Conceitos básicos dos grupos de identidades do Amazon Cognito (identidades federadas) - Amazon Cognito

Conceitos básicos dos grupos de identidades do Amazon Cognito (identidades federadas)

Os grupos de identidades do Amazon Cognito permitem que você crie identidades exclusivas e atribua permissões para usuários. O grupo de identidades pode incluir:

  • Usuários em um grupo de usuários do Amazon Cognito

  • Usuários que realizam a autenticação por meio de provedores de identidade externos como Facebook, Google, Apple ou um provedor de identidade com base em SAML

  • Usuários autenticados por meio de seu próprio processo de autenticação existente

Com um grupo de identidades, é possível obter credenciais temporárias da AWS com permissões que você define para acessar diretamente outros serviços da AWS ou para acessar recursos por meio do Amazon API Gateway.

Cadastrar-se em uma conta da AWS

Para usar os grupos de identidades do Amazon Cognito, você precisa de uma conta da AWS. Se você ainda não possui uma, use o procedimento a seguir para se cadastrar:

Para se cadastrar em uma conta da AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga as instruções online.

    Parte do procedimento de cadastro envolve uma chamada telefônica e a digitação de um código de verificação usando o teclado do telefone.

Criar um grupo de identidades no Amazon Cognito

Você pode criar rapidamente um grupo de identidades pelo console do Amazon Cognito ou usar a AWS Command Line Interface (CLI) ou as APIs do Amazon Cognito.

Para criar um novo grupo de identidades no console

  1. Faça login no console do Amazon Cognito, escolha Manage Identity Pools (Gerenciar grupos de identidades) e, em seguida, escolha Create new identity pool (Criar novo grupo de identidades).

  2. Digite um nome para o grupo de identidades.

  3. Para habilitar identidades não autenticadas, selecione Enable access to unauthenticated identities na seção expansível Unauthenticated identities.

  4. Se desejar, configure um provedor de autenticação na seção Authentication providers.

  5. Selecione Create Pool.

    nota

    Pelo menos uma identidade é necessária para um grupo de identidades válido.

  6. Você deverá fornecer acesso aos seus recursos da AWS.

    Selecione Allow para criar as duas funções padrão associadas ao grupo de identidades, uma para usuários não autenticados e outra para autenticados. Essas funções padrão oferecem acesso ao Amazon Cognito Sync. para o grupo de identidades. É possível modificar as funções associadas ao grupo de identidades no console do IAM.

Instalar o SDK do JavaScript ou Mobile

Para usar grupos de identidades do Amazon Cognito, é preciso instalar e configurar o SDK do AWS Mobile ou do JavaScript. Para obter mais informações, consulte os tópicos a seguir:

Integrar os provedores de identidade

Os grupos de identidades (identidades federadas) do Amazon Cognito oferecem suporte à autenticação de usuários por meio de grupos de usuários do Amazon Cognito, provedores de identidade federada, incluindo Amazon, Facebook, Google e provedores de identidade SAML, além de identidades não autenticadas. Esse recurso também é compatível com Identidades autenticadas por desenvolvedor (grupos de identidades), que permite registrar e autenticar os usuários por meio de seu próprio processo de autenticação de backend.

Para saber mais sobre como usar um grupo de usuários do Amazon Cognito para criar seu próprio diretório, consulte Amazon Cognito user pools e Como acessar os serviços da AWS usando um grupo de identidades após o acesso.

Para saber mais sobre como usar provedores de identidade externos, consulte Provedores externos de identidade de grupos de identidades (identidades federadas).

Para saber mais sobre a integração do seu próprio processo de autenticação de backend, consulte Identidades autenticadas por desenvolvedor (grupos de identidades).

Obter credenciais

Os grupos de identidade do Amazon Cognito fornecem credenciais temporárias da AWS para usuários que são convidados (não autenticados) e para usuários que foram autenticados e receberam um token. Com essas credenciais da AWS, a aplicação pode acessar de maneira segura um backend na AWS ou fora da AWS por meio do Amazon API Gateway. Consulte Como obter credenciais.