Essentials 플랜 기능

Essentials 기능 플랜에는 Amazon Cognito 사용자 풀의 가장 좋은 최신 기능이 대부분 포함되어 있습니다. Lite에서 Essentials 계획으로 전환하면 관리형 로그인 페이지, 이메일 메시지 일회용 암호를 사용한 멀티 팩터 인증, 향상된 암호 정책 및 사용자 지정 액세스 토큰에 대한 새로운 기능이 제공됩니다. 새 사용자 풀 기능을 up-to-date 상태로 유지하려면 사용자 풀의 Essentials 플랜을 선택합니다.

다음 섹션에서는 Essentials 플랜을 사용하여 애플리케이션에 추가할 수 있는 기능에 대한 간략한 개요를 제공합니다. 자세한 내용은 다음 페이지를 참조하세요.

추가 리소스

• 액세스 토큰 사용자 지정: 사전 토큰 생성 Lambda 트리거

• 이메일 MFA: SMS 및 이메일 메시지 MFA

• 암호 기록: 암호, 계정 복구 및 암호 정책

• 향상된 UI: 관리형 로그인 페이지에 브랜딩 적용

액세스 토큰 사용자 지정

사용자 풀 액세스 토큰은 애플리케이션에 API 액세스, userInfo 엔드포인트에서 사용자 속성 검색, 외부 시스템에 대한 그룹 멤버십 설정 등의 권한을 부여합니다. 고급 시나리오에서는 사용자 풀 디렉터리의 기본 액세스 토큰 데이터에 애플리케이션이 런타임에 결정하는 추가 임시 파라미터를 추가할 수 있습니다. 예를 들어 Amazon Verified Permissions를 사용하여 사용자의 API 권한을 확인하고 그에 따라 액세스 토큰의 범위를 조정할 수 있습니다.

Essentials 계획은 사전 토큰 생성 트리거의 기존 함수에를 추가합니다. 하위 계층 계획을 사용하면 추가 클레임, 역할 및 그룹 멤버십으로 ID 토큰을 사용자 지정할 수 있습니다. Essentials를 사용하면 클레임, 역할, 그룹 멤버십 및 OAuth 범위를 사용하여 액세스 토큰을 추가로 사용자 지정할 수 있습니다. 기계 간(M2M) 클라이언트 자격 증명 부여에는 액세스 토큰 사용자 지정을 사용할 수 없습니다.

액세스 토큰을 사용자 지정하는 방법

1. Essentials 또는 Plus 기능 플랜을 선택합니다.

2. 사용자의 트리거에 대해 Lambda 함수를 생성합니다. 예제 함수를 사용하려면 Node.js에 맞게 구성합니다.

3. Lambda 함수를 예제 코드로 채우거나 직접 구성하세요. 함수는 Amazon Cognito에서 요청 개체를 처리하고 포함하려는 변경 사항을 반환해야 합니다.

4. 새 함수를 버전 2 사전 토큰 생성 트리거로 할당합니다.

자세히 알아보기

• 액세스 토큰 사용자 지정

• Amazon Cognito 사용자 풀에서 액세스 토큰을 사용자 지정하는 방법

이메일 MFA

Amazon Cognito 사용자 풀은 이메일을 다중 인증(MFA)의 두 번째 요소로 사용하도록 구성할 수 있습니다. 이메일 MFA를 사용하면 Amazon Cognito는 인증 프로세스를 완료하기 위해 입력해야 하는 확인 코드가 포함된 이메일을 사용자에게 보낼 수 있습니다. 이렇게 하면 사용자 로그인 흐름에 중요한 추가 보안 계층이 추가됩니다. 이메일 기반 MFA를 활성화하려면 기본 이메일 구성 대신 Amazon SES 이메일 전송 구성을 사용하도록 사용자 풀을 구성해야 합니다.

사용자가 이메일 메시지로 MFA를 선택하면 Amazon Cognito는 로그인을 시도할 때마다 사용자의 등록된 이메일 주소로 일회용 확인 코드를 보냅니다. 그런 다음 사용자는 이 코드를 사용자 풀에 다시 제공하여 인증 흐름을 완료하고 액세스 권한을 얻어야 합니다. 이렇게 하면 사용자의 사용자 이름과 암호가 손상되더라도 애플리케이션 리소스에 액세스하기 전에 이메일 코드라는 추가 요소를 제공해야 합니다.

자세한 내용은 SMS 및 이메일 메시지 MFA 단원을 참조하십시오. 다음은 이메일 MFA에 대한 사용자 풀 및 사용자를 설정하는 방법에 대한 개요입니다.

Amazon Cognito 콘솔에서 이메일 MFA를 설정하려면

1. Essentials 또는 Plus 기능 플랜을 선택합니다.

2. 사용자 풀의 로그인 메뉴에서 다중 인증을 편집합니다.

3. 설정하려는 MFA 적용 수준을 선택합니다. MFA 요구를 사용하면 API의 사용자는 MFA를 설정, 확인 및 로그인하는 챌린지를 자동으로 수신합니다. MFA가 필요한 사용자 풀에서 관리형 로그인은 MFA 요소를 선택하고 설정하라는 메시지를 표시합니다. 선택적 MFA를 사용하면 애플리케이션에서 사용자에게 MFA를 설정하고 이메일 MFA에 대한 사용자의 기본 설정을 설정할 수 있는 옵션을 제공해야 합니다.

4. MFA 메서드에서 이메일 메시지를 옵션 중 하나로 선택합니다.

자세히 알아보기

• SMS 및 이메일 메시지 MFA

암호 재사용 방지

기본적으로 Amazon Cognito 사용자 풀 암호 정책은 암호 길이와 문자 유형 요구 사항 및 임시 암호 만료를 설정합니다. Essentials 계획에는 암호 기록을 적용하는 기능이 추가되었습니다. 사용자가 암호를 재설정하려고 하면 사용자 풀에서 이전 암호로 설정하지 못할 수 있습니다. 암호 정책 구성에 대한 자세한 내용은 사용자 풀 암호 요구 사항 추가 섹션을 참조하세요. 다음은 암호 기록 정책을 사용하여 사용자 풀을 설정하는 방법에 대한 개요입니다.

Amazon Cognito 콘솔에서 암호 기록을 설정하려면

1. Essentials 또는 Plus 기능 플랜을 선택합니다.

2. 사용자 풀의 인증 방법 메뉴에서 암호 정책을 찾아 편집을 선택합니다.

3. 사용 가능한 다른 옵션을 구성하고 이전 암호 사용 방지를 위한 값을 설정합니다.

자세히 알아보기

• 암호, 계정 복구 및 암호 정책

관리형 로그인 호스팅 로그인 및 권한 부여 서버

Amazon Cognito 사용자 풀에는 OpenID Connect(OIDC) IdP, 서비스 공급자 또는 타사 IdPs, 가입 및 로그인을 위한 퍼블릭 사용자 대화형 페이지 등의 기능을 지원하는 선택적 웹 페이지가 있습니다. 이러한 페이지를 총칭하여 관리형 로그인이라고 합니다. 사용자 풀의 도메인을 선택하면 Amazon Cognito가 이러한 페이지를 자동으로 활성화합니다. Lite 플랜에 호스팅 UI가 있는 경우 Essentials 플랜은이 고급 버전의 가입 및 로그인 페이지를 엽니다.

관리형 로그인 페이지에는 브랜딩 및 스타일을 사용자 지정하기 위한 더 많은 기능과 옵션이 있는 깔끔하고 up-to-date 인터페이스가 있습니다. Essentials 계획은 관리형 로그인에 대한 액세스를 잠금 해제하는 가장 낮은 계획 수준입니다.

Amazon Cognito 콘솔에서 관리형 로그인을 설정하려면

1. 설정 메뉴에서 Essentials 또는 Plus 기능 계획을 선택합니다.

2. 도메인 메뉴에서 사용자 풀에 도메인을 할당하고 관리형 로그인의 브랜딩 버전을 선택합니다.

3. 관리형 로그인 메뉴의 스타일 탭에서 스타일 생성을 선택하고 앱 클라이언트에 스타일을 할당하거나 새 앱 클라이언트를 생성합니다.

자세히 알아보기

• 사용자 풀 관리형 로그인

선택 기반 인증

Essentials 티어는 향상된 UI 및 SDK 기반 API 작업에서 인증 작업을 위한 새로운 인증 흐름을 도입합니다.이 흐름은 선택 기반 인증입니다. 선택 기반 인증은 사용자의 인증이 로그인 메서드의 애플리케이션 측 선언으로 시작하지 않고 가능한 로그인 메서드에 대한 쿼리와 선택으로 시작하는 메서드입니다. 선택 기반 인증을 지원하고 사용자 이름 암호, 암호 없음 및 암호 키 인증을 잠금 해제하도록 사용자 풀을 구성할 수 있습니다. API에서 이것이 USER_AUTH 흐름입니다.

Amazon Cognito 콘솔에서 선택 기반 인증을 설정하려면

1. Essentials 또는 Plus 기능 플랜을 선택합니다.

2. 사용자 풀의 로그인 메뉴에서 선택 기반 로그인 옵션을 편집합니다. 선택 기반 인증에서 활성화하려는 인증 방법을 선택하고 구성합니다.

3. 사용자 풀의 인증 방법 메뉴에서 로그인 작업의 구성을 편집합니다.

자세히 알아보기

• Amazon Cognito 사용자 풀을 사용한 인증