Configuration de politiques pour la création d’utilisateurs - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de politiques pour la création d’utilisateurs

Votre groupe d’utilisateurs peut autoriser les utilisateurs à s’inscrire, ou vous pouvez les créer en tant qu’administrateur. Vous pouvez également contrôler la part du processus de vérification et de confirmation qui incombe à vos utilisateurs après l’inscription. Vous pouvez par exemple vérifier les inscriptions et les accepter sur selon un processus de validation externe. Cette configuration, ou la politique de création d’utilisateurs pour les administrateurs, définit également le délai avant qu’un utilisateur ne puisse plus confirmer son compte utilisateur.

Amazon Cognito peut répondre aux besoins de vos clients publics en tant que plateforme de gestion de l’identité et de l’accès des clients (CIAM) pour votre logiciel. Un groupe d’utilisateurs qui accepte l’inscription et possède un client d’application, avec ou sans interface utilisateur hébergée, crée un profil utilisateur pour toute personne sur Internet qui connaît votre identifiant client d’application accessible au public et qui demande à s’inscrire. Un profil utilisateur enregistré peut recevoir des jetons d’accès et d’identité et peut accéder aux ressources que vous avez autorisées pour votre application. Avant d’activer l’inscription dans votre groupe d’utilisateurs, passez en revue vos options et assurez-vous que votre configuration est conforme à vos normes de sécurité. Définissez avec soin Activer l’auto-inscription et AllowAdminCreateUserOnly, comme décrit dans les procédures suivantes.

AWS Management Console

L’onglet Expérience d’inscription de votre groupe d’utilisateurs et l’étape Configurer l’expérience d’inscription de l’assistant de création de groupe d’utilisateurs contiennent certains des paramètres d’inscription et de création administrative des utilisateurs de votre groupe d’utilisateurs.

Pour configurer l’expérience d’inscription

  1. Dans Vérification et confirmation assistées par Cognito, indiquez si vous souhaitez Autoriser Cognito à envoyer automatiquement des messages pour vérifier et confirmer. Lorsque ce paramètre est activé, Amazon Cognito envoie un e-mail ou un SMS aux nouveaux utilisateurs avec un code qu’ils doivent présenter à votre groupe d’utilisateurs. Cela confirme qu’ils sont propriétaires de l’adresse e-mail ou du numéro de téléphone, en définissant l’attribut équivalent comme vérifié et en confirmant le compte utilisateur pour la connexion. Les Attributs à vérifier que vous choisissez déterminent les méthodes de livraison et les destinations des messages de vérification.

  2. La vérification des modifications d’attributs n’est pas importante lorsque vous créez des utilisateurs, mais concerne la vérification des attributs. Vous pouvez autoriser les utilisateurs qui ont modifié leurs attributs de connexion, mais qui ne les ont pas encore vérifiés, à poursuivre la connexion avec leur nouvelle valeur d’attribut ou avec leur valeur d’origine. Pour de plus amples informations, veuillez consulter Vérification en cas de modification de l’adresse e-mail ou du numéro de téléphone par l’utilisateur.

  3. Les attributs obligatoires affichent les attributs pour lesquels une valeur doit être fournie avant qu’un utilisateur ne puisse s’inscrire ou avant que vous ne puissiez créer un utilisateur. Vous ne pouvez définir les attributs requis que dans l’assistant de création d’un groupe d’utilisateurs.

  4. Les attributs personnalisés sont importants pour le processus de création et d’inscription des utilisateurs, car vous ne pouvez définir une valeur pour les attributs personnalisés immuables que lorsque vous créez un utilisateur pour la première fois. Pour plus d’informations sur les attributs personnalisés, consultez Attributs personnalisés.

  5. Dans l’onglet Inscription en libre-service, sélectionnez Activer l’auto-inscription si vous souhaitez que les utilisateurs puissent générer un nouveau compte à l’aide de l’API SignUp non authentifiée. Si vous désactivez l’auto-inscription, vous ne pouvez créer de nouveaux utilisateurs qu’en tant qu’administrateur, sur la console Amazon Cognito ou avec des demandes d’API AdminCreateUser. Dans un groupe d’utilisateurs où l’auto-inscription est inactive, les demandes de l’API SignUp renvoient NotAuthorizedException et l’interface utilisateur hébergée n’affiche aucun lien S’inscrire.

Pour les groupes d’utilisateurs dans lesquels vous prévoyez de créer des utilisateurs en tant qu’administrateur, vous pouvez configurer la durée de leurs mots de passe temporaires dans l’onglet Expérience de connexion, sous Les mots de passe temporaires définis par les administrateurs expirent dans.

Le message d’invitation est un autre élément important de la création d’utilisateurs en tant qu’administrateur. Lorsque vous créez un utilisateur, Amazon Cognito lui envoie un message contenant un lien vers votre application afin qu’il puisse se connecter pour la première fois. Personnalisez ce modèle de message dans l’onglet Messagerie sous Modèles de message.

Vous pouvez configurer des clients d’application confidentiels, généralement des applications Web, avec un secret client qui empêche l’inscription sans le secret du client d’application. Selon une bonne pratique de sécurité, ne diffusez pas les secrets des clients d’applications dans des clients d’applications publics, généralement des applications mobiles. Vous pouvez créer des clients d’applications avec des secrets clients dans l’onglet Intégration des applications de la console Amazon Cognito.

Amazon Cognito user pools API

Vous pouvez définir par programmation les paramètres de création d’utilisateurs dans un groupe d’utilisateurs dans une demande d’API CreateUserPool ou UpdateUserPool.

L’élément AdminCreateUserConfig définit les valeurs des propriétés suivantes d’un groupe d’utilisateurs.

  1. Activer l’inscription en libre-service

  2. Le message d’invitation que vous envoyez aux nouveaux utilisateurs créés par l’administrateur

L’exemple suivant, lorsqu’il est ajouté au corps complet d’une demande d’API, définit un groupe d’utilisateurs avec une inscription en libre-service inactive et un e-mail d’invitation de base.

"AdminCreateUserConfig": { 
      "AllowAdminCreateUserOnly": true,
      "InviteMessageTemplate": { 
         "EmailMessage": "Your username is {username} and temporary password is {####}.",
         "EmailSubject": "Welcome to ExampleApp",
         "SMSMessage": "Your username is {username} and temporary password is {####}."
      }
   }

Les paramètres supplémentaires suivants d’une demande d’API CreateUserPool ou UpdateUserPool régissent la création de nouveaux utilisateurs.

AutoVerifiedAttributes

Les attributs, adresses e-mail ou numéros de téléphone auxquels vous souhaitez envoyer automatiquement un message lorsque vous enregistrez un nouvel utilisateur.

Stratégies

La politique de mot de passe du groupe d’utilisateurs.

Schema (Schéma)

Les attributs personnalisés du groupe d’utilisateurs. Ils sont importants pour le processus de création et d’inscription des utilisateurs, car vous ne pouvez définir une valeur pour les attributs personnalisés immuables que lorsque vous créez un utilisateur pour la première fois.

Ce paramètre définit également les attributs requis pour votre groupe d’utilisateurs. Le texte suivant, lorsqu’il est inséré dans l’élément Schema du corps complet d’une demande d’API, définit l’attribut email de la manière requise.

{
            "Name": "email",
            "Required": true
}