Groupes d’utilisateurs Amazon Cognito - Amazon Cognito
Fonctionnalités

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Groupes d’utilisateurs Amazon Cognito

Un groupe d'utilisateurs Amazon Cognito est un annuaire d'utilisateurs pour l'authentification et l'autorisation d'applications Web et mobiles. Du point de vue de votre application, un groupe d'utilisateurs Amazon Cognito est un fournisseur d'identité (IdP) OpenID Connect (OIDC). Un groupe d'utilisateurs ajoute plusieurs niveaux de fonctionnalités supplémentaires pour la sécurité, la fédération d'identité, l'intégration d'applications et la personnalisation de l'expérience utilisateur.

Vous pouvez, par exemple, vérifier que les sessions de vos utilisateurs proviennent de sources fiables. Vous pouvez combiner l'annuaire Amazon Cognito avec un fournisseur d'identité externe. Avec votre kit AWS SDK préféré, vous pouvez choisir le modèle d'autorisation d'API qui convient le mieux à votre application. Vous pouvez également ajouter des fonctions AWS Lambda qui modifient ou révisent le comportement par défaut d'Amazon Cognito.

Présentation de l'authentification
Rubriques

Fonctionnalités

Les groupes d'utilisateurs Amazon Cognito présentent les fonctionnalités suivantes.

Inscription

Les groupes d'utilisateurs Amazon Cognito disposent de méthodes pilotées par les utilisateurs, pilotées par les administrateurs et de programmation pour ajouter des profils utilisateur à votre groupe d'utilisateurs. Les groupes d'utilisateurs Amazon Cognito prennent en charge les modèles d'inscription suivants. Vous pouvez utiliser toute combinaison de ces modèles dans votre application.

Important

Si vous activez l'inscription des utilisateurs dans votre groupe d'utilisateurs, n'importe qui sur Internet peut créer un compte et se connecter à vos applications. N'activez pas l'auto-inscription dans votre groupe d'utilisateurs, sauf si vous souhaitez ouvrir votre application à des inscriptions publiques. Pour modifier ce paramètre, mettez à jour l'inscription en libre-service dans l'onglet Expérience d'inscription de la console du pool d'utilisateurs, ou mettez à jour la valeur de AllowAdminCreateUserOnlydans une demande d'API CreateUserPool. UpdateUserPool

Pour plus d'informations sur les fonctionnalités de sécurité que vous pouvez configurer dans vos groupes d'utilisateurs, consultez Utiliser les fonctions de sécurité des groupes d’utilisateurs Amazon Cognito.

  1. Vos utilisateurs peuvent saisir leurs informations dans votre application et créer un profil utilisateur natif de votre groupe d'utilisateurs. Vous pouvez appeler des opérations d'inscription à l'API pour enregistrer des utilisateurs dans votre groupe d'utilisateurs. Vous pouvez ouvrir ces opérations d'inscription à n'importe qui, ou les autoriser à l'aide d'un secret client ou d'informations d'identification AWS.

  2. Vous pouvez rediriger les utilisateurs vers un fournisseur d'identité tiers qu'ils peuvent autoriser à transmettre leurs informations à Amazon Cognito. Amazon Cognito traite les jetons d'identification OIDC, les données userInfo OAuth 2.0 et les assertions SAML 2.0 dans les profils utilisateur de votre groupe d'utilisateurs. Vous contrôlez les attributs que vous souhaitez qu'Amazon Cognito reçoive en fonction des règles de mappage d'attributs.

  3. Vous pouvez ignorer les inscriptions publique et fédérée et créer des utilisateurs en fonction de votre propre source de données et de votre propre schéma. Ajoutez des utilisateurs directement dans l'API ou la console Amazon Cognito. Importez des utilisateurs depuis un fichier CSV. Exécutez une just-in-time AWS Lambda fonction qui recherche votre nouvel utilisateur dans un répertoire existant et remplit son profil utilisateur à partir des données existantes.

Une fois que vos utilisateurs se sont inscrits, vous pouvez les ajouter aux groupes qu'Amazon Cognito répertorie dans les jetons d'accès et d'identification. Vous pouvez également lier des ensembles de groupes d'utilisateurs à des rôles IAM lorsque vous transmettez le jeton d'identification à une réserve d'identités.

Rubriques en relation

Connexion

Amazon Cognito peut être un annuaire d'utilisateurs autonome et un fournisseur d'identité (IdP) pour votre application. Vos utilisateurs peuvent se connecter avec une interface utilisateur hébergée par Amazon Cognito ou avec votre propre interface utilisateur via l'API des groupes d'utilisateurs Amazon Cognito. Le niveau d'application qui sous-tend votre interface utilisateur personnalisée de front-end peut autoriser les demandes sur le backend à l'aide de plusieurs méthodes pour confirmer les demandes légitimes.

Pour connecter des utilisateurs à l'aide d'un annuaire externe, éventuellement combiné à l'annuaire d'utilisateurs intégré à Amazon Cognito, vous pouvez ajouter les intégrations suivantes.

  1. Connectez-vous et importez les données utilisateur des consommateurs à l'aide d'une connexion par réseau social OAuth 2.0. Amazon Cognito prend en charge la connexion avec Google, Facebook, Amazon et Apple via OAuth 2.0.

  2. Connectez-vous et importez les données utilisateur de l'entreprise avec la connexion SAML et OIDC. Vous pouvez également configurer Amazon Cognito pour accepter les champs standard provenant de tout fournisseur d'identité (IdP) SAML ou OpenID Connect (OIDC).

  3. Liez les profils utilisateur externes à des profils utilisateur natifs. Un utilisateur lié peut se connecter avec une identité d'utilisateur tiers et recevoir l'accès que vous attribuez à un utilisateur dans l'annuaire intégré.

Rubriques en relation
achine-to-machine Autorisation M

Certaines sessions ne sont pas des human-to-machine interactions. Vous aurez peut-être besoin d'un compte de service capable d'autoriser une demande à une API par le biais d'un processus automatisé. Pour générer des jetons d'accès à des fins machine-to-machine d'autorisation avec des étendues OAuth 2.0, vous pouvez ajouter un client d'application qui génère des autorisations d'identification client.

Rubriques en relation

Interface utilisateur hébergée

Si vous ne souhaitez pas créer d'interface utilisateur, vous pouvez proposer à vos utilisateurs une interface utilisateur personnalisée hébergée Amazon Cognito. L'interface utilisateur hébergée est un ensemble de pages Web pour l'inscription, la connexion, l'authentification multifactorielle (MFA) et la réinitialisation du mot de passe. Vous pouvez ajouter l'interface utilisateur hébergée à votre domaine existant ou utiliser un identifiant de préfixe dans un sous-domaine AWS.

Rubriques en relation

Sécurité

Vos utilisateurs locaux peuvent fournir un facteur d'authentification supplémentaire avec un code issu d'un SMS ou d'une application qui génère des codes d'authentification multifactorielle (MFA). Vous pouvez créer des mécanismes pour configurer et traiter l'authentification multifactorielle (MFA) dans votre application, ou vous pouvez laisser l'interface utilisateur hébergée s'en occuper. Les groupes d'utilisateurs Amazon Cognito peuvent contourner l'authentification multifactorielle (MFA) quand vos utilisateurs se connectent à partir d'appareils de confiance.

Si vous ne souhaitez pas exiger initialement l'authentification multifactorielle (MFA) de la part de vos utilisateurs, vous pouvez l'exiger de manière conditionnelle. Grâce à des fonctionnalités de sécurité avancées, Amazon Cognito peut détecter une activité malveillante potentielle et demander à votre utilisateur de configurer l'authentification multifactorielle (MFA) ou de bloquer la connexion.

Si le trafic réseau vers votre groupe d'utilisateurs est susceptible d'être malveillant, vous pouvez le surveiller et prendre les mesures nécessaires à l'aide des listes ACL Web AWS WAF.

Rubriques en relation

Expérience utilisateur personnalisée

À la plupart des étapes de l'inscription, de la connexion ou de la mise à jour du profil d'un utilisateur, vous pouvez personnaliser la façon dont Amazon Cognito traite la demande. Les déclencheurs Lambda vous permettent de modifier un jeton d'identification ou de rejeter une demande d'inscription en fonction de conditions personnalisées. Vous pouvez créer votre propre flux d'authentification personnalisé.

Vous pouvez charger un fichier CSS et des logos personnalisés pour donner à l'interface utilisateur hébergée un aspect familier pour vos utilisateurs.

Rubriques en relation

Surveillance et analytique

Les groupes d'utilisateurs Amazon Cognito consignent les demandes d'API, y compris celles destinées à l'interface utilisateur hébergée, dans AWS CloudTrail. Vous pouvez consulter les indicateurs de performance dans Amazon CloudWatch Logs, envoyer des journaux personnalisés à l' CloudWatch aide de déclencheurs Lambda et surveiller le volume de demandes d'API dans la console Service Quotas.

Vous pouvez également consigner les données des appareils et des sessions à partir de vos demandes d'API dans une campagne Amazon Pinpoint. Avec Amazon Pinpoint, vous pouvez envoyer des notifications push depuis votre application en fonction de votre analyse de l'activité des utilisateurs.

Rubriques en relation

Intégration des réserves d'identités Amazon Cognito

L'autre moitié d'Amazon Cognito est constituée des réserves d'identités. Les réserves d'identités fournissent des informations d'identification qui autorisent et surveillent les demandes d'API adressées par vos utilisateurs aux Services AWS, par exemple à Amazon DynamoDB ou Amazon S3. Vous pouvez créer des stratégies d'accès basées sur l'identité qui protègent vos données en fonction de la manière dont vous classez les utilisateurs dans votre groupe d'utilisateurs. Les réserves d'identités peuvent également accepter des jetons et des assertions SAML 2.0 provenant de divers fournisseurs d'identité, indépendamment de l'authentification des groupes d'utilisateurs.

Rubriques en relation