Bacini d'utenza di Amazon Cognito

Un pool di utenti Amazon Cognito è una directory utente per l'autenticazione e l'autorizzazione di app web e per dispositivi mobili. Dal punto di vista dell'app, un pool di utenti Amazon Cognito è un gestore dell'identità digitale OpenID Connect (OIDC). Un pool di utenti aggiunge ulteriori livelli di funzionalità per la sicurezza, la federazione delle identità, l'integrazione app e la personalizzazione dell'esperienza utente.

Puoi, ad esempio, verificare che le sessioni degli utenti provengano da fonti attendibili. Puoi combinare la directory Amazon Cognito con un provider di identità esterno. Con il tuo AWS SDK preferito, puoi scegliere il modello di autorizzazione API più adatto alla tua app. Inoltre, puoi aggiungere funzioni  AWS Lambda  che modificano o riorganizzano il comportamento predefinito di Amazon Cognito.

Argomenti

• Funzionalità
• Autenticazione con un bacino d'utenza
• Utilizzo dell'API dei pool di utenti Amazon Cognito e degli endpoint del pool di utenti
• Aggiornamento della configurazione del pool di utenti
• Configurazione e utilizzo dell'interfaccia utente ospitata di Amazon Cognito e degli endpoint di federazione
• Autorizzazione Scopes, M2M e API con server di risorse
• Aggiunta di un accesso al bacino d'utenza tramite terze parti
• Personalizzazione di flussi di lavoro di bacini d'utenza con trigger Lambda
• Utilizzo dell'analisi dei dati di Amazon Pinpoint con i bacini d'utenza di Amazon Cognito.
• Gestione degli utenti nel tuo bacino d'utenza
• Impostazioni e-mail per i bacini d'utenza di Amazon Cognito
• Impostazioni dei messaggi SMS per i bacini d'utenza di Amazon Cognito
• Utilizzo di token con bacini d'utenza
• Accesso alle risorse dopo una corretta autenticazione del bacino d'utenza
• Utilizzo delle caratteristiche di sicurezza dei pool di utenti di Amazon Cognito

Funzionalità

Di seguito sono riportate le funzionalità dei pool di utenti Amazon Cognito.

Registrazione

I pool di utenti Amazon Cognito dispongono di metodi programmatici, basati sugli utenti e sugli amministratori per aggiungere profili utente al pool di utenti. I pool di utenti Amazon Cognito supportano i seguenti modelli di registrazione. Puoi usare qualsiasi combinazione di questi modelli nell'app.

Importante

Se attivi la registrazione dell'utente nel pool di utenti, chiunque su Internet può effettuare la registrazione a un account e accedere alle tue app. Non abilitare la registrazione self-service nel pool di utenti a meno che non desideri aprire l'app alla registrazione pubblica. Per modificare questa impostazione, aggiorna l'iscrizione in modalità self-service nella scheda Esperienza di registrazione della console del pool di utenti o aggiorna il valore di AllowAdminCreateUserOnlyin una CreateUserPoolrichiesta o API. UpdateUserPool

Per informazioni sulle funzionalità di sicurezza che puoi configurare nei pool di utenti, consulta Utilizzo delle caratteristiche di sicurezza dei pool di utenti di Amazon Cognito.

1. Gli utenti possono inserire le proprie informazioni nell'app e creare un profilo utente nativo per il pool di utenti. Puoi chiamare operazioni di registrazione delle API per registrare gli utenti nel pool di utenti. Puoi aprire queste operazioni di registrazione a chiunque oppure puoi autorizzarle con un segreto o credenziali del client. AWS

2. Puoi reindirizzare gli utenti a un IdP di terze parti che può essere autorizzato a passare le informazioni ad Amazon Cognito. Amazon Cognito elabora i token ID OIDC, i dati userInfo OAuth 2.0 e le asserzioni SAML 2.0 nei profili utente del pool di utenti. Puoi controllare gli attributi che deve ricevere Amazon Cognito in base alle regole di mappatura degli attributi.

3. Puoi saltare la registrazione pubblica o federata e creare utenti in base all'origine dati e allo schema. Aggiungi gli utenti direttamente nella console di Amazon Cognito o nell'API. Importa utenti da un file CSV. Esegui una just-in-time AWS Lambda funzione che cerchi il nuovo utente in una directory esistente e compili il suo profilo utente con i dati esistenti.

Dopo la registrazione, è possibile aggiungerli ai gruppi elencati da Amazon Cognito nei token di accesso e ID. Puoi anche collegare i gruppi di pool di utenti ai ruoli IAM quando passi il token ID a un pool di identità.

Argomenti correlati

• Gestione degli utenti nel tuo bacino d'utenza

• Utilizzo dell'API dei pool di utenti Amazon Cognito e degli endpoint del pool di utenti

• Esempi di codice per Amazon Cognito Identity Provider che utilizza SDK AWS

Accesso

Amazon Cognito può essere una directory utente autonoma e gestore dell'identità digitale per l'app. Gli utenti possono accedere con un'interfaccia utente ospitata da Amazon Cognito o con la propria interfaccia utente tramite l'API dei pool di utenti Amazon Cognito. Il livello dell'applicazione dietro l'interfaccia utente personalizzata del front-end può autorizzare le richieste sul back-end con uno di diversi metodi per confermare le richieste legittime.

Per accedere agli utenti con una directory esterna, facoltativamente combinata con la directory utente integrata in Amazon Cognito, puoi aggiungere le seguenti integrazioni.

1. Accedi e importa i dati degli utenti con l'accesso social OAuth 2.0. Amazon Cognito supporta l'accesso con Google, Facebook, Amazon e Apple tramite OAuth 2.0.

2. Accedi e importa i dati degli utenti aziendali con l'accesso SAML e OIDC. Puoi anche configurare Amazon Cognito per accettare richieste da qualsiasi gestore dell'identità digitale SAML o OpenID Connect (OIDC).

3. Collega i profili utente esterni ai profili utente nativi. Un utente collegato può accedere con un'identità utente di terze parti e ricevere l'accesso assegnato a un utente nella directory integrata.

Argomenti correlati

• Aggiunta di un accesso al bacino d'utenza tramite terze parti

• Collegamento di utenti federati a un profilo utente esistente

Autorizzazione M achine-to-machine

Alcune sessioni non sono un' human-to-machine interazione. Potrebbe essere necessario un account di servizio in grado di autorizzare una richiesta a un'API tramite un processo automatico. Per generare token di accesso per l' machine-to-machine autorizzazione con ambiti OAuth 2.0, puoi aggiungere un client di app che genera concessioni di credenziali client.

Argomenti correlati

• Autorizzazione Scopes, M2M e API con server di risorse

Interfaccia utente ospitata

Quando non desideri creare un'interfaccia utente, puoi presentare agli utenti un'interfaccia utente personalizzata ospitata da Amazon Cognito. L'interfaccia utente ospitata è un insieme di pagine web per la registrazione, l'accesso, l'autenticazione a più fattori (MFA) e la reimpostazione della password. Puoi aggiungere l'interfaccia utente ospitata al tuo dominio esistente o utilizzare un identificatore di prefisso in un sottodominio. AWS

Argomenti correlati

• Configurazione e utilizzo dell'interfaccia utente ospitata di Amazon Cognito e degli endpoint di federazione

• Configurazione di un dominio di bacino d'utenza

Sicurezza

Gli utenti locali possono fornire un fattore di autenticazione aggiuntivo con un codice di un messaggio SMS o un'app che genera codici di autenticazione a più fattori (MFA). Puoi creare meccanismi per configurare ed elaborare l'autenticazione MFA nell'app oppure lasciare che sia l'interfaccia utente ospitata a gestirla. I pool di utenti Amazon Cognito possono ignorare l'autenticazione MFA quando gli utenti accedono da dispositivi affidabili.

Se inizialmente non desideri richiedere l'autenticazione MFA agli utenti, puoi richiederla in modo condizionale. Con funzionalità di sicurezza avanzate, Amazon Cognito è in grado di rilevare potenziali attività dannose e richiedere all'utente di configurare l'autenticazione MFA o bloccare l'accesso.

Se il traffico di rete verso il tuo pool di utenti potrebbe essere dannoso, puoi monitorarlo e intervenire con AWS WAF gli ACL web.

Argomenti correlati

• Aggiunta dell'autenticazione MFA a un bacino d'utenza

• Aggiunta di sicurezza avanzata a un bacino d'utenza

• Associazione di un ACL Web a un pool di utenti AWS WAF

Esperienza utente personalizzata

Nella maggior parte delle fasi di registrazione, accesso o aggiornamento profilo di un utente, puoi personalizzare il modo in cui Amazon Cognito gestisce la richiesta. Con i trigger Lambda, puoi modificare un token ID o rifiutare una richiesta di iscrizione in base a condizioni personalizzate. Puoi creare un flusso di autenticazione personalizzato.

Puoi caricare CSS e logo personalizzati affinché l'interfaccia utente ospitata abbia un aspetto familiare per gli utenti.

Argomenti correlati

• Personalizzazione di flussi di lavoro di bacini d'utenza con trigger Lambda

• Trigger Lambda di richieste di autenticazione personalizzate

• Personalizzazione delle pagine Web di registrazione e accesso integrate

Monitoraggio e analisi

I pool di utenti Amazon Cognito registrano le richieste API, incluse le richieste all'interfaccia utente ospitata, in  AWS CloudTrail. Puoi rivedere le metriche delle prestazioni in Amazon CloudWatch Logs, inviare log personalizzati con trigger CloudWatch Lambda e monitorare il volume delle richieste API nella console Service Quotas.

Puoi anche registrare i dati del dispositivo e della sessione dalle richieste API in una campagna Amazon Pinpoint. Con Amazon Pinpoint, puoi inviare notifiche push dall'app in base all'analisi dell'attività degli utenti.

Argomenti correlati

• Registrazione delle chiamate all'API Amazon Cognito con AWS CloudTrail

• Monitoraggio delle quote e dell'utilizzo in CloudWatch e Service Quotas

• Utilizzo dell'analisi dei dati di Amazon Pinpoint con i bacini d'utenza di Amazon Cognito.

Integrazione dei pool di identità di Amazon Cognito

L'altra metà di Amazon Cognito è costituita da pool di identità. I pool di identità forniscono credenziali che autorizzano e monitorano le richieste API inviate dai Servizi AWS tuoi utenti, ad esempio ad Amazon DynamoDB o Amazon S3. Puoi creare policy di accesso basate sull'identità che proteggono i dati in base alla classificazione degli utenti nel pool di utenti. I pool di identità possono anche accettare token e asserzioni SAML 2.0 da un'ampia gamma di provider di identità, a prescindere dall'autenticazione del pool di utenti.

Argomenti correlati

• Accesso Servizi AWS tramite un pool di identità dopo l'accesso

• Pool di identità di Amazon Cognito