Cenários comuns do Amazon Cognito

Este tópico descreve seis cenários comuns para o uso do Amazon Cognito.

Os dois componentes principais do Amazon Cognito são os grupos de usuários e os grupos de identidades. Os grupos de usuários são diretórios de usuários que fornecem opções de cadastro e login para os usuários de aplicações Web e móveis. Os grupos de identidade fornecem credenciais da AWS para conceder aos usuários acesso a outros serviços da AWS.

Grupo de usuários é um diretório de usuários no Amazon Cognito. Seus usuários de aplicação podem fazer login diretamente por meio de um grupo de usuários ou federar por meio de um provedor de identidade de terceiros (IdP). O grupo de usuários gerencia a sobrecarga de lidar com os tokens retornados de logins sociais por meio do Facebook, Google, Amazon e da Apple, e do OpenID Connect (OIDC) e IdPs SAML. Quer os usuários façam login diretamente ou por meio de terceiros, todos os membros do grupo de usuários têm um perfil de diretório que você pode acessar por meio de um SDK.

Com um grupo de identidades, os usuários podem obter credenciais temporárias da AWS para acessar serviços da AWS, como o Amazon S3 e o DynamoDB. Os grupos de identidades dão suporte a usuários convidados anônimos, bem como à federação por meio de IdPs terceiros.

Autenticar com um grupo de usuários

Você pode permitir que os usuários sejam autenticados com um grupo de usuários. Seus usuários de aplicação podem fazer login diretamente por meio de um grupo de usuários ou federar por meio de um provedor de identidade de terceiros (IdP). O grupo de usuários gerencia a sobrecarga de lidar com os tokens retornados de logins sociais por meio do Facebook, Google, Amazon e da Apple, e do OpenID Connect (OIDC) e IdPs SAML.

Depois de uma autenticação bem-sucedida, sua aplicação Web ou móvel receberá tokens do grupo de usuários do Amazon Cognito. Você pode usar esses tokens para recuperar credenciais da AWS que permitem que a sua aplicação acesse outros serviços da AWS. Você também pode optar por usá-los para controlar o acesso aos seus recursos no lado do servidor ou ao Amazon API Gateway.

Para obter mais informações, consulte Fluxo de autenticação de grupo de usuários e Como usar tokens com grupos de usuários.

Acessar os recursos no lado do servidor com um grupo de usuários

Depois de um login no grupo de usuários bem-sucedido, sua aplicação Web ou móvel receberá tokens do grupo de usuários do Amazon Cognito. Você pode usar esses tokens para controlar o acesso aos recursos no lado do servidor. Também é possível criar grupos de usuários para gerenciar permissões e representar diferentes tipos de usuários. Para obter mais informações sobre o uso de grupos para controlar o acesso aos seus recursos, consulte Como adicionar grupos a um grupo de usuários.

Assim que você configura um domínio para o grupo de usuários, o Amazon Cognito provisiona uma interface de usuário da web hospedada que permite adicionar páginas de cadastro e login à aplicação. Usando essa base do OAuth 2.0, você pode criar o próprio servidor de recursos para permitir que os usuários acessem recursos protegidos. Para obter mais informações, consulte Escopos do OAuth 2.0 e autorização de API com servidores de recursos.

Para obter mais informações sobre a autenticação do grupo de usuários, consulte Fluxo de autenticação de grupo de usuários e Como usar tokens com grupos de usuários.

Acessar recursos com o API Gateway e o Lambda com um grupo de usuários

Você pode permitir que seus usuários acessem a API por meio do API Gateway. O API Gateway valida os tokens de uma autenticação bem-sucedida do grupo de usuários e os usa para conceder aos usuários acesso a recursos, incluindo funções Lambda ou sua própria API.

Você pode usar grupos em um grupo de usuários para controlar permissões com o API Gateway mapeando a associação ao grupo para funções do IAM. Os grupos dos quais um usuário é membro estão incluídos no token de ID fornecido por um grupo de usuários quando o usuário do aplicativo faz login. Para obter mais informações sobre grupos de usuários, consulte Como adicionar grupos a um grupo de usuários.

Você pode enviar seus tokens do grupo de usuários com uma solicitação ao API Gateway para verificação por uma função Lambda autorizadora do Amazon Cognito. Para obter mais informações sobre o API Gateway, consulte Usar o API Gateway com grupos de usuários do Amazon Cognito.

Acessar os serviços da AWS com um grupo de usuários e um grupo de identidades

Depois de uma autenticação bem-sucedida no grupo de usuários, sua aplicação receberá tokens do grupo de usuários do Amazon Cognito. Você pode trocá-los pelo acesso temporário a outros serviços da AWS com um grupo de identidades. Para obter mais informações, consulte Como acessar os serviços da AWS usando um grupo de identidades após o acesso e Conceitos básicos dos grupos de identidades do Amazon Cognito (identidades federadas).

Autenticar com terceiros e acessar serviços da AWS com um grupo de identidades

Você pode habilitar seus usuários para acessar os serviços da AWS por meio de um grupo de identidades. Um grupo de identidades requer um token IdP de um usuário autenticado por um provedor de identidade de terceiros (ou nada se for um convidado anônimo). Em troca, o grupo de identidades concede credenciais temporárias da AWS que você pode usar para acessar outros serviços da AWS. Para obter mais informações, consulte Conceitos básicos dos grupos de identidades do Amazon Cognito (identidades federadas).

Acessar recursos do AWS AppSync com o Amazon Cognito

Você pode conceder aos usuários acesso aos recursos do AWS AppSync com os tokens de uma autenticação bem-sucedida de um grupo de usuários do Amazon Cognito. Para ter mais informações, consulte a autorização AMAZON_COGNITO_USER_POOLS no Guia do desenvolvedor do AWS AppSync.

Você também pode assinar solicitações para a API do AWS AppSync GraphQL com as credenciais do IAM que você recebe de um grupo de identidades. Consulte Autorização AWS_IAM.