Utilisation des groupes d'identités (identités fédérées) - Amazon Cognito

Utilisation des groupes d'identités (identités fédérées)

Les groupes d'identités Amazon Cognito fournissent des informations d'identification AWS temporaires pour les utilisateurs invités (non authentifiés) et les utilisateurs qui se sont authentifiés et ont reçu un jeton. Un groupe d'identités stocke les données d'identité utilisateur spécifiques à votre compte.

Pour créer un groupe d'identités dans la console

  1. Connectez-vous à la console Amazon Cognito, puis choisissez Manage Identity Pools (Gérer les groupes d'identités) et Create new identity pool (Créer un groupe d'identités).

  2. Saisissez un nom pour le groupe d'identités.

  3. Pour activer les identités non authentifiées, sélectionnez Enable access to unauthenticated identities (Activer l'accès aux identités non authentifiées) dans la section réductible Unauthenticated Identities (Identités non authentifiées).

  4. Si vous le souhaitez, vous pouvez configurer un fournisseur d'authentification dans la section Authentication providers (Fournisseurs d'authentification).

  5. Sélectionnez Créer un groupe.

    Note

    Au moins une identité est requise pour un groupe valide d'identités.

  6. Vous êtes invité à accéder à vos ressources AWS.

    Sélectionnez Allow (Autoriser) pour créer les deux rôles par défaut associés à votre groupe d'identités : un pour les utilisateurs non authentifiés et un pour les utilisateurs authentifiés. Ces rôles par défaut donnent à votre groupe d'identités l'accès à Amazon Cognito Sync. Vous pouvez modifier les rôles associés à votre groupe d'identités dans la console IAM. Pour des instructions supplémentaires sur l'utilisation de la console Amazon Cognito, consultez Utilisation de la console Amazon Cognito.

Rôles IAM d'utilisateur

Un rôle IAM définit les autorisations d'accès de vos utilisateurs à des ressources AWS, telles que Amazon Cognito Sync. Les utilisateurs de votre application assument les rôles que vous créez. Vous pouvez spécifier différents rôles pour les utilisateurs authentifiés et ceux qui ne le sont pas. Pour plus d'informations sur les rôles IAM, consultez la section Rôles IAM.

Identités authentifiées et non authentifiées

Les groupes d'identités Amazon Cognito prennent en charge les identités authentifiées et non authentifiées. Les identités authentifiées appartiennent aux utilisateurs authentifiés par tout fournisseur d'identité pris en charge. Les identités non authentifiées appartiennent généralement aux utilisateurs invités.

Activation ou désactivation des identités non authentifiées

Les groupes d'identités Amazon Cognito prennent en charge les identités non authentifiées en fournissant un identifiant unique et les informations d'identification AWS pour les utilisateurs qui ne s'authentifient pas avec un fournisseur d'identité. Si votre application accepte les utilisateurs sans qu'ils n'aient besoin de s'y connecter, vous pouvez activer l'accès pour les identités non authentifiées. Pour en savoir plus, consultez Démarrage avec les groupes d'identités Amazon Cognito (identités fédérées).

Choisissez Manage Identity Pools (Gérer les groupes d'identité) dans la console Amazon Cognito :

  1. Sélectionnez le nom du groupe d'identités pour lequel vous souhaitez activer ou désactiver les identités non authentifiées. La page Dashboard (Tableau de bord) correspondant à votre groupe d'identités s'affiche.

  2. Dans l'angle supérieur droit de la page Dashboard (Tableau de bord), sélectionnez Edit identity pool (Modifier le groupe d'identités). La page Edit identity pool (Modifier le groupe d'identités) s'affiche.

  3. Faites défiler l'écran vers le bas et sélectionnez Unauthenticated identities (Identités non authentifiées) pour développer cette option.

  4. Sélectionnez la case à cocher pour activer ou désactiver l'accès aux identités non authentifiées.

  5. Sélectionnez Save Changes (Enregistrer les modifications).

Modification du rôle associé à un type d'identité

Chaque identité de votre groupe est authentifiée ou non authentifiée. Les identités authentifiées appartiennent aux utilisateurs authentifiés par un fournisseur de connexion public (groupes d'utilisateurs Amazon Cognito, Login with Amazon, Se connecter avec Apple, Facebook, Google, SAML ou fournisseurs OpenID Connect) ou par un fournisseur de développement (votre propre processus d'authentification backend). Les identités non authentifiées appartiennent généralement aux utilisateurs invités.

Un rôle est attribué à chaque type d'identité. Ce rôle est associé à une politique qui détermine quels sont les Services AWS auquel il peut accéder. Quand Amazon Cognito reçoit une requête, le service détermine le type d'identité, identifie le rôle qui lui est assigné et utilise la politique associée à ce rôle pour répondre. Pour contrôler les Services AWS auxquels un type d'identité peut accéder, vous pouvez modifier une politique ou attribuer un autre rôle. Pour afficher ou modifier les politiques associées aux rôles de votre groupe d'identités, consultez la console IAM AWS.

Vous pouvez facilement changer le rôle associé à un type d'identité à l'aide de la console de groupe d'identités Amazon Cognito (Identités fédérées) . Choisissez Manage Identity Pools (Gérer les groupes d'identité) dans la console Amazon Cognito :

  1. Sélectionnez le nom du groupe d'identités pour lequel vous voulez modifier les rôles. La page Dashboard (Tableau de bord) correspondant à votre groupe d'identités s'affiche.

  2. Dans l'angle supérieur droit de la page Dashboard (Tableau de bord), sélectionnez Edit identity pool (Modifier le groupe d'identités). La page Edit identity pool (Modifier le groupe d'identités) s'affiche.

  3. Utilisez les listes déroulantes Unauthenticated Role (Rôle non authentifié) ou Authenticated Role (Rôle authentifié) pour modifier les rôles. Sélectionnez Create new role (Créer un rôle) pour créer ou modifier les rôles associés à chaque type d'identité dans la console IAM AWS. Pour en savoir plus, veuillez consulter Rôles IAM.

Activation ou modification des fournisseurs d'authentification

Si vous autorisez vos utilisateurs à s'authentifier à l'aide de fournisseurs d'identité publics (par exemple, les groupes d'utilisateurs Amazon Cognito, Login with Amazon, Se connecter avec Apple, Facebook ou Google), vous pouvez spécifier vos identifiants d'application dans la console des groupes d'identités Amazon Cognito (identités fédérées). Cette approche associe l'ID de l'application (fourni par le fournisseur de connexion public) à votre groupe d'identités.

Vous pouvez également configurer des règles d'authentification pour chaque fournisseur sur cette page. Chaque fournisseur autorisé jusqu'à 25 règles. Ces règles sont appliquées dans l'ordre d'enregistrement pour chaque fournisseur. Pour plus d'informations, consultez Contrôle d'accès basé sur les rôles.

Avertissement

Le remplacement de l'ID d'application auquel un groupe d'identités est lié empêche les utilisateurs de s'authentifier avec ce groupe d'identités. En savoir plus sur Fournisseurs d'identité externes aux groupes d'identités (identités fédérées).

Choisissez Manage Identity Pools (Gérer les groupes d'identité) dans la console Amazon Cognito :

  1. Sélectionnez le nom du groupe d'identités pour lequel vous souhaitez activer le fournisseur externe. La page Dashboard (Tableau de bord) correspondant à votre groupe d'identités s'affiche.

  2. Dans l'angle supérieur droit de la page Dashboard (Tableau de bord), sélectionnez Edit identity pool (Modifier le groupe d'identités). La page Edit identity pool (Modifier le groupe d'identités) s'affiche.

  3. Faites défiler l'écran vers le bas et sélectionnez Authentication providers (Fournisseurs d'authentification) pour développer cette option.

  4. Sélectionnez l'onglet correspondant au fournisseur approprié, puis saisissez les informations requises associées à ce fournisseur d'authentification.

Supprimer un groupe d'identités

Choisissez Manage Identity Pools (Gérer les groupes d'identité) dans la console Amazon Cognito :

  1. Sélectionnez le nom du groupe d'identités que vous souhaitez supprimer. La page Dashboard (Tableau de bord) correspondant à votre groupe d'identités s'affiche.

  2. Dans l'angle supérieur droit de la page Dashboard (Tableau de bord), sélectionnez Edit identity pool (Modifier le groupe d'identités). La page Edit identity pool (Modifier le groupe d'identités) s'affiche.

  3. Faites défiler l'écran vers le bas et sélectionnez Delete identity pool (Supprimer un groupe d'identités) pour développer cette option.

  4. Sélectionnez Delete identity pool (Supprimer un groupe d'identités).

  5. Sélectionnez Delete pool (Supprimer un groupe).

Avertissement

Lorsque vous sélectionnez le bouton Delete (Supprimer), vous supprimez définitivement votre groupe d'identités et toutes les données utilisateur qu'il contient. Par ailleurs, les applications et les autres services qui utilisaient ce groupe d'identités cessent de fonctionner.

Supprimer une identité d'un groupe d'identités

Choisissez Manage Identity Pools (Gérer les groupes d'identité) dans la console Amazon Cognito :

  1. Sélectionnez le nom du groupe qui contient l'identité que vous souhaitez supprimer. La page Dashboard (Tableau de bord) correspondant à votre groupe d'identités s'affiche.

  2. Dans le volet de navigation de gauche de la page Dashboard (Tableau de bord), sélectionnez Identity browser (Navigateur d'identités). La page Identities (Identités) apparaît.

  3. Sur la page Identities (Identités), saisissez l'ID de l'identité que vous souhaitez supprimer, puis sélectionnez Search (Rechercher).

  4. Sur la page Identity details (Détails relatifs à l'identité), sélectionnez le bouton Delete identity (Supprimer une identité), puis Delete (Supprimer).