As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Acionador do Lambda antes da geração do token
Como o Amazon Cognito invoca esse acionador antes da geração do token, é possível personalizar as declarações em tokens do grupo de usuários. Com os Recursos básicos da primeira versão ou V1_0
do evento de acionamento de geração pré-token, é possível personalizar o token de identidade (ID). Em grupos de usuários com recursos avançados de segurança ativos, é possível gerar a versão 2 ou V2_0
do evento de acionamento com a personalização do token de acesso.
O Amazon Cognito envia um evento V1_0
como uma solicitação à sua função com dados que seriam gravados no token do ID. Um evento V2_0
é uma solicitação única com os dados que o Amazon Cognito gravaria nos tokens de identidade e de acesso. Para personalizar os dois tokens, é necessário atualizar a função para usar a versão mais recente do gatilho e enviar dados aos dois tokens na mesma resposta.
Esse acionador do Lambda pode adicionar, remover e modificar algumas declarações em tokens de identidade e de acesso antes que o Amazon Cognito as emita para a aplicação. Para usar esse recurso, associe uma função do Lambda no console de grupos de usuários do Amazon Cognito ou atualize a LambdaConfig
do grupo de usuários por meio da AWS Command Line Interface
(AWS CLI).
Versões de eventos
Seu grupo de usuários pode fornecer diferentes versões de um evento de gatilho pré-geração de token para sua função Lambda. Um V1_0
gatilho fornece os parâmetros para modificação dos tokens de ID. Um V2_0
gatilho fornece parâmetros para o seguinte.
-
As funções de um
V1_0
gatilho. -
A capacidade de personalizar os tokens de acesso.
-
A capacidade de transmitir tipos de dados complexos para valores de declaração de ID e token de acesso:
-
String
-
Número
-
Booleano
-
Matriz de cadeias de caracteres, números, booleanos ou uma combinação de qualquer um desses
-
JSON
-
nota
No token de ID, você pode preencher objetos complexos com os valores das declarações, exceto para phone_number_verified
email_verified
,updated_at
, e. address
Os grupos de usuários entregam V1_0
eventos por padrão. Para configurar seu grupo de usuários para enviar um V2_0
evento, escolha uma versão do evento Trigger dos recursos básicos + personalização do token de acesso ao configurar seu gatilho no console do Amazon Cognito. Você também pode definir o valor de LambdaVersion
nos LambdaConfigparâmetros em uma solicitação de CreateUserPool API UpdateUserPool ou de uma solicitação. Custos adicionais se aplicam à personalização do token de acesso com V2_0
eventos. Para mais informações, consulte Preços do Amazon Cognito
Declarações e escopos excluídos
O Amazon Cognito limita as declarações e os escopos que você pode adicionar, modificar ou suprimir em tokens de acesso e identidade. Se a função do Lambda tentar definir um valor para qualquer uma dessas declarações, o Amazon Cognito emitirá um token com o valor da declaração original, se houver um na declaração.
Declarações compartilhadas
-
acr
-
amr
-
at_hash
-
auth_time
-
azp
-
exp
-
iat
-
iss
-
jti
-
nbf
-
nonce
-
origin_jti
-
sub
-
token_use
Declarações de token de ID
-
identities
-
aud
-
cognito:username
Declarações de token de acesso
-
username
-
client_id
-
scope
nota
É possível alterar os escopos em um token de acesso com os valores de resposta
scopesToAdd
escopesToSuppress
, mas não modificar a declaraçãoscope
diretamente. Não é possível adicionar escopos que comecem comaws.cognito
, incluindo o escopo reservadoaws.cognito.signin.user.admin
dos grupos de usuários. -
device_key
-
event_id
-
version
Não é possível adicionar nem substituir declarações com os prefixos a seguir, mas é possível suprimi-las ou impedir que elas apareçam no token.
-
dev:
-
cognito:
É possível adicionar uma declaração aud
aos tokens de acesso, mas o valor deve corresponder ao ID do cliente da aplicação da sessão atual. É possível gerar o ID do cliente no evento de solicitação de event.callerContext.clientId
.
Personalizar o token de identidade
Com o gatilho do Lambda de pré-geração de tokens, é possível personalizar o conteúdo de um token de identidade (ID) do grupo de usuários. O token de ID fornece atributos de usuário de uma fonte de identidade confiável para login em uma aplicação web ou móvel. Para obter mais informações sobre tokens, consulte Como usar o token de ID.
Os usos do gatilho do Lambda de pré-geração de tokens com um token de ID incluem os seguintes:
-
Fazer uma alteração em runtime no perfil do IAM que o usuário solicita de um banco de identidades.
-
Adicionar atributos do usuário de uma fonte externa.
-
Adicionar ou substituir valores de atributos de usuário existentes.
-
Suprimir a divulgação de atributos do usuário que, devido aos escopos autorizados do usuário e ao acesso de leitura aos atributos concedido ao cliente da aplicação, seriam transmitidos à aplicação.
Personalizar o token de acesso
Com o gatilho do Lambda de pré-geração de tokens, é possível personalizar o conteúdo de um token de acesso do grupo de usuários. O token de acesso autoriza os usuários a recuperar informações de recursos protegidos por acesso, como operações de API autorizadas pelo token do Amazon Cognito e APIs de terceiros. Embora você possa gerar tokens de acesso para autorização machine-to-machine (M2M) com o Amazon Cognito com a concessão de credenciais do cliente, as solicitações M2M não invocam a função de gatilho de pré-geração de token e não podem emitir tokens de acesso personalizados. Para obter mais informações sobre tokens de acesso, consulte Como usar o token de acesso.
Os usos do gatilho do Lambda de pré-geração de tokens com um token de acesso incluem os seguintes:
-
Adicionar ou suprimir os escopos do OAuth 2.0 na declaração
scope
. Por exemplo, é possível adicionar escopos a um token de acesso gerado pela autenticação da API de grupos de usuários do Amazon Cognito, que atribui apenas o escopoaws.cognito.signin.user.admin
. -
Alterar a associação de um usuário em grupos de usuários.
-
Adicione declarações que ainda não estão presentes em um token de acesso do Amazon Cognito.
-
Suprimir a divulgação de declarações que, de outra forma, seriam transmitidas à aplicação.
Para oferecer compatibilidade com a personalização do acesso no grupo de usuários, é necessário configurar o grupo de usuários para gerar uma versão atualizada da solicitação de gatilho. Atualize o grupo de usuários conforme mostrado no procedimento a seguir.
Tópicos
- Fontes do acionador do Lambda antes da geração do token
- Parâmetros do acionador do Lambda antes da geração do token
- Exemplo da segunda versão do evento de acionamento pré-token: adicionar e suprimir declarações, escopos e grupos
- Exemplo da segunda versão do evento de pré-geração de tokens: adicionar declarações com objetos complexos
- Exemplo da primeira versão do evento de geração pré-token: adicionar uma nova declaração e suprimir uma declaração existente
- Exemplo da primeira versão do evento de geração pré-token: modificar a associação do grupo do usuário
Fontes do acionador do Lambda antes da geração do token
Valor de triggerSource | Evento |
---|---|
TokenGeneration_HostedAuth |
Chamado durante a autenticação na página de login da IU hospedada no Amazon Cognito. |
TokenGeneration_Authentication |
Chamado depois de os fluxos de autenticação de usuário concluírem. |
TokenGeneration_NewPasswordChallenge |
Chamado após o usuário ser criado por um admin. Este fluxo é chamado quando o usuário tiver que alterar uma senha temporária. |
TokenGeneration_AuthenticateDevice |
Chamado no final da autenticação do dispositivo de um usuário. |
TokenGeneration_RefreshTokens |
Chamado quando um usuário tenta atualizar a identidade e acessar tokens. |
Parâmetros do acionador do Lambda antes da geração do token
A solicitação que o Amazon Cognito transmite para essa função do Lambda é uma combinação dos parâmetros abaixo e dos parâmetros comuns que o Amazon Cognito adiciona a todas as solicitações. Ao adicionar um gatilho do Lambda de pré-geração de tokens ao grupo de usuários, é possível selecionar uma versão do gatilho. Essa versão determina se o Amazon Cognito transmite uma solicitação para a função do Lambda com parâmetros adicionais para personalização do token de acesso.
Parâmetros de solicitação antes da geração do token
Nome | Descrição | Versão mínima do evento de gatilho |
---|---|---|
userAttributes |
Os atributos do seu perfil de usuário no grupo de usuários. |
1 |
groupConfiguration |
O objeto de entrada que contém a configuração atual do grupo. O objeto inclui |
1 |
groupsToOverride |
Os grupos de usuários dos quais seu usuário é membro. |
1 |
iamRolesToSubstituir |
Você pode associar um grupo de grupos de usuários a uma função AWS Identity and Access Management (IAM). Esse elemento é uma lista de todos os perfis do IAM dos grupos dos quais seu usuário é membro. |
1 |
preferredRole |
É possível definir uma precedência para grupos de usuários. Esse elemento contém o nome do perfil do IAM do grupo com a maior precedência no elemento |
1 |
clientMetadata |
Um ou mais pares de chave-valor que você pode especificar e fornecer como entrada personalizada à função do Lambda para o acionador antes da geração do token. Para passar esses dados para sua função Lambda, use o ClientMetadata parâmetro nas operações AdminRespondToAuthChallengee da RespondToAuthChallengeAPI. O Amazon Cognito não inclui dados do |
1 |
escopos |
Os escopos do OAuth 2.0 do usuário. Os escopos presentes em um token de acesso são os escopos padrão e personalizados do grupo de usuários que o usuário solicitou e que você autorizou o cliente da aplicação a emitir. |
2 |
Parâmetros de resposta antes da geração do token
Nome | Descrição | Versão mínima do evento de gatilho |
---|---|---|
claimsOverrideDetails | Um contêiner para todos os elementos em um evento de acionamento V1_0 . |
1 |
claimsAndScopeOverrideDetails |
Um contêiner para todos os elementos em um evento de acionamento |
2 |
idTokenGeneration |
As declarações que você deseja substituir, adicionar ou suprimir no token de ID do usuário. Esses valores de personalização do token pai para ID aparecem somente nos eventos da versão 2, mas os elementos filhos aparecem nos eventos da versão 1. |
2 |
accessTokenGeneration |
As declarações e os escopos que você deseja substituir, adicionar ou suprimir no token de acesso do usuário. Esse pai dos valores de personalização do token de acesso aparecem somente nos eventos da versão 2. |
2 |
claimsToAddOrOverride |
Um mapa de uma ou mais declarações e os respectivos valores que você deseja adicionar ou modificar. Para declarações relacionadas a grupos, use Nos eventos da versão 2, esse elemento aparece em |
1 * |
claimsToSuppress |
Uma lista de declarações que o Amazon Cognito deve suprimir. Se sua função suprime e substitui um valor de solicitação, o Amazon Cognito suprime a solicitação. Nos eventos da versão 2, esse elemento aparece em |
1 |
groupOverrideDetails |
O objeto de saída que contém a configuração atual do grupo. O objeto inclui A função substitui o objeto O ID do Amazon Cognito e os tokens de acesso contêm a declaração |
1 |
scopesToAdd |
Uma lista de escopos do OAuth 2.0 que você deseja adicionar à declaração |
2 |
scopesToSuppress |
Uma lista de escopos do OAuth 2.0 que você deseja remover da declaração |
2 |
* Objetos de resposta aos eventos da versão 1 podem retornar sequências de caracteres. Objetos de resposta aos eventos da versão 2 podem retornar objetos complexos.
Exemplo da segunda versão do evento de acionamento pré-token: adicionar e suprimir declarações, escopos e grupos
Este exemplo faz as seguintes modificações nos tokens de um usuário.
-
Define
family_name
comoDoe
no token de ID. -
Impede que as declarações
email
ephone_number
apareçam no token de ID. -
Define a declaração
cognito:roles
do token de ID como"arn:aws:iam::123456789012:role\/sns_callerA","arn:aws:iam::123456789012:role\/sns_callerC","arn:aws:iam::123456789012:role\/sns_callerB"
. -
Define a declaração
cognito:preferred_role
do token de ID comoarn:aws:iam::123456789012:role/sns_caller
. -
Adiciona os escopos
openid
,email
esolar-system-data/asteroids.add
ao token de acesso. -
Suprime o escopo
phone_number
eaws.cognito.signin.user.admin
do token de acesso. A remoção dephone_number
impede a recuperação do número de telefone do usuário emuserInfo
. A remoção deaws.cognito.signin.user.admin
impede que as solicitações de API pelo usuário leiam e modifiquem seu próprio perfil com a API de grupos de usuários do Amazon Cognito.nota
A remoção de
phone_number
dos escopos só impedirá a recuperação do número de telefone de um usuário se os escopos restantes no token de acesso incluíremopenid
e pelo menos mais um escopo padrão. Para ter mais informações, consulte Sobre escopos. -
Define a declaração
cognito:groups
do token de ID e de acesso como"new-group-A","new-group-B","new-group-C"
.
O Amazon Cognito transmite informações de evento para a função do Lambda. A função retorna o mesmo objeto de evento para o Amazon Cognito, com as alterações na resposta. No console do Lambda, você pode configurar um evento de teste com dados relevantes para o acionador do Lambda. A seguir, é mostrado um evento de teste para esse exemplo de código:
Exemplo da segunda versão do evento de pré-geração de tokens: adicionar declarações com objetos complexos
Este exemplo faz as seguintes modificações nos tokens de um usuário.
-
Adiciona declarações dos tipos número, string, booleano e JSON ao token de ID. Essa é a única alteração que os eventos de gatilho da versão dois disponibilizam para o token de ID.
-
Adiciona declarações dos tipos número, string, booleano e JSON ao token de acesso.
-
Adiciona três escopos ao token de acesso.
-
Suprime as
sub
reivindicaçõesemail
e nos tokens de ID e acesso. -
Suprime o
aws.cognito.signin.user.admin
escopo no token de acesso.
O Amazon Cognito transmite informações de evento para a função do Lambda. A função retorna o mesmo objeto de evento para o Amazon Cognito, com as alterações na resposta. No console do Lambda, você pode configurar um evento de teste com dados relevantes para o acionador do Lambda. A seguir, é mostrado um evento de teste para esse exemplo de código:
Exemplo da primeira versão do evento de geração pré-token: adicionar uma nova declaração e suprimir uma declaração existente
Esse exemplo usa um evento de gatilho 1 de versão com uma função do Lambda de pré-geração de tokens para adicionar uma nova declaração e suprimir uma existente.
O Amazon Cognito transmite informações de evento para a função do Lambda. A função retorna o mesmo objeto de evento para o Amazon Cognito, com as alterações na resposta. No console do Lambda, você pode configurar um evento de teste com dados relevantes para o acionador do Lambda. A seguir, é mostrado um evento de teste para esse exemplo de código: como o código de exemplo não processa nenhum parâmetro de solicitação, você pode usar um evento de teste com uma solicitação vazia. Para obter mais informações sobre parâmetros de solicitação comuns, consulte Evento de acionador do Lambda do grupo de usuários.
Exemplo da primeira versão do evento de geração pré-token: modificar a associação do grupo do usuário
Esse exemplo usa o evento de gatilho 1 de versão com uma função do Lambda de pré-geração de tokens para modificar a associação do grupo do usuário.
O Amazon Cognito transmite informações de evento para a função do Lambda. A função retorna o mesmo objeto de evento para o Amazon Cognito, com as alterações na resposta. No console do Lambda, você pode configurar um evento de teste com dados relevantes para o acionador do Lambda. A seguir, é mostrado um evento de teste para esse exemplo de código: