Création de comptes d'utilisateur en tant qu'administrateur - Amazon Cognito

Création de comptes d'utilisateur en tant qu'administrateur

Une fois que vous avez défini un groupe d'utilisateurs, vous pouvez créer des utilisateurs via la AWS Management Console, l'AWS Command Line Interface ou l'API Amazon Cognito. Vous pouvez créer un profil pour un nouvel utilisateur dans un groupe d'utilisateurs et envoyer un message de bienvenue avec des instructions d'inscription à l'utilisateur par SMS ou e-mail.

Les développeurs et les administrateurs peuvent effectuer les tâches suivantes :

  • Créez un nouveau profil utilisateur en utilisant AWS Management Console ou en appelant l'API AdminCreateUser.

  • Spécifiez le mot de passe temporaire ou laissez Amazon Cognito en générer un automatiquement.

  • Indiquer si les adresses e-mail et numéros de téléphone fournis sont marqués comme étant vérifiés pour les nouveaux utilisateurs.

  • Spécifiez des messages d'invitation personnalisés par SMS et e-mail pour les nouveaux utilisateurs en utilisant la AWS Management Console ou un déclencheur Lambda Message personnalisé. Pour plus d'informations, consultez Personnalisation des flux de travail de groupe d'utilisateurs avec des déclencheurs Lambda.

  • Spécifier si les messages d'invitation sont envoyés par SMS, e-mail ou les deux.

  • Renvoyer le message de bienvenue à un utilisateur existant en appelant l'API AdminCreateUser, en spécifiant RESEND pour le paramètre MessageAction.

    Note

    Cette action ne peut pas être effectuée actuellement en utilisant AWS Management Console.

  • Supprimer l'envoi du message d'invitation lorsque l'utilisateur est créé.

  • Spécifier un délai d'expiration pour le compte utilisateur (jusqu'à 90 jours).

  • Permettre aux utilisateurs de s'inscrire ou exiger que les nouveaux utilisateurs soient uniquement ajoutés par l'administrateur.

Flux d'authentification pour les utilisateurs créés par des développeurs ou des administrateurs

Le flux d'authentification pour ces utilisateurs inclut une étape supplémentaire pour envoyer le nouveau mot de passe et fournir les valeurs manquantes pour les attributs obligatoires. Les différentes étapes sont décrites ci-après, et les étapes 5, 6 et 7 sont spécifiques à ces utilisateurs.

  1. La première fois, l'utilisateur commence à se connecter en soumettant le nom d'utilisateur et le mot de passe qui lui ont été fournis.

  2. Le kit SDK appelle InitiateAuth(Username, USER_SRP_AUTH).

  3. Amazon Cognito renvoie la stimulation PASSWORD_VERIFIER avec le bloc Salt & Secret.

  4. Le kit SDK effectue les calculs SRP et appelle RespondToAuthChallenge(Username, <SRP variables>, PASSWORD_VERIFIER).

  5. Amazon Cognito renvoie la stimulation NEW_PASSWORD_REQUIRED avec les attributs actuels et obligatoires.

  6. L'utilisateur est invité à entrer un nouveau mot de passe et toutes les valeurs manquantes pour les attributs obligatoires.

  7. Le kit SDK appelle RespondToAuthChallenge(Username, <New password>, <User attributes>).

  8. Si l'utilisateur a besoin d'un deuxième facteur pour l'authentification multi-facteurs (MFA), Amazon Cognito renvoie la stimulation SMS_MFA et le code est soumis.

  9. Une fois que l'utilisateur est parvenu à changer son mot de passe et qu'il a fourni, le cas échéant, les valeurs des attributs requis ou effectué l'authentification MFA, il est connecté, et des jetons sont émis.

Lorsque l'utilisateur a répondu à toutes les stimulations, le service Amazon Cognito marque l'utilisateur comme confirmé, émet l'ID et l'accès, et actualise les jetons pour l'utilisateur. Pour plus d'informations, consultez Utilisation des jetons avec des groupes d'utilisateurs.

Création d'un nouvel utilisateur dans AWS Management Console

Vous pouvez définir les exigences relatives au mot de passe utilisateur, configurer les messages d'invitation et de vérification envoyés aux utilisateurs et ajouter de nouveaux utilisateurs avec la console Amazon Cognito.

Définir une politique de mot de passe et activer l'auto-enregistrement

Original console

L'onglet Policies (politiques) comporte ces paramètres associés :

  • Spécifiez la force requise pour le mot de passe.

    
                    Spécifiez la force requise pour le mot de passe.
  • Spécifier s'il faut autoriser les utilisateurs à s'inscrire eux-mêmes. Cette option est définie par défaut.

    
                    Spécifier s'il faut autoriser les utilisateurs à s'inscrire eux-mêmes. Cette option est sélectionnée par défaut.
  • Spécifier le délai d'expiration de compte utilisateur (en jours) pour les nouveaux comptes. La valeur par défaut est de 7 jours, comptabilisés à partir du moment où le compte utilisateur est créé. La valeur maximale est de 90 jours. Après expiration du compte, l'utilisateur ne peut pas s'y connecter tant que son profil n'a pas été mis à jour par l'administrateur.

    Note

    Une fois que l'utilisateur s'est connecté, le compte n'expire jamais.

    
                    Spécifiez le délai d'expiration de compte utilisateur (en jours). La valeur par défaut est de 10 jours.
New console

Vous pouvez configurer des paramètres pour une complexité minimale des mots de passe et indiquer si les utilisateurs peuvent s'inscrire à l'aide d'API publiques de votre groupe d'utilisateurs.

Configurer une politique de mot de passe

  1. Accédez à la console Amazon Cognito, puis choisissez Groupes d'utilisateurs.

  2. Choisissez un groupe d'utilisateurs existant dans la liste ou créez-en un.

  3. Choisissez l'onglet Sign-in experience (Expérience de connexion) et localisez Password policy (Politique de mots de passe). Choisissez Edit (Modifier).

  4. Choisissez un Mode politique de mot de passe sur Personnalisé.

  5. Choisissez une Longueur minimum du mot de passe. Pour connaître les limites de la longueur de mot de passe requise, consultez Quotas de ressources pour les groupes.

  6. Choisissez une exigence de Complexité pour le mot de passe.

  7. Choisissez la durée pendant laquelle le mot de passe défini par les administrateurs doit être valide.

  8. Choisissez Enregistrer les modifications.

Autoriser l'inscription en libre-service

  1. Accédez à la console Amazon Cognito, puis choisissez Groupes d'utilisateurs.

  2. Choisissez un groupe d'utilisateurs existant dans la liste ou créez-en un.

  3. Choisissez l'onglet Sign-up experience (Expérience d'inscription) et localisez Self-service sign-up (Inscription en libre-service). Tâche de sélection Modifier.

  4. Choisissez si vous souhaitez Activer l'auto-enregistrement. L'auto-enregistrement est généralement utilisé avec les clients d'applications publiques qui doivent enregistrer de nouveaux utilisateurs dans votre groupe d'utilisateurs sans distribuer un secret client ni des informations d'identification d'API AWS Identity and Access Management (IAM).

    Désactivation de l'auto-enregistrement

    Si vous n'activez pas l'auto-enregistrement, les nouveaux utilisateurs doivent être créés par des actions d'API administratives utilisant les informations d'identification d'API IAM ou en se connectant avec des fournisseurs fédérés.

  5. Choisissez Enregistrer les modifications.

Personnalisation des e-mails et SMS

Original console

L'onglet Personnalisation des messages comprend des modèles permettant de spécifier des messages personnalisés de vérification des e-mails et d'invitation des utilisateurs.

Pour les messages de vérification par e-mail ou d'invitation d'un utilisateur, la longueur maximale du message est de 2 048 caractères UTF-8, y compris le code de vérification ou le mot de passe temporaire. Pour les SMS, la longueur maximale est de 140 caractères UTF-8, en comptant le code de vérification ou le mot de passe temporaire.

Les codes de vérification restent valables pendant 24 heures.


                Personnalisez la vérification des e-mails envoyée aux utilisateurs.

                Personnalisez le message d'invitation envoyé aux nouveaux utilisateurs.
New console

Personnalisation des messages utilisateurs

Vous pouvez personnaliser les messages qu'Amazon Cognito envoie à vos utilisateurs lorsque vous les invitez à se connecter, qu'ils s'inscrivent à un compte d'utilisateur ou qu'ils se connectent et sont invités à effectuer une authentification multifacteur (MFA).

Note

Un Message d'invitation est envoyé lorsque vous créez un utilisateur dans votre groupe d'utilisateurs et invitez cet utilisateur à se connecter. Amazon Cognito envoie les informations de connexion initiales à l'adresse e-mail ou au numéro de téléphone de l'utilisateur.

Un Message de vérification est envoyé lorsqu'un utilisateur s'inscrit à un compte utilisateur dans votre groupe d'utilisateurs. Amazon Cognito envoie un code à l'utilisateur. Lorsque l'utilisateur fournit le code à Amazon Cognito, il vérifie ses coordonnées et confirme la connexion de son compte. Les codes de vérification restent valables pendant 24 heures.

Un Message MFA est envoyé lorsque vous activez SMS MFA dans votre groupe d'utilisateurs, et qu'un utilisateur qui a configuré SMS MFA se connecte et est invité à entrer MFA.

  1. Accédez à la console Amazon Cognito, puis choisissez Groupes d'utilisateurs.

  2. Choisissez un groupe d'utilisateurs existant dans la liste ou créez-en un.

  3. Choisissez l'onglet Messaging (Messagerie) et localisez les Message templates (Modèles de messages). Sélectionnez Verification messages (Messages de vérification), Invitation messages (Messages d'invitation), ou les MFA messages (Messages MFA) et choisissez Edit (Modifier).

  4. Personnalisez les messages pour le type de message choisi.

    Note

    Toutes les variables des modèles de messages doivent être incluses lorsque vous personnalisez le message. Si la variable, par exemple {####}, n'est pas inclus, votre utilisateur ne disposera pas d'informations suffisantes pour terminer l'action de message.

    Pour plus d'informations, consultez Modèles de messages.

    1. Messages de vérification

      1. Choisissez un Type de vérification pour les messages e-mail. Un Code de vérification transfère un code numérique que l'utilisateur doit entrer. Un Lien de vérification transfère un lien sur lequel l'utilisateur peut cliquer pour vérifier ses coordonnées. Le texte de la variable d'un Lien du message s'affiche sous forme de texte de lien hypertexte. Par exemple, un modèle de message utilisant la variable {# #Click ici##} s'affiche sous la forme Cliquez ici dans l'e-mail.

      2. Saisissez un Objet de l'e-mail pour les messages e-mail.

      3. Saisissez un modèle de message e-mail personnalisé pour des messages e-mail. Vous pouvez personnaliser ce modèle avec du code HTML.

      4. Saisissez une personnalisation pour modèle de Message SMS pour SMS.

      5. Choisissez Enregistrer les modifications.

    2. Messages d'invitation

      1. Saisissez un Objet de l'e-mail pour les messages e-mail.

      2. Saisissez un modèle de Message e-mail personnalisé pour des messages e-mail. Vous pouvez personnaliser ce modèle avec du code HTML.

      3. Saisissez une personnalisation pour modèle de Message SMS pour SMS.

      4. Choisissez Enregistrer les modifications.

    3. Messages MFA

      1. Saisissez une personnalisation pour modèle de Message SMS pour SMS.

      2. Choisissez Enregistrer les modifications.

Créez un utilisateur

Original console

L'onglet Users (Utilisateurs) dans l'onglet Users and groups (Utilisateurs et groupes) comporte un bouton Create user (Créer utilisateur).


                Créez un nouvel utilisateur dans l'onglet Users (Utilisateurs).

Lorsque vous sélectionnez Créer un utilisateur, une boîte de dialogue Créer un utilisateur apparaît vous permettant de saisir des informations sur le nouvel utilisateur. Seul le champ Username (Nom d'utilisateur) est obligatoire.

Note

Pour les comptes d'utilisateurs que vous créez grâce au formulaire Créer un utilisateur dans la AWS Management Console, seuls les attributs figurant sur le formulaire peuvent être définis dans la AWS Management Console. D'autres attributs doivent être définis avec l'AWS Command Line Interface ou l'API Amazon Cognito, même si vous les avez marqués comme attributs obligatoires.


                Créez le formulaire utilisateur dans l'onglet Users (Utilisateurs).
New console

Créez un utilisateur

Vous pouvez créer de nouveaux utilisateurs pour votre groupe d'utilisateurs à partir de la console Amazon Cognito. En règle générale, les utilisateurs peuvent se connecter après avoir défini un mot de passe. Pour se connecter avec une adresse e-mail ou un numéro de téléphone, un utilisateur doit vérifier l'attribut email. Pour se connecter avec un numéro de téléphone, l'utilisateur doit vérifier l'attribut phone_number. Pour confirmer les comptes en tant qu'administrateur, vous pouvez également utiliser l'interface AWS CLI ou l'API, ou créer des profils utilisateur avec un fournisseur d'identité fédéré. Pour plus d'informations, consultez la rubrique Référence d'API Amazon Cognito.

  1. Accédez à la console Amazon Cognito, puis choisissez Groupes d'utilisateurs.

  2. Choisissez un groupe d'utilisateurs existant dans la liste ou créez-en un.

  3. Choisissez l'onglet Users (Utilisateurs), puis Create a user (Créer un utilisateur).

  4. Vérifiez l'option User pool sign-in and security requirements (Exigences de sécurité et de connexion au groupe d'utilisateurs) pour obtenir des conseils sur les exigences de mot de passe, les méthodes de récupération de compte disponibles et les attributs d'alias pour votre groupe d'utilisateurs.

  5. Choisissez comment envoyer un message d'invitation. Choisissez par SMS, par e-mail ou les deux.

    Note

    Avant de pouvoir envoyer des messages d'invitation, configurez un expéditeur et une Région AWS avec Amazon Simple Notification Service et Amazon Simple Email Service dans l'onglet Messaging (Messagerie) de votre groupe d'utilisateurs. Les tarifs des messages et des données du destinataire s'appliquent. Amazon SES facture séparément les e-mails et Amazon SNS facture séparément les SMS.

  6. Choisissez un Nom d'utilisateur pour le nouvel utilisateur.

  7. Choisissez si vous souhaitez créer un mot de passe ou autoriser Amazon Cognito à générer un mot de passe pour l'utilisateur. Tout mot de passe temporaire doit respecter la politique de mot de passe du groupe d'utilisateurs.

  8. Sélectionnez Créer un .

  9. Choisissez l'onglet Users (Utilisateurs) et choisissez l'entrée User name (Nom d'utilisateur) pour l'utilisateur. Ajoutez et modifiez des attributs utilisateur et des appartenances de groupe. Passez en revue l'historique des événements d'utilisateur.