Como usar grupos de identidades (identidades federadas) - Amazon Cognito
Funções do IAM do usuárioIdentidades autenticadas e não autenticadasAtivar ou desativar o acesso de convidadosAlteração da função associada a um tipo de identidadeEditar provedores de identidadesExcluir um banco de identidadesExcluir uma identidade de um grupo de identidades

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como usar grupos de identidades (identidades federadas)

Os grupos de identidade do Amazon Cognito fornecem AWS credenciais temporárias para usuários convidados (não autenticados) e para usuários que foram autenticados e receberam um token. Um grupo de identidades é um repositório de dados de identidade de usuários específicos para sua conta.

Para criar um novo grupo de identidades no console

  1. Faça login no console do Amazon Cognito e selecione Bancos de identidades.

  2. Selecione Criar banco de identidades.

  3. Em Configurar confiança do banco de identidades, opte por configurar seu banco de identidades para Acesso autenticado, Acesso de convidado ou ambos.

    1. Se você selecionou Acesso autenticado, escolha um ou mais Tipos de identidade que você deseja definir como origem de identidades autenticadas no banco de identidades. Se você configurar um Provedor de desenvolvedor personalizado, não poderá modificá-lo nem o excluir depois de criar o banco de identidades.

  4. Em Configurar permissões, selecione um perfil padrão do IAM para usuários autenticados ou convidados em seu banco de identidades.

    1. Selecione Criar um perfil do IAM se quiser que o Amazon Cognito crie um perfil para você com permissões básicas e uma relação de confiança com seu banco de identidades. Insira um Nome de perfil do IAM para identificar seu novo perfil; por exemplo, myidentitypool_authenticatedrole. Selecione Visualizar documento de política para examinar as permissões que o Amazon Cognito atribuirá ao novo perfil do IAM.

    2. Você pode optar por usar uma função do IAM existente se já tiver uma função na sua Conta da AWS que queira usar. Você deve configurar sua política de confiança de perfis do IAM para incluir cognito-identity.amazonaws.com. Configure sua política de confiança de perfil para permitir que o Amazon Cognito assuma o perfil somente quando apresentar evidências de que a solicitação se originou de um usuário autenticado em seu banco de identidades específico. Para ter mais informações, consulte Permissões e confiança de função.

  5. Em Connect identity providers, insira os detalhes dos provedores de identidade (IdPs) que você escolheu em Configurar a confiança do grupo de identidades. Você pode receber uma solicitação para fornecer informações do cliente da aplicação OAuth, selecionar um grupo de usuários do Amazon Cognito, escolher um IdP do IAM ou inserir um identificador personalizado para um provedor de desenvolvedor.

    1. Selecione Configurações de perfil para cada IdP. Você pode atribuir aos usuários desse IdP o Perfil padrão que você configurou ao definir seu Perfil autenticado ou Escolher perfil com regras. Com um IdP de grupo de usuários do Amazon Cognito, você também pode Escolher perfil com preferred_role em tokens. Para ter mais informações sobre a declaração cognito:preferred_role, consulte Como atribuir valores de precedência a grupos.

      1. Se você escolheu Escolher perfil com regras, insira a Declaração de origem da autenticação do usuário, o Operador pelo qual você deseja comparar a declaração, o Valor que gerará uma correspondência com essa opção de perfil e o Perfil que você deseja atribuir quando houver correspondência com a Atribuição de perfil. Selecione Adicionar outra para criar uma regra adicional com base em uma condição diferente.

      2. Selecione uma Resolução de perfil. Quando as declarações do usuário não correspondem às suas regras, você pode negar ou emitir credenciais para seu Perfil autenticado.

    2. Configure Atributos para controle de acesso para cada IdP. Os atributos para controle de acesso correlacionam as declarações do usuário com as tags de entidade principal que o Amazon Cognito aplica à sua sessão temporária. Você pode criar políticas do IAM para filtrar o acesso do usuário com base nas tags aplicadas à sessão.

      1. Para não aplicar nenhuma tag de entidade principal, selecione Inativo.

      2. Para aplicar tags de entidade principal com base em declarações sub e aud, selecione Usar mapeamentos padrão.

      3. Para criar seu próprio esquema personalizado de atributos para as tags de entidade principal, selecione Usar mapeamentos personalizados. Depois, insira a Chave de tag que você deseja obter de cada declaração e representar em uma tag.

  6. Em Configurar propriedades, insira um Nome em Nome do banco de identidades.

  7. Em Autenticação básica (clássica), escolha se você deseja Ativar fluxo básico. Com o fluxo básico ativo, você pode ignorar as seleções de função que você fez para você IdPs e ligar diretamente. AssumeRoleWithWebIdentity Para ter mais informações, consulte Fluxo de autenticação dos grupos de identidades (identidades federadas).

  8. Em Tags, selecione Adicionar tag se quiser aplicar tags ao banco de identidades.

  9. Em Revisar e criar, confirme as seleções que você fez para o novo banco de identidades. Selecione Editar para retornar ao assistente e alterar as configurações. Quando terminar, selecione Criar banco de identidades.

Funções do IAM do usuário

Uma função do IAM define as permissões para seus usuários acessarem AWS recursos, por exemploAmazon Cognito Sync. Os usuários do aplicativo assumirão as funções que você criar. Você pode especificar funções diferentes para usuários autenticados e não autenticados. Para saber mais sobre as funções do IAM, consulte Perfis do IAM.

Identidades autenticadas e não autenticadas

Os grupos de identidades do Amazon Cognito oferecem suporte a identidades autenticadas e não autenticadas. As identidades autenticadas pertencem a usuários que são autenticados por qualquer provedor de identidades. As identidades não autenticadas normalmente pertencem a usuários convidados.

Ativar ou desativar o acesso de convidados

O acesso de convidados aos grupos de identidade do Amazon Cognito (identidades não autenticadas) fornece um identificador e AWS credenciais exclusivos para usuários que não se autenticam com um provedor de identidade. Se a aplicação permitir usuários que não fazem login, você poderá ativar o acesso para identidades não autenticadas. Para saber mais, consulte Introdução aos grupos de identidade do Amazon Cognito.

Como atualizar o acesso de convidados em um banco de identidades

  1. Selecione Bancos de identidades no console do Amazon Cognito. Selecione um banco de identidades.

  2. Selecione a guia Acesso do usuário.

  3. Localize Acesso de convidado. Em um banco de identidades não compatível no momento com o acesso de convidados, o Status é Inativo.

    1. Se Acesso de convidado estiver Ativo e você quiser desativá-lo, selecione Desativar.

    2. Se Acesso de convidado estiver Inativo e você quiser ativá-lo, selecione Editar.

      1. Selecione um perfil padrão do IAM para usuários convidados em seu banco de identidades.

        1. Selecione Criar um perfil do IAM se quiser que o Amazon Cognito crie um perfil para você com permissões básicas e uma relação de confiança com seu banco de identidades. Insira um Nome de perfil do IAM para identificar seu novo perfil; por exemplo, myidentitypool_authenticatedrole. Selecione Visualizar documento de política para examinar as permissões que o Amazon Cognito atribuirá ao novo perfil do IAM.

        2. Você pode optar por usar uma função do IAM existente se já tiver uma função na sua Conta da AWS que queira usar. Você deve configurar sua política de confiança de perfis do IAM para incluir cognito-identity.amazonaws.com. Configure sua política de confiança de perfil para permitir que o Amazon Cognito assuma o perfil somente quando apresentar evidências de que a solicitação se originou de um usuário autenticado em seu banco de identidades específico. Para ter mais informações, consulte Permissões e confiança de função.

        3. Selecione Save Changes (Salvar alterações).

        4. Para ativar o acesso de convidados, selecione Ativar na guia Acesso do usuário.

Alteração da função associada a um tipo de identidade

Cada identidade em seu grupo de identidades é autenticada ou não autenticada. As identidades autenticadas pertencem aos usuários que são autenticados por um provedor de login público (grupos de usuários do Amazon Cognito, Login with Amazon, Fazer login com a Apple, Facebook, Google, SAML ou qualquer provedor do OpenID Connect) ou um provedor de desenvolvedor (seu próprio processo de autenticação de backend). As identidades não autenticadas normalmente pertencem a usuários convidados.

Para cada tipo de identidade, há uma função atribuída. Essa função tem uma política anexada que determina qual função Serviços da AWS essa função pode acessar. Quando o Amazon Cognito receber uma solicitação, o serviço determina o tipo de identidade, a função atribuída a esse tipo de identidade e usa a política anexada a essa função para responder. Ao modificar uma política ou atribuir uma função diferente a um tipo de identidade, você pode controlar qual tipo Serviços da AWS de identidade pode acessar. Para exibir ou modificar as políticas associadas às funções no grupo de identidades, consulte o Console do AWS IAM.

Como alterar o perfil padrão autenticado ou não autenticado do banco de identidades

  1. Selecione Bancos de identidades no console do Amazon Cognito. Selecione um banco de identidades.

  2. Selecione a guia Acesso do usuário.

  3. Localize Acesso de convidado ou Acesso autenticado. Em um banco de identidades não configurado no momento para esse tipo de acesso, o Status é Inativo. Selecione Edit (Editar).

  4. Selecione um perfil padrão do IAM para convidados ou usuários autenticados em seu banco de identidades.

    1. Selecione Criar um perfil do IAM se quiser que o Amazon Cognito crie um perfil para você com permissões básicas e uma relação de confiança com seu banco de identidades. Insira um Nome de perfil do IAM para identificar seu novo perfil; por exemplo, myidentitypool_authenticatedrole. Selecione Visualizar documento de política para examinar as permissões que o Amazon Cognito atribuirá ao novo perfil do IAM.

    2. Você pode optar por usar uma função do IAM existente se já tiver uma função na sua Conta da AWS que queira usar. Você deve configurar sua política de confiança de perfis do IAM para incluir cognito-identity.amazonaws.com. Configure sua política de confiança de perfil para permitir que o Amazon Cognito assuma o perfil somente quando apresentar evidências de que a solicitação se originou de um usuário autenticado em seu banco de identidades específico. Para ter mais informações, consulte Permissões e confiança de função.

  5. Selecione Save Changes (Salvar alterações).

Editar provedores de identidades

Se você permitir que os usuários realizem a autenticação por meio de provedores de identidades públicos (por exemplo, grupos de usuários do Amazon Cognito, Login with Amazon, Login with Apple, Facebook ou Google), poderá especificar os identificadores da aplicação no console de bancos de identidades (identidades federadas) do Amazon Cognito. Isso associa o ID do aplicativo (fornecido pelo provedor de login público) ao seu grupo de identidades.

Você também pode configurar regras de autenticação para cada provedor desta página. Cada provedor permite até 25 regras. As regras são aplicadas na ordem salva para cada provedor. Para ter mais informações, consulte Controle de acesso com base em perfil.

Atenção

A alteração do ID da aplicação do IdP vinculado em seu banco de identidades impede que os usuários existentes se autentiquem no banco de identidades em questão. Para ter mais informações, consulte Provedores externos de identidade de grupos de identidades.

Como atualizar um provedor de identidades  (IdP) de banco de identidades

  1. Selecione Bancos de identidades no console do Amazon Cognito. Selecione um banco de identidades.

  2. Selecione a guia Acesso do usuário.

  3. Localize Provedores de identidade. Selecione o provedor de identidades a ser editado. Se você quiser adicionar um novo IdP, selecione Adicionar provedor de identidade.

    1. Se você escolheu Adicionar provedor de identidade, selecione um dos Tipos de identidade que você deseja adicionar.

  4. Para alterar o ID da aplicação, selecione Editar em Informações do provedor de identidade.

  5. Para alterar o perfil que o Amazon Cognito solicita ao emitir credenciais para usuários que se autenticaram com esse provedor, selecione Editar em Configurações do perfil.

    1. Você pode atribuir aos usuários desse IdP o Perfil padrão que você configurou ao definir seu Perfil autenticado ou Escolher perfil com regras. Com um IdP de grupo de usuários do Amazon Cognito, você também pode Escolher perfil com preferred_role em tokens. Para ter mais informações sobre a declaração cognito:preferred_role, consulte Como atribuir valores de precedência a grupos.

      1. Se você escolheu Escolher perfil com regras, insira a Declaração de origem da autenticação do usuário, o Operador pelo qual você deseja comparar a declaração, o Valor que gerará uma correspondência com essa opção de perfil e o Perfil que você deseja atribuir quando houver correspondência com a Atribuição de perfil. Selecione Adicionar outra para criar uma regra adicional com base em uma condição diferente.

      2. Selecione uma Resolução de perfil. Quando as declarações do usuário não correspondem às suas regras, você pode negar ou emitir credenciais para seu Perfil autenticado.

  6. Para alterar as tags de entidade principal que o Amazon Cognito atribui quando emite credenciais para usuários que se autenticaram com esse provedor, selecione Editar em Atributos para controle de acesso.

    1. Para não aplicar nenhuma tag de entidade principal, selecione Inativo.

    2. Para aplicar tags de entidade principal com base em declarações sub e aud, selecione Usar mapeamentos padrão.

    3. Para criar seu próprio esquema personalizado de atributos para as tags de entidade principal, selecione Usar mapeamentos personalizados. Depois, insira a Chave de tag que você deseja obter de cada declaração e representar em uma tag.

  7. Selecione Save Changes (Salvar alterações).

Excluir um banco de identidades

Não é possível desfazer a exclusão do banco de identidades. Após a exclusão de um banco de identidades, todas as aplicações e usuários que dependem dele param de funcionar.

Para excluir um grupo de identidades

  1. Selecione Bancos de identidades no console do Amazon Cognito. Marque a caixa de opção ao lado do banco de identidades a ser excluído.

  2. Selecione Excluir.

  3. Insira ou cole o nome do banco de identidades e selecione Excluir.

Atenção

Ao selecionar o botão Delete (Excluir), você excluirá permanentemente seu grupo de identidades e todos os dados de usuários nele contidos. A exclusão de um banco de identidades fará com que as aplicações e outros serviços que utilizam o banco parem de funcionar.

Excluir uma identidade de um grupo de identidades

Ao excluir uma identidade de um banco de identidades, você remove as informações de identificação que o Amazon Cognito armazenou para esse usuário federado. Quando o usuário solicitar credenciais novamente, ele receberá um novo ID de identidade se o banco de identidades ainda confiar em seu provedor de identidades. Você não pode desfazer esta operação.

Como excluir uma identidade

  1. Selecione Bancos de identidades no console do Amazon Cognito. Selecione um banco de identidades.

  2. Selecione a guia Navegador de identidade.

  3. Marque a caixa de seleção ao lado das identidades a serem excluídas e selecione Excluir. Confirme que você deseja excluir as identidades e selecione Excluir.