Ajoutez des fonctionnalités et des options de sécurité supplémentaires à votre groupe d'utilisateurs

Après avoir suivi les didacticiels pour réaliser des exemples d'applications, vous pouvez élargir le champ d'implémentation de votre groupe d'utilisateurs. Ou, si vous n'avez pas créé d'application de test, créez un nouveau groupe d'utilisateurs en fonction de vos préférences. Vous pouvez personnaliser les fonctionnalités du groupe d'utilisateurs pour d'autres applications ou ajouter des fournisseurs d'identité externes. Lorsque vous planifiez votre migration vers l'intégration des groupes d'utilisateurs Amazon Cognito dans les applications de production, vous pouvez évaluer des exemples et des didacticiels supplémentaires.

Voici quelques fonctionnalités supplémentaires relatives aux groupes d'utilisateurs Amazon Cognito :

• Personnalisation des pages web intégrées d'inscription et de connexion

• Ajouter MFA à un groupe d'utilisateurs

• Fonctionnalités de sécurité avancées du pool d'utilisateurs

• Personnalisation des flux de travail de groupe d'utilisateurs avec des déclencheurs Lambda

• Utilisation d'Amazon Pinpoint pour l'analyse des groupes d'utilisateurs

Pour une présentation des modèles d'authentification et d'autorisation Amazon Cognito, consultez. Comment fonctionne l'authentification avec Amazon Cognito

Pour accéder aux autres utilisateurs Services AWS après une authentification réussie du groupe d'utilisateurs, consultezAccès à Services AWS l'aide d'un pool d'identités après la connexion.

Outre l'utilisation du groupe d'utilisateurs AWS Management Console et du groupe d'utilisateursSDKs, vous pouvez également gérer vos groupes d'utilisateurs à l'aide du AWS Command Line Interface.

Rubriques

• Création d'un nouveau groupe d'utilisateurs
• Ajouter un client d'application avec l'interface utilisateur hébergée
• Ajoutez la connexion sociale à votre groupe d'utilisateurs
• Ajouter un fournisseur d'identité SAML 2.0

Création d'un nouveau groupe d'utilisateurs

La procédure suivante est un guide général pour créer un nouveau groupe d'utilisateurs dans la console Amazon Cognito. Vous pouvez également accéder directement à la console et suivre l'expérience guidée et le contenu de l'aide en ligne.

Pour créer un nouveau groupe d'utilisateurs

1. Accédez à la console Amazon Cognito. Si vous y êtes invité, entrez vos AWS informations d'identification.

2. Cliquez sur le bouton Créer un groupe d'utilisateurs. Vous devrez peut-être sélectionner les groupes d'utilisateurs dans le volet de navigation de gauche pour afficher cette option.

3. Dans le coin supérieur droit de la page, choisissez Créer un groupe d'utilisateurs pour lancer l'assistant de création de groupe d'utilisateurs.

4. Dans Configurer l'expérience de connexion, vous pouvez choisir les fournisseurs d'identité (IdPs) que vous utiliserez avec ce groupe d'utilisateurs. Pour de plus amples informations, veuillez consulter Ajout de la connexion du groupe d'utilisateurs via un tiers.

   1. Sous Fournisseurs d'authentification, pour les types de fournisseurs, assurez-vous que seul le groupe d'utilisateurs Cognito est sélectionné.

   2. Pour les options de connexion au groupe d'utilisateurs de Cognito, sélectionnez Nom d'utilisateur. Ne sélectionnez aucune exigence supplémentaire en matière de nom d'utilisateur.

   3. Conservez toutes les autres options par défaut et choisissez Next.

5. Dans Configurer les exigences de sécurité, vous pouvez choisir votre politique de mot de passe, vos exigences en matière d'authentification MFA multifactorielle () et les options de restauration du compte utilisateur. Pour de plus amples informations, veuillez consulter Utiliser les fonctions de sécurité des groupes d’utilisateurs Amazon Cognito.

   1. Pour la politique de mot de passe, vérifiez que le mode de politique de mot de passe est défini sur les valeurs par défaut de Cognito.

   2. Sous Authentification multifactorielle, pour MFAl'appliquer, sélectionnez Facultatif MFA.

   3. Pour les MFAméthodes, choisissez Applications et SMS message d'authentification.

   4. Pour la restauration du compte utilisateur, vérifiez que l'option Activer la restauration du compte en libre-service est sélectionnée et que le mode de livraison des messages de récupération du compte utilisateur est défini sur E-mail uniquement.

   5. Conservez toutes les autres options par défaut et choisissez Next.

6. Dans Configurer l'expérience d'inscription, vous pouvez déterminer comment les nouveaux utilisateurs vérifieront leur identité lors de leur inscription en tant que nouvel utilisateur, et quels attributs doivent être obligatoires ou facultatifs lors du processus d'inscription des utilisateurs. Pour de plus amples informations, veuillez consulter Gestion des utilisateurs dans votre groupe d'utilisateurs.

   1. Vérifiez que l'option Activer l'enregistrement automatique est sélectionnée. Ce paramètre ouvre votre groupe d'utilisateurs afin que n'importe qui puisse s'inscrire sur Internet. Ceci est destiné aux besoins de l'exemple d'application, mais appliquez ce paramètre avec prudence dans les environnements de production.

   2. Sous Vérification et confirmation assistées par Cognito, vérifiez que la case Autoriser Cognito à envoyer automatiquement des messages pour vérifier et confirmer est cochée.

   3. Vérifiez que les attributs à vérifier sont définis sur Envoyer un message électronique, vérifier l'adresse e-mail.

   4. Sous Vérification des modifications d'attributs, vérifiez que les options par défaut sont sélectionnées : Conserver la valeur d'attribut d'origine lorsqu'une mise à jour est en attente est sélectionnée, et les valeurs d'attribut actives lorsqu'une mise à jour est en attente sont définies sur Adresse e-mail.

   5. Sous Attributs obligatoires, vérifiez que les attributs obligatoires basés sur les sélections précédentes affichent le courrier électronique.

      Important

      Pour cet exemple d'application, votre groupe d'utilisateurs ne doit pas définir phone_number comme attribut obligatoire. Si phone_number est affiché comme attribut obligatoire, passez en revue et mettez à jour vos choix précédents :

      • Facultatif MFA, e-mail uniquement pour le mode de livraison des messages de récupération du compte utilisateur

      • Envoyer un message électronique, vérifier l'adresse e-mail pour les attributs à vérifier

   6. Conservez toutes les autres options par défaut et choisissez Next.

7. Dans Configurer la livraison des messages, vous pouvez configurer l'intégration avec Amazon Simple Email Service et Amazon Simple Notification Service pour envoyer des e-mails et SMS des messages à vos utilisateurs pour l'inscription, la confirmation du compte et le rétablissement du compte. MFA Pour plus d’informations, consultez Paramètres d'e-mail pour les groupes d'utilisateurs Amazon Cognito et SMSparamètres des messages pour les groupes d'utilisateurs Amazon Cognito.

   1. Pour le fournisseur de messagerie, choisissez Envoyer un e-mail avec Cognito et utilisez l'expéditeur d'e-mail par défaut fourni par Amazon Cognito. Ce paramètre pour un faible volume d'e-mails est suffisant pour tester les applications. Vous pouvez revenir après avoir vérifié une adresse e-mail auprès d'Amazon Simple Email Service (AmazonSES) et choisi Envoyer un e-mail avec Amazon SES.

   2. Pour SMS, sélectionnez Créer un nouveau IAM rôle et entrez un nom de IAM rôle. Cela crée un rôle qui autorise Amazon Cognito à envoyer SMS des messages.

   3. Conservez toutes les autres options par défaut et choisissez Next.

8. Dans Intégrer votre application, vous pouvez nommer votre groupe d'utilisateurs, configurer l'interface utilisateur hébergée et créer un client d'application. Pour de plus amples informations, veuillez consulter Ajouter un client d'application avec l'interface utilisateur hébergée. Les exemples d'applications n'utilisent pas l'interface utilisateur hébergée.

   1. Sous Nom du groupe d'utilisateurs, entrez un nom de groupe d'utilisateurs.

   2. Ne sélectionnez pas Utiliser l'interface utilisateur hébergée par Cognito.

   3. Sous Client d'application initial, vérifiez que le type d'application est défini sur Client public.

   4. Sous Secret client, vérifiez que l'option Ne pas générer de secret client est sélectionnée.

   5. Saisissez un nom de client d’application.

   6. Développez les paramètres avancés du client de l'application. Ajoutez ALLOW_USER_PASSWORD_AUTH à la liste des flux d'authentification.

   7. Conservez toutes les autres options par défaut et choisissez Next.

9. Passez en revue vos choix dans l'écran Révision et création et modifiez les sélections selon vos besoins. Lorsque vous êtes satisfait de la configuration de votre groupe d'utilisateurs, choisissez Create user pool pour continuer.

10. Sur la page Groupes d'utilisateurs, choisissez votre nouveau groupe d'utilisateurs.

11. Sous Vue d'ensemble du groupe d'utilisateurs, notez l'ID de votre groupe d'utilisateurs. Vous fournirez cette chaîne lorsque vous créerez votre exemple d'application.

12. Choisissez l'onglet Intégration des applications et localisez la section Clients et analyses des applications. Sélectionnez votre nouveau client d'application. Notez votre numéro de client.

Pour créer un groupe d'utilisateurs

1. Accédez à la console Amazon Cognito. Si vous y êtes invité, entrez vos AWS informations d'identification.

2. Choisissez Groupes d'utilisateurs.

3. Dans l'angle supérieur droit de la page, choisissez Créer un groupe d'utilisateurs pour lancer l'assistant de création de groupe d'utilisateurs.

4. Dans la section Configurer l'expérience de connexion, choisissez les fournisseurs fédérés que vous utiliserez avec ce groupe d'utilisateurs. Pour de plus amples informations, veuillez consulter Ajout de la connexion du groupe d'utilisateurs via un tiers.

5. Dans Configurer les exigences de sécurité, choisissez votre politique de mot de passe, vos exigences en matière d'authentification MFA multifactorielle () et les options de restauration du compte utilisateur. Pour de plus amples informations, veuillez consulter Utiliser les fonctions de sécurité des groupes d’utilisateurs Amazon Cognito.

6. Dans la sectionConfigurer l'expérience d'inscription, déterminez comment les nouveaux utilisateurs vérifieront leur identité lors de leur inscription et quels attributs seront requis ou facultatifs pendant le flux d'inscription de l'utilisateur. Pour de plus amples informations, veuillez consulter Gestion des utilisateurs dans votre groupe d'utilisateurs.

   Important

   Si vous activez l'inscription des utilisateurs dans votre groupe d'utilisateurs, n'importe qui sur Internet peut créer un compte et se connecter à vos applications. N'activez pas l'auto-inscription dans votre groupe d'utilisateurs, sauf si vous souhaitez ouvrir votre application à des inscriptions publiques. Pour modifier ce paramètre, mettez à jour l'inscription en libre-service dans l'onglet Expérience d'inscription de la console du groupe d'utilisateurs, ou mettez à jour la valeur de AllowAdminCreateUserOnlydans une CreateUserPooldemande or. UpdateUserPoolAPI

   Pour plus d'informations sur les fonctionnalités de sécurité que vous pouvez configurer dans vos groupes d'utilisateurs, consultez Utiliser les fonctions de sécurité des groupes d’utilisateurs Amazon Cognito.

7. Dans Configurer la livraison des messages, configurez l'intégration avec Amazon Simple Email Service et Amazon Simple Notification Service pour envoyer des e-mails et SMS des messages à vos utilisateurs pour l'inscription, la confirmation du compte et le rétablissement du compte. MFA Pour plus d’informations, consultez Paramètres d'e-mail pour les groupes d'utilisateurs Amazon Cognito et SMSparamètres des messages pour les groupes d'utilisateurs Amazon Cognito.

8. Dans Intégrez votre application, nommez votre groupe d'utilisateurs, configurez l'interface utilisateur hébergée et créez un client d'application. Pour de plus amples informations, veuillez consulter Ajouter un client d'application avec l'interface utilisateur hébergée.

9. Passez en revue vos choix dans l'écran Révision et création et modifiez les sélections selon vos besoins. Lorsque vous êtes satisfait de la configuration de votre groupe d'utilisateurs, sélectionnez Créer un groupe d'utilisateurs pour continuer.

Ressources connexes

Pour plus d'informations sur les groupes d'utilisateurs, consultez Groupes d’utilisateurs Amazon Cognito.

Voir également : Flux d'authentification de groupe d'utilisateurs etComprendre les jetons JSON Web du pool d'utilisateurs (JWTs).