Como criar contas de usuário como administrador - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como criar contas de usuário como administrador

Os grupos de usuários não são apenas um diretório de usuários do gerenciamento de identidade e acesso do cliente (CIAM), no qual qualquer pessoa na Internet pode se inscrever em um perfil de usuário em seu aplicativo. Você pode desativar a inscrição por autoatendimento. Talvez você já conheça seus clientes e queira admitir apenas aqueles que foram autorizados com antecedência. Você pode colocar barreiras de autenticação manual em seu aplicativo com um provedor privado SAML 2.0 ou de OIDC identidade, importando usuários, examinando usuários no momento da inscrição ou criando usuários com operações administrativas. API Seu fluxo de trabalho para criação administrativa de usuários pode ser programático, provisionando usuários após o registro em outro sistema, ou pode ser baseado em testes case-by-case ou no console do Amazon Cognito.

Quando você cria usuários como administrador, o Amazon Cognito define uma senha temporária para eles e envia uma mensagem de boas-vindas ou convite. Eles podem seguir o link na mensagem de convite e fazer login pela primeira vez, definindo uma senha e confirmando a conta. A página a seguir descreve como criar novos usuários e configurar a mensagem de boas-vindas. Para obter mais informações sobre a criação de usuários com os grupos de usuários API e um AWS SDK ouCDK, consulte AdminCreateUser.

Depois de criar seu grupo de usuários, você pode criar usuários usando o AWS Management Console, bem como o AWS Command Line Interface ou o Amazon CognitoAPI. Você pode criar um perfil para um novo usuário em um grupo de usuários e enviar uma mensagem de boas-vindas com instruções de inscrição para o usuário SMS por e-mail.

Desenvolvedores e administradores podem executar as seguintes tarefas:

  • Crie um novo perfil de usuário usando o AWS Management Console ou ligando para AdminCreateUser API o.

  • Defina os valores dos atributos do usuário.

  • Crie atributos personalizados.

  • Defina o valor dos atributos personalizados imutáveis nas AdminCreateUser API solicitações. Esse recurso não está disponível no console do Amazon Cognito.

  • Especifique a senha temporária ou permita que o Amazon Cognito gere uma automaticamente.

  • Especifique se endereços de e-mail e números de telefone fornecidos são marcadas como verificados para novos usuários.

  • Especifique mensagens de convite personalizadas SMS e por e-mail para novos usuários por meio do gatilho Lambda de mensagem personalizada AWS Management Console ou de um gatilho Lambda de mensagem personalizada. Para obter mais informações, consulte Como personalizar fluxos de trabalho do grupo de usuários com acionadores do Lambda.

  • Especifique se as mensagens de convite são enviadas por SMS e-mail ou por ambos.

  • Reenvie a mensagem de boas-vindas para um usuário existente chamando o AdminCreateUserAPI, especificando RESEND o MessageAction parâmetro.

    nota

    Esta ação não pode ser executada no momento com o uso do AWS Management Console.

  • Suprimir o envio da mensagem de convite quando o usuário for criado.

  • Especifique um limite de tempo de expiração para a conta de usuário (até 90 dias).

  • Permita que os usuários se cadastrem ou exija que novos usuários sejam adicionados apenas pelo administrador.

Fluxo de autenticação para usuários criados por administradores ou desenvolvedores

O fluxo de autenticação para esses usuários inclui a etapa extra para enviar a nova senha e fornecer qualquer valor ausente para atributos necessários. As etapas são descritas a seguir; as etapas 5, 6 e 7 são específicas para esses usuários.

  1. O usuário começa a fazer login pela primeira vez enviando o nome de usuário e a senha.

  2. As SDK ligaçõesInitiateAuth(Username, USER_SRP_AUTH).

  3. O Amazon Cognito retorna o desafio PASSWORD_VERIFIER com bloqueio Salt & Secret.

  4. Em seguida, SDK executa SRP os cálculos e as chamadasRespondToAuthChallenge(Username, <SRP variables>, PASSWORD_VERIFIER).

  5. O Amazon Cognito retorna o desafio NEW_PASSWORD_REQUIRED. O corpo desse desafio inclui os atributos atuais do usuário e quaisquer atributos necessários em seu grupo de usuários que no momento não têm um valor no perfil do usuário. Para obter mais informações, consulte RespondToAuthChallenge.

  6. O usuário é alertado e insere uma nova senha e qualquer valor ausente para atributos necessários.

  7. As SDK ligaçõesRespondToAuthChallenge(Username, <New password>, <User attributes>).

  8. Se o usuário precisar de um segundo fatorMFA, o Amazon Cognito retornará o MFA desafio SMS _ e o código será enviado.

  9. Depois que o usuário alterar sua senha com sucesso e, opcionalmente, fornecer valores atribuídos ou preenchidosMFA, o usuário faz login e os tokens são emitidos.

Quando o usuário tiver cumprido todos os desafios, o serviço do Amazon Cognito marcará o usuário como confirmado, emitirá uma ID e atualizará os tokens para ele. Para obter mais informações, consulte Entendendo os tokens JSON da web do pool de usuários (JWTs).

Como criar um novo usuário no AWS Management Console

É possível definir requisitos de senha de usuário, configurar as mensagens de convite e verificação enviadas aos usuários e adicionar novos usuários com o console do Amazon Cognito.

Definir uma política de senha e habilitar a autoinscrição

Você pode definir as configurações para a complexidade mínima da senha e se os usuários podem se inscrever usando public APIs em seu grupo de usuários.

Configurar uma política de senhas
  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Selecione a guia Sign-in experience (Experiência de acesso) e localize Password policy (Política de senha). Selecione a opção Editar.

  4. Selecione o Password policy mode (Modo de política de senha) Custom (Personalizado).

  5. Selecione um Password minimum length (Comprimento mínimo da senha). Para os limites do requisito de tamanho da senha, consulte Cotas de recursos de grupos de usuários.

  6. Selecione um requisito de Password complexity (Complexidade de senha).

  7. Escolha por quanto tempo a senha definida pelos administradores deve ser válida.

  8. Escolha Salvar alterações.

Permitir cadastro por autoatendimento
  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Selecione a guia Sign-up experience (Experiência de cadastro) e localize Self-service sign-up (Cadastro por autoatendimento). Selecione Edit (Editar).

  4. Escolha se deseja Enable self-registration (Habilitar a autoinscrição). O autorregistro geralmente é usado com clientes de aplicativos públicos que precisam registrar novos usuários em seu grupo de usuários sem distribuir um segredo de cliente ou credenciais AWS Identity and Access Management (IAM)API.

    Como desabilitar a autoinscrição

    Se você não habilitar o autorregistro, novos usuários deverão ser criados por meio de API ações administrativas usando IAM API credenciais ou fazendo login com provedores federados.

  5. Escolha Salvar alterações.

Personalize e-mails e SMS mensagens

Personalizar mensagens de usuário

Você pode personalizar as mensagens que o Amazon Cognito envia aos seus usuários quando você os convida a fazer login, eles se inscrevem em uma conta de usuário ou fazem login e são solicitados a fazer a autenticação multifatorial (). MFA

nota

Uma Invitation message (Mensagem de convite) é enviada quando você cria um usuário em seu grupo de usuários e o convida a acessar. O Amazon Cognito envia informações iniciais de acesso para o endereço de e-mail ou o número de telefone do usuário.

Uma Verification message (Mensagem de verificação) é enviada quando um usuário se cadastra em uma conta no grupo de usuários. O Amazon Cognito envia um código para o usuário. Quando o usuário fornece o código ao Amazon Cognito, ele verifica suas informações de contato e confirma sua conta para acesso. Códigos de verificação são válidos por 24 horas.

Uma MFAmensagem é enviada quando você ativa SMS MFA em seu grupo de usuários, e um usuário que configurou faz SMS MFA login e recebe uma solicitaçãoMFA.

  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Selecione a guia Messaging (Sistema de mensagens) e localize os Message templates (Modelos de mensagens). Selecione Mensagens de verificação, mensagens de convite ou MFAmensagens e escolha Editar.

  4. Personalize as mensagens para o tipo de mensagem escolhido.

    nota

    Todas as variáveis nos modelos de mensagens devem ser incluídas quando você personaliza a mensagem. Se a variável, por exemplo {####}, não for incluída, seu usuário não terá informações suficientes para concluir a ação da mensagem.

    Para mais informações, consulte Modelos de mensagens.

    1. Mensagens de verificação

      1. Selecione um Verification type (Tipo de verificação) para mensagens de Email (E-mail). Um verificação por Code (Código) envia um código numérico que o usuário deve inserir. Uma verificação por Link (Link) envia um link no qual o usuário pode clicar para verificar suas informações de contato. O texto na variável para uma mensagem de Link é exibido como texto com hiperlink. Por exemplo, um modelo de mensagem usando a variável {##Clique aqui##} é exibido como Clique aqui na mensagem de e-mail.

      2. Insira um Email subject (Assunto do e-mail) para mensagens de Email (E-mail).

      3. Insira um modelo personalizado de Email message (Mensagem de e-mail) para mensagens de Email (E-mail). Você pode personalizar esse modelo comHTML.

      4. Insira um modelo de SMSmensagem personalizado para SMSmensagens.

      5. Escolha Salvar alterações.

    2. Mensagens de convite

      1. Insira um Email subject (Assunto do e-mail) para mensagens de Email (E-mail).

      2. Insira um modelo personalizado de Email message (Mensagem de e-mail) para mensagens de Email (E-mail). Você pode personalizar esse modelo comHTML.

      3. Insira um modelo de SMSmensagem personalizado para SMSmensagens.

      4. Escolha Salvar alterações.

    3. MFAmensagens

      1. Insira um modelo de SMSmensagem personalizado para SMSmensagens.

      2. Escolha Salvar alterações.

Criar um usuário

Criar um usuário

Você pode criar novos usuários para seu grupo de usuários diretamente do console do Amazon Cognito. Normalmente, os usuários podem fazer login depois que eles definem uma senha. Para acesso com um endereço de e-mail, o usuário precisa verificar o atributo email. Para fazer login com um número de telefone, o usuário deve verificar o atributo phone_number. Para confirmar contas como administrador, você também pode usar o AWS CLI ouAPI, ou criar perfis de usuário com um provedor de identidade federado. Para obter mais informações, consulte a Referência do Amazon Cognito API.

  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Escolha a guia Users (Usuários) e, em seguida, Create a user (Criar um usuário).

  4. Revise os User pool sign-in and security requirements (Requisitos de acesso e segurança do grupo de usuários) para obter orientações sobre requisitos de senha, métodos de recuperação de conta disponíveis e atributos de alias para seu grupo de usuários.

  5. Escolha como você deseja enviar uma Invitation message (Mensagem de convite). Escolha SMS mensagem, mensagem de e-mail ou ambas.

    nota

    Para que você possa enviar mensagens de convite, configure um remetente e uma Região da AWS com o Amazon Simple Notification Service e o Amazon Simple Email Service na guia Messaging (Sistema de mensagens) do grupo de usuários. Aplicam-se tarifas de mensagens e dados do destinatário da mensagem. A Amazon SES cobra por mensagens de e-mail separadamente, e a Amazon SNS cobra por SMS mensagens separadamente.

  6. Selecione um Username (Nome de usuário) para o novo usuário.

  7. Escolha Create a password (Criar uma senha) ou Generate a password (Gerar uma senha) se desejar que o Amazon Cognito gere uma senha para o usuário. Qualquer senha temporária deve aderir à política de senha do grupo de usuários.

  8. Escolha Criar.

  9. Escolha a guia Users (Usuários) e, em seguida, a entrada User name (Nome de usuário) para o usuário. Adicione e edite User attributes (Atributos do usuário) e Group memberships (Associações de grupo). Examine User event history (Histórico de eventos do usuário).