Como criar contas de usuário como administrador - Amazon Cognito
Fluxo de autenticação para usuários criados por administradores ou desenvolvedoresComo criar um novo usuário no AWS Management Console

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como criar contas de usuário como administrador

Depois de criar seu grupo de usuários, você pode criar usuários com o uso do AWS Management Console, da AWS Command Line Interface ou da API do Amazon Cognito. Você pode criar um perfil para um novo usuário em um grupo de usuários e enviar uma mensagem de boas-vindas com instruções de cadastro por SMS ou e-mail.

Desenvolvedores e administradores podem executar as seguintes tarefas:

  • Crie um perfil de novo usuário usando o AWS Management Console ou chamando a API AdminCreateUser.

  • Defina os valores dos atributos do usuário.

  • Crie atributos personalizados.

  • Defina o valor dos atributos personalizados imutáveis nas solicitações da API AdminCreateUser. Esse recurso não está disponível no console do Amazon Cognito.

  • Especifique a senha temporária ou permita que o Amazon Cognito gere uma automaticamente.

  • Especifique se endereços de e-mail e números de telefone fornecidos são marcadas como verificados para novos usuários.

  • Especifique mensagens de convite personalizadas de SMS e e-mail para novos usuários por meio do AWS Management Console ou de um trigger Lambda de mensagem personalizada. Para obter mais informações, consulte Como personalizar fluxos de trabalho do grupo de usuários com acionadores do Lambda.

  • Especifique se as mensagens de convite serão enviadas por SMS, e-mail ou ambos.

  • Reenvie a mensagem de boas-vindas a um usuário existente chamando a API AdminCreateUser, especificando RESEND para o parâmetro MessageAction.

    nota

    Esta ação não pode ser executada no momento com o uso do AWS Management Console.

  • Suprimir o envio da mensagem de convite quando o usuário for criado.

  • Especifique um limite de tempo de expiração para a conta de usuário (até 90 dias).

  • Permita que os usuários se cadastrem ou exija que novos usuários sejam adicionados apenas pelo administrador.

Fluxo de autenticação para usuários criados por administradores ou desenvolvedores

O fluxo de autenticação para esses usuários inclui a etapa extra para enviar a nova senha e fornecer qualquer valor ausente para atributos necessários. As etapas são descritas a seguir; as etapas 5, 6 e 7 são específicas para esses usuários.

  1. O usuário começa a fazer login pela primeira vez enviando o nome de usuário e a senha.

  2. O SDK chama InitiateAuth(Username, USER_SRP_AUTH).

  3. O Amazon Cognito retorna o desafio PASSWORD_VERIFIER com bloqueio Salt & Secret.

  4. O SDK executa os cálculos de Secure Remote Password (SRP – Senha remota protegida) e chama RespondToAuthChallenge(Username, <SRP variables>, PASSWORD_VERIFIER).

  5. O Amazon Cognito retorna o desafio NEW_PASSWORD_REQUIRED. O corpo desse desafio inclui os atributos atuais do usuário e quaisquer atributos necessários em seu grupo de usuários que no momento não têm um valor no perfil do usuário. Para obter mais informações, consulte RespondToAuthChallenge.

  6. O usuário é alertado e insere uma nova senha e qualquer valor ausente para atributos necessários.

  7. O SDK chama RespondToAuthChallenge(Username, <New password>, <User attributes>).

  8. Se o usuário exigir um segundo fator para MFA, o Amazon Cognito retornará o desafio SMS_MFA e o código será enviado.

  9. Quando o usuário tiver alterado com êxito sua senha e, opcionalmente, fornecido valores atribuídos ou concluído a MFA, ele será conectado, e os tokens serão emitidos.

Quando o usuário tiver cumprido todos os desafios, o serviço do Amazon Cognito marcará o usuário como confirmado, emitirá uma ID e atualizará os tokens para ele. Para obter mais informações, consulte Como usar tokens com grupos de usuários.

Como criar um novo usuário no AWS Management Console

É possível definir requisitos de senha de usuário, configurar as mensagens de convite e verificação enviadas aos usuários e adicionar novos usuários com o console do Amazon Cognito.

Definir uma política de senha e habilitar a autoinscrição

É possível definir configurações para complexidade mínima de senha e se os usuários podem se cadastrar usando APIs públicas em seu grupo de usuários.

Configurar uma política de senhas

  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Selecione a guia Sign-in experience (Experiência de acesso) e localize Password policy (Política de senha). Selecione a opção Editar.

  4. Selecione o Password policy mode (Modo de política de senha) Custom (Personalizado).

  5. Selecione um Password minimum length (Comprimento mínimo da senha). Para os limites do requisito de tamanho da senha, consulte Cotas de recursos de grupos de usuários.

  6. Selecione um requisito de Password complexity (Complexidade de senha).

  7. Escolha por quanto tempo a senha definida pelos administradores deve ser válida.

  8. Escolha Save changes (Salvar alterações).

Permitir cadastro por autoatendimento

  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Selecione a guia Sign-up experience (Experiência de cadastro) e localize Self-service sign-up (Cadastro por autoatendimento). Selecione Edit (Editar).

  4. Escolha se deseja Enable self-registration (Habilitar a autoinscrição). Normalmente, a autoinscrição é usada com clientes de aplicações públicas que precisam inscrever novos usuários em seu grupo de usuários sem distribuir um segredo de cliente ou credenciais da API do AWS Identity and Access Management (IAM).

    Como desabilitar a autoinscrição

    Se você não habilitar a autoinscrição, os novos usuários deverão ser criados por ações administrativas da API usando credenciais da API do IAM ou mediante login com provedores federados.

  5. Escolha Save changes (Salvar alterações).

Personalizar mensagens de e-mail e de SMS

Personalizar mensagens de usuário

É possível personalizar as mensagens que o Amazon Cognito envia aos seus usuários quando você os convida para o acesso, eles se cadastram em uma conta de usuário ou acessam e são solicitados a fazer a autenticação multifator (MFA).

nota

Uma Invitation message (Mensagem de convite) é enviada quando você cria um usuário em seu grupo de usuários e o convida a acessar. O Amazon Cognito envia informações iniciais de acesso para o endereço de e-mail ou o número de telefone do usuário.

Uma Verification message (Mensagem de verificação) é enviada quando um usuário se cadastra em uma conta no grupo de usuários. O Amazon Cognito envia um código para o usuário. Quando o usuário fornece o código ao Amazon Cognito, ele verifica suas informações de contato e confirma sua conta para acesso. Códigos de verificação são válidos por 24 horas.

Uma MFA message (Mensagem de MFA) é enviada quando você habilita o SMS de MFA em seu grupo de usuários e um usuário que tenha configurado o SMS de MFA faz o acesso e a MFA é solicitada.

  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Selecione a guia Messaging (Sistema de mensagens) e localize os Message templates (Modelos de mensagens). Selecione Verification messages (Mensagens de verificação), Invitation messages (Mensagens de convite) ou MFA messages (Mensagens de MFA) e escolha Edit (Editar).

  4. Personalize as mensagens para o tipo de mensagem escolhido.

    nota

    Todas as variáveis nos modelos de mensagens devem ser incluídas quando você personaliza a mensagem. Se a variável, por exemplo {####}, não for incluída, seu usuário não terá informações suficientes para concluir a ação da mensagem.

    Para mais informações, consulte Modelos de mensagens.

    1. Mensagens de verificação

      1. Selecione um Verification type (Tipo de verificação) para mensagens de Email (E-mail). Um verificação por Code (Código) envia um código numérico que o usuário deve inserir. Uma verificação por Link (Link) envia um link no qual o usuário pode clicar para verificar suas informações de contato. O texto na variável para uma mensagem de Link é exibido como texto com hiperlink. Por exemplo, um modelo de mensagem usando a variável {##Clique aqui##} é exibido como Clique aqui na mensagem de e-mail.

      2. Insira um Email subject (Assunto do e-mail) para mensagens de Email (E-mail).

      3. Insira um modelo personalizado de Email message (Mensagem de e-mail) para mensagens de Email (E-mail). Você pode personalizar esse modelo usando código em HTML.

      4. Insira um modelo personalizado de SMS message (Mensagem SMS) para mensagens de SMS (SMS).

      5. Escolha Save changes (Salvar alterações).

    2. Mensagens de convite

      1. Insira um Email subject (Assunto do e-mail) para mensagens de Email (E-mail).

      2. Insira um modelo personalizado de Email message (Mensagem de e-mail) para mensagens de Email (E-mail). Você pode personalizar esse modelo usando código em HTML.

      3. Insira um modelo personalizado de SMS message (Mensagem SMS) para mensagens de SMS (SMS).

      4. Escolha Save changes (Salvar alterações).

    3. Mensagens de MFA

      1. Insira um modelo personalizado de SMS message (Mensagem SMS) para mensagens de SMS (SMS).

      2. Escolha Save changes (Salvar alterações).

Criar um usuário

Criar um usuário

Você pode criar novos usuários para seu grupo de usuários diretamente do console do Amazon Cognito. Normalmente, os usuários podem fazer login depois que eles definem uma senha. Para acesso com um endereço de e-mail, o usuário precisa verificar o atributo email. Para fazer login com um número de telefone, o usuário deve verificar o atributo phone_number. Para confirmar contas como administrador, você também pode usar a AWS CLI ou a API, ou criar perfis de usuário com um provedor de identidade federado. Para mais informações, consulte a Referência de API do Amazon Cognito.

  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Escolha a guia Users (Usuários) e, em seguida, Create a user (Criar um usuário).

  4. Revise os User pool sign-in and security requirements (Requisitos de acesso e segurança do grupo de usuários) para obter orientações sobre requisitos de senha, métodos de recuperação de conta disponíveis e atributos de alias para seu grupo de usuários.

  5. Escolha como você deseja enviar uma Invitation message (Mensagem de convite). Escolha mensagem SMS, mensagem de e-mail ou ambos.

    nota

    Para que você possa enviar mensagens de convite, configure um remetente e uma Região da AWS com o Amazon Simple Notification Service e o Amazon Simple Email Service na guia Messaging (Sistema de mensagens) do grupo de usuários. Aplicam-se tarifas de mensagens e dados do destinatário da mensagem. A cobrança de mensagens de e-mail pelo Amazon SES e de mensagens SMS pelo Amazon SNS é feita separadamente.

  6. Selecione um Username (Nome de usuário) para o novo usuário.

  7. Escolha Create a password (Criar uma senha) ou Generate a password (Gerar uma senha) se desejar que o Amazon Cognito gere uma senha para o usuário. Qualquer senha temporária deve aderir à política de senha do grupo de usuários.

  8. Escolha Create (Criar).

  9. Escolha a guia Users (Usuários) e, em seguida, a entrada User name (Nome de usuário) para o usuário. Adicione e edite User attributes (Atributos do usuário) e Group memberships (Associações de grupo). Examine User event history (Histórico de eventos do usuário).