Bacini d'utenza di Amazon Cognito

Un pool di utenti Amazon Cognito è una directory utente per l'autenticazione e l'autorizzazione di app web e per dispositivi mobili. Dal punto di vista della tua app, un pool di utenti Amazon Cognito è un provider di identità (IdP) OpenID Connect (OIDC). Un pool di utenti aggiunge ulteriori livelli di funzionalità per la sicurezza, la federazione delle identità, l'integrazione app e la personalizzazione dell'esperienza utente.

Puoi, ad esempio, verificare che le sessioni degli utenti provengano da fonti attendibili. Puoi combinare la directory Amazon Cognito con un provider di identità esterno. Con il tuo preferito AWS SDK, puoi scegliere il modello di API autorizzazione più adatto alla tua app. Inoltre, puoi aggiungere funzioni  AWS Lambda  che modificano o riorganizzano il comportamento predefinito di Amazon Cognito.

Argomenti

• Funzionalità
• Autenticazione con un bacino d'utenza
• Utilizzo dei pool di utenti API e del server di autorizzazione
• Aggiornamento della configurazione del pool di utenti e del client dell'app
• Gestione dell'interfaccia utente e del server di autorizzazione ospitati
• Scopes, M2M e APIs con server di risorse
• Aggiunta di un accesso al bacino d'utenza tramite terze parti
• Personalizzazione di flussi di lavoro di bacini d'utenza con trigger Lambda
• Utilizzo di Amazon Pinpoint per l'analisi dei pool di utenti
• Gestione degli utenti nel tuo bacino d'utenza
• Impostazioni e-mail per i bacini d'utenza di Amazon Cognito
• SMSimpostazioni dei messaggi per i pool di utenti di Amazon Cognito
• Comprensione dei token JSON web del pool di utenti () JWTs
• Accesso alle risorse dopo aver effettuato correttamente l'accesso
• Utilizzo delle caratteristiche di sicurezza dei pool di utenti di Amazon Cognito
• Endpoint del pool di utenti e riferimento all'interfaccia utente ospitata

Funzionalità

Di seguito sono riportate le funzionalità dei pool di utenti Amazon Cognito.

Registrazione

I pool di utenti Amazon Cognito dispongono di metodi programmatici, basati sugli utenti e sugli amministratori per aggiungere profili utente al pool di utenti. I pool di utenti Amazon Cognito supportano i seguenti modelli di registrazione. Puoi usare qualsiasi combinazione di questi modelli nell'app.

Importante

Se attivi la registrazione dell'utente nel pool di utenti, chiunque su Internet può effettuare la registrazione a un account e accedere alle tue app. Non abilitare la registrazione self-service nel pool di utenti a meno che non desideri aprire l'app alla registrazione pubblica. Per modificare questa impostazione, aggiorna l'iscrizione in modalità self-service nella scheda Esperienza di registrazione della console del pool di utenti o aggiorna il valore di AllowAdminCreateUserOnlyin una CreateUserPoolrichiesta. UpdateUserPoolAPI

Per informazioni sulle funzionalità di sicurezza che puoi configurare nei pool di utenti, consulta Utilizzo delle caratteristiche di sicurezza dei pool di utenti di Amazon Cognito.

1. Gli utenti possono inserire le proprie informazioni nell'app e creare un profilo utente nativo per il pool di utenti. Puoi chiamare le operazioni di API registrazione per registrare gli utenti nel tuo pool di utenti. Puoi aprire queste operazioni di registrazione a chiunque oppure puoi autorizzarle con un segreto o delle credenziali del cliente. AWS

2. Puoi reindirizzare gli utenti a un IdP di terze parti che può essere autorizzato a passare le informazioni ad Amazon Cognito. Amazon Cognito elabora i token OIDC id, i userInfo dati OAuth 2.0 e le asserzioni SAML 2.0 nei profili utente del tuo pool di utenti. Puoi controllare gli attributi che deve ricevere Amazon Cognito in base alle regole di mappatura degli attributi.

3. Puoi saltare la registrazione pubblica o federata e creare utenti in base all'origine dati e allo schema. Aggiungi utenti direttamente nella console Amazon Cognito oppure. API Importa utenti da un CSV file. Esegui una just-in-time AWS Lambda funzione che cerchi il nuovo utente in una directory esistente e compili il suo profilo utente con i dati esistenti.

Dopo la registrazione, è possibile aggiungerli ai gruppi elencati da Amazon Cognito nei token di accesso e ID. È inoltre possibile collegare i gruppi di pool di utenti ai IAM ruoli quando si passa il token ID a un pool di identità.

Argomenti correlati

• Gestione degli utenti nel tuo bacino d'utenza

• Utilizzo dei pool di utenti API e del server di autorizzazione

• Esempi di codice per l'utilizzo di Amazon Cognito Identity Provider AWS SDKs

Accesso

Amazon Cognito può essere una directory utente autonoma e gestore dell'identità digitale per l'app. I tuoi utenti possono accedere con un'interfaccia utente ospitata da Amazon Cognito o con la tua interfaccia utente tramite i pool di utenti di Amazon Cognito. API Il livello dell'applicazione dietro l'interfaccia utente personalizzata del front-end può autorizzare le richieste sul back-end con uno di diversi metodi per confermare le richieste legittime.

Per accedere agli utenti con una directory esterna, facoltativamente combinata con la directory utente integrata in Amazon Cognito, puoi aggiungere le seguenti integrazioni.

1. Accedi e importa i dati degli utenti consumatori con l'accesso social OAuth 2.0. Amazon Cognito supporta l'accesso con Google, Facebook, Amazon e Apple fino alla versione 2.0. OAuth

2. Accedi e importa i dati degli utenti aziendali con SAML e OIDC accedi. Puoi anche configurare Amazon Cognito per accettare reclami da qualsiasi provider di identità (IdP) o SAML OpenID Connect (OIDC).

3. Collega i profili utente esterni ai profili utente nativi. Un utente collegato può accedere con un'identità utente di terze parti e ricevere l'accesso assegnato a un utente nella directory integrata.

Argomenti correlati

• Aggiunta di un accesso al bacino d'utenza tramite terze parti

• Collegamento di utenti federati a un profilo utente esistente

La mia autorizzazione achine-to-machine

Alcune sessioni non sono un' human-to-machine interazione. Potrebbe essere necessario un account di servizio in grado di autorizzare una richiesta a un utente API tramite un processo automatizzato. Per generare token di accesso per l' machine-to-machine autorizzazione con ambiti OAuth 2.0, puoi aggiungere un client di app che genera concessioni di credenziali client.

Argomenti correlati

• Scopes, M2M e APIs con server di risorse

Interfaccia utente ospitata

Quando non desideri creare un'interfaccia utente, puoi presentare agli utenti un'interfaccia utente personalizzata ospitata da Amazon Cognito. L'interfaccia utente ospitata è un insieme di pagine Web per la registrazione, l'accesso, l'autenticazione a più fattori () e la reimpostazione della password. MFA Puoi aggiungere l'interfaccia utente ospitata al tuo dominio esistente o utilizzare un identificatore di prefisso in un sottodominio. AWS

Argomenti correlati

• Gestione dell'interfaccia utente e del server di autorizzazione ospitati

• Configurazione di un dominio di bacino d'utenza

Sicurezza

Gli utenti locali possono fornire un fattore di autenticazione aggiuntivo con un codice contenuto in un SMS messaggio o un'app che genera codici di autenticazione a più fattori (). MFA Puoi creare meccanismi da configurare ed elaborare MFA nella tua app oppure puoi lasciare che sia l'interfaccia utente ospitata a gestirla. I pool di utenti di Amazon Cognito possono ignorare MFA quando gli utenti accedono da dispositivi affidabili.

Se inizialmente non desideri richiederlo ai tuoi utenti, puoi MFA richiederlo in modo condizionale. Con funzionalità di sicurezza avanzate, Amazon Cognito è in grado di rilevare potenziali attività dannose e richiedere all'utente di configurare o bloccare MFA l'accesso.

Se il traffico di rete verso il tuo pool di utenti potrebbe essere dannoso, puoi monitorarlo e intervenire sul web. AWS WAF ACLs

Argomenti correlati

• Aggiunta MFA a un pool di utenti

• Funzionalità di sicurezza avanzate del pool di utenti

• Associazione di un AWS WAF Web a un pool di utenti ACL

Esperienza utente personalizzata

Nella maggior parte delle fasi di registrazione, accesso o aggiornamento profilo di un utente, puoi personalizzare il modo in cui Amazon Cognito gestisce la richiesta. Con i trigger Lambda, puoi modificare un token ID o rifiutare una richiesta di iscrizione in base a condizioni personalizzate. Puoi creare un flusso di autenticazione personalizzato.

Puoi caricare loghi CSS e loghi personalizzati per conferire all'interfaccia utente ospitata un aspetto familiare agli utenti.

Argomenti correlati

• Personalizzazione di flussi di lavoro di bacini d'utenza con trigger Lambda

• Trigger Lambda di richieste di autenticazione personalizzate

• Personalizzazione delle pagine Web di registrazione e accesso integrate

Monitoraggio e analisi

Gli utenti di Amazon Cognito raggruppano API le richieste di log, incluse le richieste all'interfaccia utente ospitata, a. AWS CloudTrail Puoi rivedere le metriche delle prestazioni in Amazon CloudWatch Logs, inviare log personalizzati con trigger CloudWatch Lambda e monitorare il volume delle richieste API nella console Service Quotas.

Puoi anche registrare i dati del dispositivo e della sessione dalle tue API richieste a una campagna Amazon Pinpoint. Con Amazon Pinpoint, puoi inviare notifiche push dall'app in base all'analisi dell'attività degli utenti.

Argomenti correlati

• Accesso ad Amazon Cognito AWS CloudTrail

• Monitoraggio delle quote e dell'utilizzo in CloudWatch e Service Quotas

• Utilizzo di Amazon Pinpoint per l'analisi dei pool di utenti

Integrazione dei pool di identità di Amazon Cognito

L'altra metà di Amazon Cognito è costituita da pool di identità. I pool di identità forniscono credenziali che autorizzano e monitorano API le richieste inviate dai Servizi AWS tuoi utenti, ad esempio ad Amazon DynamoDB o Amazon S3. Puoi creare policy di accesso basate sull'identità che proteggono i dati in base alla classificazione degli utenti nel pool di utenti. I pool di identità possono anche accettare token e asserzioni SAML 2.0 da diversi provider di identità, indipendentemente dall'autenticazione del pool di utenti.

Argomenti correlati

• Accesso Servizi AWS tramite un pool di identità dopo l'accesso

• Pool di identità di Amazon Cognito