisant des AWS informations d'identification temporaires.
Identité non authentifiée: Utilisateur qui ne s'est pas connecté avec un IdP de pool d'identités. Vous pouvez autoriser les utilisateurs à générer des informations d'identification utilisateur limitées pour un seul rôle IAM avant de s'authentifier.
Informations d'identification utilisateur: Clés AWS d'API temporaires que les utilisateurs reçoivent après l'authentification du pool d'identités.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Qu’est-ce qu’Amazon Cognito ?

Commencer avec AWS