Création de comptes d’utilisateur en tant qu’administrateur

Une fois que vous avez défini un groupe d’utilisateurs, vous pouvez créer des utilisateurs via la AWS Management Console, l’AWS Command Line Interface ou l’API Amazon Cognito. Vous pouvez créer un profil pour un nouvel utilisateur dans un groupe d’utilisateurs et envoyer un message de bienvenue avec des instructions d’inscription à l’utilisateur par SMS ou e-mail.

Les développeurs et les administrateurs peuvent effectuer les tâches suivantes :

• Créez un nouveau profil utilisateur en utilisant AWS Management Console ou en appelant l’API AdminCreateUser.

• Définissez les valeurs des attributs utilisateur.

• Créez des attributs personnalisés.

• Définissez la valeur des attributs personnalisés immuables dans les demandes d’API AdminCreateUser. Cette fonctionnalité n’est pas disponible dans la console Amazon Cognito.

• Spécifiez le mot de passe temporaire ou laissez Amazon Cognito en générer un automatiquement.

• Indiquer si les adresses e-mail et numéros de téléphone fournis sont marqués comme étant vérifiés pour les nouveaux utilisateurs.

• Spécifiez des messages d’invitation personnalisés par SMS et e-mail pour les nouveaux utilisateurs en utilisant la AWS Management Console ou un déclencheur Lambda Message personnalisé. Pour de plus amples informations, veuillez consulter Personnalisation des flux de travail de groupe d'utilisateurs avec des déclencheurs Lambda.

• Spécifier si les messages d’invitation sont envoyés par SMS, e-mail ou les deux.

• Renvoyer le message de bienvenue à un utilisateur existant en appelant l’API AdminCreateUser, en spécifiant RESEND pour le paramètre MessageAction.

  Note

  Cette action ne peut pas être effectuée actuellement en utilisant AWS Management Console.

• Supprimer l’envoi du message d’invitation lorsque l’utilisateur est créé.

• Spécifier un délai d’expiration pour le compte utilisateur (jusqu’à 90 jours).

• Permettre aux utilisateurs de s’inscrire ou exiger que les nouveaux utilisateurs soient uniquement ajoutés par l’administrateur.

Flux d’authentification pour les utilisateurs créés par des développeurs ou des administrateurs

Le flux d’authentification pour ces utilisateurs inclut une étape supplémentaire pour envoyer le nouveau mot de passe et fournir les valeurs manquantes pour les attributs obligatoires. Les différentes étapes sont décrites ci-après, et les étapes 5, 6 et 7 sont spécifiques à ces utilisateurs.

1. L’utilisateur commence par se connecter pour la première fois en soumettant son nom d’utilisateur et son mot de passe.

2. Le kit SDK appelle InitiateAuth(Username, USER_SRP_AUTH).

3. Amazon Cognito renvoie la stimulation PASSWORD_VERIFIER avec le bloc Salt & Secret.

4. Le kit SDK effectue les calculs SRP et appelle RespondToAuthChallenge(Username, <SRP variables>, PASSWORD_VERIFIER).

5. Amazon Cognito renvoie la stimulation NEW_PASSWORD_REQUIRED. Le corps de ce défi inclut les attributs actuels de l’utilisateur et tous les attributs requis dans votre groupe d’utilisateurs qui n’ont actuellement aucune valeur dans le profil de l’utilisateur. Pour de plus amples informations, veuillez consulter RespondToAuthChallenge.

6. L’utilisateur est invité à entrer un nouveau mot de passe et toutes les valeurs manquantes pour les attributs obligatoires.

7. Le kit SDK appelle RespondToAuthChallenge(Username, <New password>, <User attributes>).

8. Si l’utilisateur a besoin d’un deuxième facteur pour l’authentification multi-facteurs (MFA), Amazon Cognito renvoie la stimulation SMS_MFA et le code est soumis.

9. Une fois que l’utilisateur est parvenu à changer son mot de passe et qu’il a fourni, le cas échéant, les valeurs des attributs requis ou effectué l’authentification MFA, il est connecté, et des jetons sont émis.

Lorsque l’utilisateur a répondu à toutes les stimulations, le service Amazon Cognito marque l’utilisateur comme confirmé, émet l’ID et l’accès, et actualise les jetons pour l’utilisateur. Pour de plus amples informations, veuillez consulter Utilisation des jetons avec des groupes d'utilisateurs.

Création d’un nouvel utilisateur dans AWS Management Console

Vous pouvez définir les exigences relatives au mot de passe utilisateur, configurer les messages d’invitation et de vérification envoyés aux utilisateurs et ajouter de nouveaux utilisateurs avec la console Amazon Cognito.

Définir une politique de mot de passe et activer l’auto-enregistrement

Vous pouvez configurer des paramètres pour une complexité minimale des mots de passe et indiquer si les utilisateurs peuvent s’inscrire à l’aide d’API publiques de votre groupe d’utilisateurs.

Configurer une politique de mot de passe

1. Accédez à la console Amazon Cognito, puis choisissez Groupes d’utilisateurs.

2. Choisissez un groupe d’utilisateurs existant dans la liste ou créez-en un.

3. Choisissez l’onglet Sign-in experience (Expérience de connexion) et localisez Password policy (Politique de mots de passe). Choisissez Modifier.

4. Choisissez un Mode politique de mot de passe sur Personnalisé.

5. Choisissez une Longueur minimum du mot de passe. Pour connaître les limites de la longueur de mot de passe requise, consultez Quotas de ressources pour les groupes.

6. Choisissez une exigence de Complexité pour le mot de passe.

7. Choisissez la durée pendant laquelle le mot de passe défini par les administrateurs doit être valide.

8. Choisissez Enregistrer les modifications.

Autoriser l’inscription en libre-service

1. Accédez à la console Amazon Cognito, puis choisissez Groupes d’utilisateurs.

2. Choisissez un groupe d’utilisateurs existant dans la liste ou créez-en un.

3. Choisissez l’onglet Sign-up experience (Expérience d’inscription) et localisez Self-service sign-up (Inscription en libre-service). Tâche de sélection Modifier.

4. Choisissez si vous souhaitez Activer l’auto-enregistrement. L’auto-enregistrement est généralement utilisé avec les clients d’applications publiques qui doivent enregistrer de nouveaux utilisateurs dans votre groupe d’utilisateurs sans distribuer un secret client ni des informations d’identification d’API AWS Identity and Access Management (IAM).

   Désactivation de l’auto-enregistrement

   Si vous n’activez pas l’auto-enregistrement, les nouveaux utilisateurs doivent être créés par des actions d’API administratives utilisant les informations d’identification d’API IAM ou en se connectant avec des fournisseurs fédérés.

5. Choisissez Enregistrer les modifications.

Personnalisation des e-mails et SMS

Personnalisation des messages utilisateurs

Vous pouvez personnaliser les messages qu’Amazon Cognito envoie à vos utilisateurs lorsque vous les invitez à se connecter, qu’ils s’inscrivent à un compte d’utilisateur ou qu’ils se connectent et sont invités à effectuer une authentification multifacteur (MFA).

Note

Un Message d’invitation est envoyé lorsque vous créez un utilisateur dans votre groupe d’utilisateurs et invitez cet utilisateur à se connecter. Amazon Cognito envoie les informations de connexion initiales à l’adresse e-mail ou au numéro de téléphone de l’utilisateur.

Un Message de vérification est envoyé lorsqu’un utilisateur s’inscrit à un compte utilisateur dans votre groupe d’utilisateurs. Amazon Cognito envoie un code à l’utilisateur. Lorsque l’utilisateur fournit le code à Amazon Cognito, il vérifie ses coordonnées et confirme la connexion de son compte. Les codes de vérification restent valables pendant 24 heures.

Un Message MFA est envoyé lorsque vous activez SMS MFA dans votre groupe d’utilisateurs, et qu’un utilisateur qui a configuré SMS MFA se connecte et est invité à entrer MFA.

1. Accédez à la console Amazon Cognito, puis choisissez Groupes d’utilisateurs.

2. Choisissez un groupe d’utilisateurs existant dans la liste ou créez-en un.

3. Choisissez l’onglet Messaging (Messagerie) et localisez les Message templates (Modèles de messages). Sélectionnez Verification messages (Messages de vérification), Invitation messages (Messages d’invitation), ou les MFA messages (Messages MFA) et choisissez Edit (Modifier).

4. Personnalisez les messages pour le type de message choisi.

   Note

   Toutes les variables des modèles de messages doivent être incluses lorsque vous personnalisez le message. Si la variable, par exemple {####}, n’est pas inclus, votre utilisateur ne disposera pas d’informations suffisantes pour terminer l’action de message.

   Pour plus d’informations, consultez Modèles de messages.

5. 1. Messages de vérification

      1. Choisissez un Type de vérification pour les messages e-mail. Un Code de vérification transfère un code numérique que l’utilisateur doit entrer. Un Lien de vérification transfère un lien sur lequel l’utilisateur peut cliquer pour vérifier ses coordonnées. Le texte de la variable d’un Lien du message s’affiche sous forme de texte de lien hypertexte. Par exemple, un modèle de message utilisant la variable {# #Click ici##} s’affiche sous la forme Cliquez ici dans l’e-mail.

      2. Saisissez un Objet de l’e-mail pour les messages e-mail.

      3. Saisissez un modèle de message e-mail personnalisé pour des messages e-mail. Vous pouvez personnaliser ce modèle avec du code HTML.

      4. Saisissez une personnalisation pour modèle de Message SMS pour SMS.

      5. Choisissez Enregistrer les modifications.

   2. Messages d’invitation

      1. Saisissez un Objet de l’e-mail pour les messages e-mail.

      2. Saisissez un modèle de message e-mail personnalisé pour des messages e-mail. Vous pouvez personnaliser ce modèle avec du code HTML.

      3. Saisissez une personnalisation pour modèle de Message SMS pour SMS.

      4. Choisissez Enregistrer les modifications.

   3. Messages MFA

      1. Saisissez une personnalisation pour modèle de Message SMS pour SMS.

      2. Choisissez Enregistrer les modifications.

Créez un utilisateur

Créez un utilisateur

Vous pouvez créer de nouveaux utilisateurs pour votre groupe d’utilisateurs à partir de la console Amazon Cognito. En règle générale, les utilisateurs peuvent se connecter après avoir défini un mot de passe. Pour se connecter avec une adresse e-mail ou un numéro de téléphone, un utilisateur doit vérifier l’attribut email. Pour se connecter avec un numéro de téléphone, l’utilisateur doit vérifier l’attribut phone_number. Pour confirmer les comptes en tant qu’administrateur, vous pouvez également utiliser l’interface AWS CLI ou l’API, ou créer des profils utilisateur avec un fournisseur d’identité fédéré. Pour plus d’informations, consultez la rubrique Référence d’API Amazon Cognito.

1. Accédez à la console Amazon Cognito, puis choisissez Groupes d’utilisateurs.

2. Choisissez un groupe d’utilisateurs existant dans la liste ou créez-en un.

3. Choisissez l’onglet Users (Utilisateurs), puis Create a user (Créer un utilisateur).

4. Vérifiez l’option User pool sign-in and security requirements (Exigences de sécurité et de connexion au groupe d’utilisateurs) pour obtenir des conseils sur les exigences de mot de passe, les méthodes de récupération de compte disponibles et les attributs d’alias pour votre groupe d’utilisateurs.

5. Choisissez comment envoyer un message d’invitation. Choisissez par SMS, par e-mail ou les deux.

   Note

   Avant de pouvoir envoyer des messages d’invitation, configurez un expéditeur et une Région AWS avec Amazon Simple Notification Service et Amazon Simple Email Service dans l’onglet Messaging (Messagerie) de votre groupe d’utilisateurs. Les tarifs des messages et des données du destinataire s’appliquent. Amazon SES facture séparément les e-mails et Amazon SNS facture séparément les SMS.

6. Choisissez un Nom d’utilisateur pour le nouvel utilisateur.

7. Choisissez si vous souhaitez créer un mot de passe ou autoriser Amazon Cognito à générer un mot de passe pour l’utilisateur. Tout mot de passe temporaire doit respecter la politique de mot de passe du groupe d’utilisateurs.

8. Choisissez Créer.

9. Choisissez l’onglet Users (Utilisateurs) et choisissez l’entrée User name (Nom d’utilisateur) pour l’utilisateur. Ajoutez et modifiez des User attributes (Attributs utilisateur) et des Group memberships (Appartenances de groupe). Passez en revue l’historique des événements d’utilisateur.