Criar um grupo de identidades no Amazon Cognito Configurar uma SDK Integrar os provedores de identidade Obter credenciais

Introdução aos grupos de identidade do Amazon Cognito

Com os grupos de identidades do Amazon Cognito, você pode criar identidades exclusivas e atribuir permissões aos usuários. O grupo de identidades pode incluir:

Usuários em um grupo de usuários do Amazon Cognito
Usuários que se autenticam com provedores de identidade externos, como Facebook, Google, Apple ou um provedor de SAML identidade OIDC ou.
Usuários autenticados por meio de seu próprio processo de autenticação existente

Com um pool de identidades, você pode obter AWS credenciais temporárias com permissões que você define para acessar diretamente outros recursos Serviços da AWS ou para acessar recursos por meio do Amazon API Gateway.

Tópicos

Criar um grupo de identidades no Amazon Cognito
Configurar uma SDK
Integrar os provedores de identidade
Obter credenciais

Criar um grupo de identidades no Amazon Cognito

Você pode criar um grupo de identidades por meio do console do Amazon Cognito ou usar o AWS Command Line Interface (CLI) ou o Amazon Cognito. APIs

Para criar um novo grupo de identidades no console

Faça login no console do Amazon Cognito e selecione Bancos de identidades.
Selecione Criar banco de identidades.
Em Configurar confiança do banco de identidades, opte por configurar seu banco de identidades para Acesso autenticado, Acesso de convidado ou ambos.
1. Se você selecionou Acesso autenticado, escolha um ou mais Tipos de identidade que você deseja definir como origem de identidades autenticadas no banco de identidades. Se você configurar um Provedor de desenvolvedor personalizado, não poderá modificá-lo nem o excluir depois de criar o banco de identidades.
Em Configurar permissões, escolha uma IAM função padrão para usuários autenticados ou convidados em seu grupo de identidades.
1. Escolha Criar uma nova IAM função se quiser que o Amazon Cognito crie uma nova função para você com permissões básicas e uma relação de confiança com seu grupo de identidades. Insira um nome de IAM função para identificar sua nova função, por exemplomyidentitypool_authenticatedrole. Selecione Exibir documento de política para revisar as permissões que o Amazon Cognito atribuirá à sua nova IAM função.
2. Você pode optar por usar uma IAM função existente se já tiver uma função na sua Conta da AWS que deseja usar. Você deve configurar sua política de confiança de IAM função para incluircognito-identity.amazonaws.com. Configure sua política de confiança de perfil para permitir que o Amazon Cognito assuma o perfil somente quando apresentar evidências de que a solicitação se originou de um usuário autenticado em seu banco de identidades específico. Para ter mais informações, consulte Permissões e confiança de função.
Em Connect identity providers, insira os detalhes dos provedores de identidade (IdPs) que você escolheu em Configurar a confiança do grupo de identidades. Você pode ser solicitado a fornecer informações do cliente do OAuth aplicativo, escolher um grupo de usuários do Amazon Cognito, escolher um IdP IAM ou inserir um identificador personalizado para um provedor de desenvolvedores.
1. Selecione Configurações de perfil para cada IdP. Você pode atribuir aos usuários desse IdP o Perfil padrão que você configurou ao definir seu Perfil autenticado ou Escolher perfil com regras. Com um IdP de grupo de usuários do Amazon Cognito, você também pode Selecionar um perfil com preferred_role em tokens. Para ter mais informações sobre a declaração cognito:preferred_role, consulte Como atribuir valores de precedência a grupos.
  1. Se você escolheu Escolher perfil com regras, insira a Declaração de origem da autenticação do usuário, o Operador pelo qual você deseja comparar a declaração, o Valor que gerará uma correspondência com essa opção de perfil e o Perfil que você deseja atribuir quando houver correspondência com a Atribuição de perfil. Selecione Adicionar outra para criar uma regra adicional com base em uma condição diferente.
  2. Selecione uma Resolução de perfil. Quando as declarações do usuário não correspondem às suas regras, você pode negar ou emitir credenciais para seu Perfil autenticado.
2. Configure Atributos para controle de acesso para cada IdP. Os atributos para controle de acesso correlacionam as declarações do usuário com as tags de entidade principal que o Amazon Cognito aplica à sua sessão temporária. Você pode criar IAM políticas para filtrar o acesso do usuário com base nas tags que você aplica à sessão.
  1. Para não aplicar nenhuma tag de entidade principal, selecione Inativo.
  2. Para aplicar tags de entidade principal com base em declarações sub e aud, selecione Usar mapeamentos padrão.
  3. Para criar seu próprio esquema personalizado de atributos para as tags de entidade principal, selecione Usar mapeamentos personalizados. Depois, insira a Chave de tag que você deseja obter de cada declaração e representar em uma tag.
Em Configurar propriedades, insira um Nome em Nome do banco de identidades.
Em Autenticação básica (clássica), escolha se você deseja Ativar fluxo básico. Com o fluxo básico ativo, você pode ignorar as seleções de função que você fez para você IdPs e ligar diretamente. AssumeRoleWithWebIdentity Para ter mais informações, consulte Fluxo de autenticação dos grupos de identidades (identidades federadas).
Em Tags, selecione Adicionar tag se quiser aplicar tags ao banco de identidades.
Em Revisar e criar, confirme as seleções que você fez para o novo banco de identidades. Selecione Editar para retornar ao assistente e alterar as configurações. Quando terminar, selecione Criar banco de identidades.

Configurar uma SDK

Para usar os grupos de identidade do Amazon Cognito AWS Amplify, configure o AWS SDK for Java ou o. AWS SDK for .NET Para obter mais informações, consulte os tópicos a seguir.

Configurando o SDK formulário JavaScript no Guia do AWS SDK for JavaScript desenvolvedor
Documentação do Amplify no Amplify Dev Center
Provedor de credenciais do Amazon Cognito no Guia do desenvolvedor do AWS SDK for .NET

Integrar os provedores de identidade

Os grupos de identidade do Amazon Cognito (identidades federadas) oferecem suporte à autenticação de usuários por meio de grupos de usuários do Amazon Cognito, provedores de identidade federados — incluindo Amazon, Facebook, Google, Apple e provedores de identidade — e identidades não autenticadas. SAML Esse recurso também é compatível com Identidades autenticadas pelo desenvolvedor (bancos de identidades), que permite registrar e autenticar os usuários por meio de seu próprio processo de autenticação de backend.

Para saber mais sobre como usar um grupo de usuários do Amazon Cognito para criar seu próprio diretório, consulte Grupos de usuários do Amazon Cognito e Acessando Serviços da AWS usando um pool de identidades após o login.

Para saber mais sobre como usar provedores de identidade externos, consulte Provedores externos de identidade de grupos de identidades.

Para saber mais sobre a integração do seu próprio processo de autenticação de backend, consulte Identidades autenticadas pelo desenvolvedor (bancos de identidades).

Obter credenciais

Os grupos de identidade do Amazon Cognito fornecem AWS credenciais temporárias para usuários convidados (não autenticados) e para usuários que se autenticaram e receberam um token. Com essas AWS credenciais, seu aplicativo pode acessar com segurança um back-end interno ou AWS externo por meio AWS do Amazon Gateway. API Consulte Como obter credenciais.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Adicionar um SAML provedor

Opções adicionais de introdução