Panoramica della console dei pool di identità

I pool di identità di Amazon Cognito forniscono AWS credenziali temporanee per gli utenti ospiti (non autenticati) e per gli utenti che sono stati autenticati e hanno ricevuto un token. Un pool di identità è un archivio di identificatori utente collegati ai tuoi provider di identità esterni.

Un modo per comprendere le caratteristiche e le opzioni dei pool di identità è crearne uno nella console Amazon Cognito. Puoi esplorare l'effetto di diverse impostazioni sui flussi di autenticazione, sul controllo degli accessi basato su ruoli e attributi e sull'accesso degli ospiti. Da qui, puoi passare ai capitoli successivi di questa guida e aggiungere i componenti appropriati all'applicazione in modo da poter implementare l'autenticazione del pool di identità.

Crea un pool di identità di

Per creare un nuovo pool di identità nella console

1. Accedi alla console di Amazon Cognito e seleziona Pool di identità.

2. Scegli Crea pool di identità.

3. In Configurazione dell'attendibilità del pool di identità, scegli di configurare il pool di identità per Accesso autenticato, Accesso guest o entrambi.

   1. Se hai scelto Accesso autenticato, seleziona uno o più Tipi di identità che desideri impostare come origine delle identità autenticate nel pool di identità. Se configuri un Provider degli sviluppatori personalizzato, non puoi modificarlo né eliminarlo dopo aver creato il pool di identità.

4. In Configura le autorizzazioni, scegli un IAM ruolo predefinito per gli utenti autenticati o ospiti nel tuo pool di identità.

   1. Scegli di creare un nuovo IAM ruolo se desideri che Amazon Cognito crei un nuovo ruolo per te con autorizzazioni di base e una relazione di fiducia con il tuo pool di identità. Inserisci il nome di un IAM ruolo per identificare, ad esempio, il tuo nuovo ruolo. myidentitypool_authenticatedrole Seleziona Visualizza documento di policy per esaminare le autorizzazioni che Amazon Cognito assegnerà al tuo nuovo ruolo. IAM

   2. Puoi scegliere di utilizzare un IAM ruolo esistente se hai già un ruolo Account AWS che desideri utilizzare. È necessario configurare la politica di fiducia dei IAM ruoli in modo da includerlacognito-identity.amazonaws.com. Configura la  policy di attendibilità del ruolo per consentire ad Amazon Cognito di assumere il ruolo solo quando rende evidente che la richiesta ha avuto origine da un utente autenticato nel pool di identità specifico. Per ulteriori informazioni, consulta Attendibilità del ruolo e autorizzazioni.

5. In Connect identity providers, inserisci i dettagli dei provider di identità (IdPs) che hai scelto in Configure identity pool trust. È possibile che ti venga chiesto di fornire informazioni sul client OAuth dell'app, scegliere un pool di utenti Amazon Cognito, scegliere un IdP IAM o inserire un identificatore personalizzato per un provider di sviluppo.

   1. Scegli le impostazioni del ruolo per ogni IdP. Puoi assegnare agli utenti di tale IdP il ruolo predefinito impostato quando hai configurato il ruolo autenticato oppure puoi selezionare l'opzione Scegli ruolo con regole. Con un IdP del pool di utenti Amazon Cognito, puoi anche scegliere un ruolo con preferred_role nei token. Per ulteriori informazioni sulla richiesta cognito:preferred_role, consultare Assegnazione dei valori di priorità ai gruppi.

      1. Se scegli l'opzione Scegli ruolo con regole, inserisci la Richiesta dall'autenticazione dell'utente, l'Operatore con cui desideri confrontare la richiesta, il Valore che determina una corrispondenza a questa scelta di ruolo e il Ruolo che desideri assegnare quando l'Assegnazione del ruolo corrisponde. Seleziona Aggiungi un altro per creare una regola aggiuntiva basata su una condizione diversa.

      2. Scegli una Risoluzione del ruolo. Quando le richieste dell'utente non corrispondono alle regole, puoi negare le credenziali o emettere credenziali per il Ruolo autenticato.

   2. Configura Attributi per il controllo degli accessi per ciascun IdP. L'opzione Attributi per il controllo degli accessi associa le richieste dell'utente ai tag principali applicati da Amazon Cognito alla relativa sessione temporanea. Puoi creare IAM politiche per filtrare l'accesso degli utenti in base ai tag che applichi alla loro sessione.

      1. Per non applicare alcun tag principale, scegli Inattivo.

      2. Per applicare i tag principali in base alle richieste sub e aud, scegli Utilizza mappature predefinite.

      3. Per creare un tuo schema personalizzato di attributi dei tag principali, scegli Utilizza mappature personalizzate. Quindi, inserisci una Chiave tag che deve essere originata da ciascuna Richiesta che desideri rappresentare in un tag.

6. In Configura proprietà, inserisci un Nome in Nome del pool di identità.

7. In Autenticazione di base (classica), scegli Attiva flusso di base, se desiderato. Con il flusso di base attivo, puoi ignorare le selezioni di ruolo che hai effettuato per te IdPs e chiamare AssumeRoleWithWebIdentitydirettamente. Per ulteriori informazioni, consulta Flusso di autenticazione dei pool di identità.

8. In Tag, scegli Aggiungi tag se desideri applicare tag al pool di identità.

9. In Esamina e crea, conferma le selezioni effettuate per il nuovo pool di identità. Seleziona Modifica per tornare alla procedura guidata e modificare le eventuali impostazioni. Al termine, seleziona Crea un pool di identità.

Ruoli utente IAM

Un IAM ruolo definisce le autorizzazioni per gli utenti di accedere a AWS risorse, ad esempioAmazon Cognito Sync. Gli utenti dell'applicazione assumeranno i ruoli da te creati. Puoi specificare diversi ruoli per utenti autenticati e non autenticati. Per ulteriori informazioni sui IAM ruoli, consultaIAMruoli.

Identità autenticate e non autenticate

I pool di identità di Amazon Cognito supportano sia le identità autenticate che le identità non autenticate. Le identità autenticate appartengono agli utenti autenticati da qualsiasi provider di identità supportato. Solitamente le identità non autenticate appartengono a utenti guest.

• Per configurare le identità autenticate con un provider di accesso pubblico, consulta Pool di identità, provider di identità di terze parti.

• Per configurare il tuo processo di autenticazione di back-end, consulta Identità autenticate dagli sviluppatori.

Attivazione o disattivazione dell'accesso guest

L'accesso degli ospiti ai pool di identità di Amazon Cognito (identità non autenticate) fornisce un identificatore e AWS credenziali univoci per gli utenti che non si autenticano con un provider di identità. Se l'applicazione consente utenti che non effettuano l'accesso, puoi attivare l'accesso per le identità non autenticate. Per ulteriori informazioni, consulta Guida introduttiva ai pool di identità di Amazon Cognito.

Per aggiornare l'accesso ospite in un pool di identità

1. Scegli Pool di identità dalla console di Amazon Cognito. Seleziona un pool di identità.

2. Seleziona la scheda Accesso utente.

3. Individua Accesso guest. In un pool di identità che attualmente non supporta l'accesso guest, Stato è Inattivo.

   1. Se Accesso guest è Attivo e desideri disattivarlo, seleziona Disattiva.

   2. Se Accesso guest è Inattivo e desideri attivarlo, seleziona Modifica.

      1. Scegli un IAM ruolo predefinito per gli utenti ospiti nel tuo pool di identità.

         1. Scegli di creare un nuovo IAM ruolo se desideri che Amazon Cognito crei un nuovo ruolo per te con autorizzazioni di base e una relazione di fiducia con il tuo pool di identità. Inserisci il nome di un IAM ruolo per identificare, ad esempio, il tuo nuovo ruolo. myidentitypool_authenticatedrole Seleziona Visualizza documento di policy per esaminare le autorizzazioni che Amazon Cognito assegnerà al tuo nuovo ruolo. IAM

         2. Puoi scegliere di utilizzare un IAM ruolo esistente se hai già un ruolo Account AWS che desideri utilizzare. È necessario configurare la politica di fiducia dei IAM ruoli in modo da includerlacognito-identity.amazonaws.com. Configura la  policy di attendibilità del ruolo per consentire ad Amazon Cognito di assumere il ruolo solo quando rende evidente che la richiesta ha avuto origine da un utente autenticato nel pool di identità specifico. Per ulteriori informazioni, consulta Attendibilità del ruolo e autorizzazioni.

         3. Seleziona Salva modifiche.

         4. Per attivare l'accesso guest, seleziona Attiva nella scheda Accesso utente.

Modifica del ruolo associato a un tipo di identità

Ogni identità nel pool di identità può essere autenticata o non autenticata. Le identità autenticate appartengono agli utenti autenticati da un provider di accesso pubblico (pool di utenti di Amazon Cognito, Login with Amazon, Accedi con Apple, Facebook, Google o SAML qualsiasi provider OpenID Connect) o da un provider di sviluppatori (il tuo processo di autenticazione backend). Solitamente le identità non autenticate appartengono a utenti guest.

Per ogni tipo di identità, esiste un ruolo assegnato. A questo ruolo è associata una politica che stabilisce a quale ruolo può accedere. Servizi AWS Quando Amazon Cognito riceve una richiesta, il servizio determina il tipo di identità e il ruolo assegnato a quel tipo di identità e utilizza la policy associata a tale ruolo per rispondere. Modificando una politica o assegnando un ruolo diverso a un tipo di identità, puoi controllare a quale tipo Servizi AWS di identità può accedere. Per visualizzare o modificare le politiche associate ai ruoli nel tuo pool di identità, consulta la AWS IAM Console.

Per modificare il ruolo predefinito autenticato o non autenticato del pool di identità

1. Scegli Pool di identità dalla console di Amazon Cognito. Seleziona un pool di identità.

2. Seleziona la scheda Accesso utente.

3. Individua Accesso guest o Accesso autenticato. In un pool di identità che non è attualmente configurato per tale tipo di accesso, Stato è Inattivo. Seleziona Edit (Modifica).

4. Scegli un IAM ruolo predefinito per gli utenti ospiti o autenticati nel tuo pool di identità.

   1. Scegli di creare un nuovo IAM ruolo se desideri che Amazon Cognito crei un nuovo ruolo per te con autorizzazioni di base e una relazione di fiducia con il tuo pool di identità. Inserisci il nome di un IAM ruolo per identificare, ad esempio, il tuo nuovo ruolo. myidentitypool_authenticatedrole Seleziona Visualizza documento di policy per esaminare le autorizzazioni che Amazon Cognito assegnerà al tuo nuovo ruolo. IAM

   2. Puoi scegliere di utilizzare un IAM ruolo esistente se hai già un ruolo Account AWS che desideri utilizzare. È necessario configurare la politica di fiducia dei IAM ruoli in modo da includerlacognito-identity.amazonaws.com. Configura la  policy di attendibilità del ruolo per consentire ad Amazon Cognito di assumere il ruolo solo quando rende evidente che la richiesta ha avuto origine da un utente autenticato nel pool di identità specifico. Per ulteriori informazioni, consulta Attendibilità del ruolo e autorizzazioni.

5. Seleziona Salva modifiche.

Modifica dei provider di identità

Se consenti agli utenti di effettuare l'autenticazione utilizzando i provider di identità utente (ad esempio pool di utenti Amazon Cognito, Login with Amazon, Accedi con Apple, Facebook o Google), puoi specificare gli identificatori dell'applicazione nella console dei pool di identità Amazon Cognito (identità federate). Questo associa l'ID dell'applicazione (fornito dal provider di accesso pubblico) al pool di identità.

Puoi anche configurare regole di autenticazione per ogni provider da questa pagina. Ogni provider consente fino a 25 regole. Le regole vengono applicate nell'ordine in cui le hai salvate per ogni provider. Per ulteriori informazioni, consulta Utilizzo del controllo degli accessi basato su ruoli.

avvertimento

La modifica dell'ID dell'applicazione IdP collegato nel pool di identità impedisce agli utenti esistenti di effettuare l'autenticazione con il pool di identità. Per ulteriori informazioni, consulta Pool di identità, provider di identità di terze parti.

Per aggiornare un gestore dell'identità digitale del pool di identità

1. Scegli Pool di identità dalla console di Amazon Cognito. Seleziona un pool di identità.

2. Seleziona la scheda Accesso utente.

3. Individua Provider di identità. Scegli il provider di identità da modificare. Se desideri aggiungere un nuovo IdP, seleziona Aggiungi provider di identità.

   1. Se hai scelto Aggiungi provider di identità, scegli uno dei Tipi di identità che desideri aggiungere.

4. Per modificare l'ID dell'applicazione, scegli Modifica in Informazioni sul provider di identità.

5. Per modificare il ruolo richiesto da Amazon Cognito quando emette credenziali per gli utenti che hanno eseguito l'autenticazione con questo provider, scegli Modificain Impostazioni ruolo.

   1. Puoi assegnare agli utenti di tale IdP il ruolo predefinito impostato quando hai configurato il ruolo autenticato oppure puoi selezionare l'opzione Scegli ruolo con regole. Con un IdP del pool di utenti Amazon Cognito, puoi anche scegliere un ruolo con preferred_role nei token. Per ulteriori informazioni sulla richiesta cognito:preferred_role, consultare Assegnazione dei valori di priorità ai gruppi.

      1. Se scegli l'opzione Scegli ruolo con regole, inserisci la Richiesta dall'autenticazione dell'utente, l'Operatore con cui desideri confrontare la richiesta, il Valore che determina una corrispondenza a questa scelta di ruolo e il Ruolo che desideri assegnare quando l'Assegnazione del ruolo corrisponde. Seleziona Aggiungi un altro per creare una regola aggiuntiva basata su una condizione diversa.

      2. Scegli una Risoluzione del ruolo. Quando le richieste dell'utente non corrispondono alle regole, puoi negare le credenziali o emettere credenziali per il Ruolo autenticato.

6. Per modificare i tag principali assegnati da Amazon Cognito quando emette credenziali per gli utenti che hanno eseguito l'autenticazione con questo provider, scegli Modifica in Attributi per il controllo degli accessi.

   1. Per non applicare alcun tag principale, scegli Inattivo.

   2. Per applicare i tag principali in base alle richieste sub e aud, scegli Utilizza mappature predefinite.

   3. Per creare un tuo schema personalizzato di attributi dei tag principali, scegli Utilizza mappature personalizzate. Quindi, inserisci una Chiave tag che deve essere originata da ciascuna Richiesta che desideri rappresentare in un tag.

7. Seleziona Salva modifiche.

Eliminazione di un pool di identità

L'eliminazione del pool di identità non può essere annullata. Dopo aver eliminato un pool di identità, tutte le app e gli utenti che dipendono da esso smettono di funzionare.

Eliminazione di un pool di identità

1. Scegli Pool di identità dalla console di Amazon Cognito. Seleziona il pulsante di opzione accanto al pool di identità che desideri eliminare.

2. Seleziona Elimina.

3. Inserisci o incolla il nome del pool di identità e seleziona Elimina.

avvertimento

Selezionando il pulsante di eliminazione, eliminerai il pool di identità e tutti i dati utente che contiene. L'eliminazione di un pool di identità interromperà il funzionamento delle applicazioni e degli altri servizi che utilizzano il pool di identità.

Eliminazione di un'identità da un pool di identità

Quando si elimina un'identità da un pool di identità, vengono rimosse le informazioni di identificazione archiviate da Amazon Cognito per tale utente federato. Quando l'utente richiede nuovamente le credenziali, riceve un nuovo ID identità se il pool di identità considera ancora attendibile il provider di identità. Questa operazione non può essere annullata.

Per eliminare un'identità

1. Scegli Pool di identità dalla console di Amazon Cognito. Seleziona un pool di identità.

2. Scegli la scheda Browser di identità.

3. Seleziona le caselle di controllo accanto alle identità che desideri eliminare e scegli Elimina. Conferma che desideri eliminare le identità e scegli Elimina.

Utilizzo di Amazon Cognito Sync con pool di identità

Amazon Cognito Sync è una Servizio AWS libreria client che consente di sincronizzare i dati utente relativi alle applicazioni tra dispositivi. Con Amazon Cognito Sync puoi sincronizzare i dati del profilo utente tra dispositivi mobili e il Web, senza utilizzare il tuo back-end. Le librerie client archiviano localmente i dati nella cache, in modo che la tua app sia in grado di leggere e scrivere i dati indipendentemente dallo stato di connettività del dispositivo. Quando il dispositivo è online, puoi sincronizzare i dati. Se configuri la sincronizzazione push, puoi avvisare immediatamente altri dispositivi della disponibilità di un aggiornamento.

Gestione di set di dati

Se nell'applicazione hai implementato la funzionalità Amazon Cognito Sync, la console dei pool di identità di Amazon Cognito consente di creare ed eliminare manualmente set di dati e record per singole identità. Qualsiasi modifica apportata a set di dati o record di un'identità nella console dei pool di identità di Amazon Cognito non viene salvata finché non selezioniSynchronize (Sincronizza) nella console. La modifica non è visibile all'utente finale fino alla sincronizzazione delle chiamate dell'identità. I dati sincronizzati da altri dispositivi per le identità individuali sono visibili una volta aggiornata la pagina dei set di dati dell'elenco per un'identità in particolare.

Creazione di un set di dati per un'identità

Amazon Cognito Sync associa un set di dati a un'identità. Puoi compilare il set di dati con informazioni di identificazione sull'utente rappresentato dall'identità, quindi sincronizzare tali informazioni con tutti i dispositivi dell'utente.

Per aggiungere un set di dati e i record del set di dati a un'identità

1. Scegli Pool di identità dalla console di Amazon Cognito. Seleziona un pool di identità.

2. Scegli la scheda Browser di identità.

3. Seleziona l'identità da modificare.

4. In Set di dati, scegli Crea set di dati.

5. Inserisci un Nome set di dati e seleziona Crea set di dati.

6. Se desideri aggiungere record al set di dati, scegli il set di dati dai dettagli dell'identità. In Record, seleziona Crea record.

7. Inserisci una Chiave e un Valore per il record. Scegli Conferma. Ripeti l'operazione per aggiungere altri record.

Eliminazione di un set di dati associato a un'identità

Per eliminare un set di dati e i relativi record da un'identità

1. Scegli Pool di identità dalla console di Amazon Cognito. Seleziona un pool di identità.

2. Scegli la scheda Browser di identità.

3. Seleziona l'identità che contiene il set di dati da eliminare.

4. In Set di dati, scegli il pulsante di opzione accanto al set di dati da eliminare.

5. Seleziona Elimina. Esamina la scelta e seleziona nuovamente Elimina.

Pubblicazione in blocco di dati

La pubblicazione in blocco può essere utilizzata per esportare i dati già archiviati nell'archivio di Amazon Cognito Sync in un flusso Amazon Kinesis. Per istruzioni su come pubblicare in blocco tutti i flussi, consulta Implementazione dei flussi di Amazon Cognito Sync.

Attivazione della sincronizzazione push

Amazon Cognito monitora automaticamente l'associazione tra identità e dispositivi. L'utilizzo della funzione di sincronizzazione push, assicura che ogni istanza di una determinata identità venga comunicata quando si modificano i dati di identità. La sincronizzazione push è tale per cui ogni volta che il set di dati cambia per un'identità, tutti i dispositivi associati a tale identità ricevono una notifica push silenziosa per segnalare le modifiche.

Puoi attivare la sincronizzazione push nella console di Amazon Cognito.

Per attivare la sincronizzazione push

1. Scegli Pool di identità dalla console di Amazon Cognito. Seleziona un pool di identità.

2. Scegli la scheda Proprietà del pool di identità.

3. In Sincronizzazione push, seleziona Modifica

4. Seleziona Attiva sincronizzazione push con il pool di identità.

5. Scegli una delle applicazioni della piattaforma Amazon Simple Notification Service (AmazonSNS) che hai creato nella versione corrente Regione AWS. Amazon Cognito pubblica notifiche push nell'applicazione di piattaforma. Seleziona Crea applicazione della piattaforma per accedere alla SNS console Amazon e crearne una nuova.

6. Per la pubblicazione sulla tua applicazione di piattaforma, Amazon Cognito assume un IAM ruolo nella tua. Account AWS Scegli di creare un nuovo IAM ruolo se desideri che Amazon Cognito crei un nuovo ruolo per te con autorizzazioni di base e una relazione di fiducia con il tuo pool di identità. Inserisci il nome di un IAM ruolo per identificare, ad esempio, il tuo nuovo ruolo. myidentitypool_authenticatedrole Seleziona Visualizza documento di policy per esaminare le autorizzazioni che Amazon Cognito assegnerà al tuo nuovo ruolo. IAM

7. Puoi scegliere di utilizzare un IAM ruolo esistente se hai già un ruolo Account AWS che desideri utilizzare. È necessario configurare la politica di fiducia dei IAM ruoli in modo da includerlacognito-identity.amazonaws.com. Configura la  policy di attendibilità del ruolo per consentire ad Amazon Cognito di assumere il ruolo solo quando rende evidente che la richiesta ha avuto origine da un utente autenticato nel pool di identità specifico. Per ulteriori informazioni, consulta Attendibilità del ruolo e autorizzazioni.

8. Seleziona Salva modifiche.

Configurazione di Amazon Cognito Streams

Amazon Cognito Streams offre agli sviluppatori il controllo e l'analisi dei loro dati archiviati in Amazon Cognito Sync. Gli sviluppatori possono ora configurare un flusso Kinesis per ricevere eventi come dati. Amazon Cognito può eseguire il push di ogni modifica del set di dati in un flusso Kinesis in tempo reale. Per istruzioni su come configurare Amazon Cognito Streams nella console di Amazon Cognito, consulta Implementazione dei flussi di Amazon Cognito Sync.

Configurazione di Amazon Cognito Events

Amazon Cognito Events ti consente di eseguire una AWS Lambda funzione in risposta a eventi importanti in Amazon Cognito Sync. Amazon Cognito Sync lancia l'evento trigger di sincronizzazione quando viene sincronizzato un set di dati. Puoi utilizzare l'evento del trigger di sincronizzazione per eseguire un'azione quando un utente aggiorna i dati. Per istruzioni sulla configurazione di Amazon Cognito Events dalla console, consulta Personalizzazione dei flussi di lavoro con Amazon Cognito Events.

Per ulteriori informazioni AWS Lambda, consulta. AWS Lambda