Trabalhar com atributos do usuário - Amazon Cognito
Atributos padrãoNome de usuário e nome de usuário preferencialPersonalização dos atributos de loginAtributos personalizadosPermissões e escopos do atributo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Trabalhar com atributos do usuário

Os atributos são informações que ajudam a identificar usuários específicos, como nome, endereço de e-mail e número de telefone. Um novo grupo de usuários tem um conjunto padrão de atributos. Você também pode adicionar atributos personalizados à sua definição de grupo de usuários no AWS Management Console. Este tópico descreve esses atributos detalhadamente e oferece dicas sobre como configurar seu grupo de usuários.

Não armazene todas as informações sobre seus usuários nos atributos. Por exemplo, mantenha os dados do usuário que são alterados com frequência, como estatísticas de uso ou pontuações de jogos, em um repositório de dados separado, como o Amazon Cognito Sync ou o Amazon DynamoDB.

Limpe as entradas dos valores de string de atributos do usuário antes de enviá-los ao seu grupo de usuários. Um método para analisar os valores de atributos do usuário propostos é com um gatilho Lambda, como a pré-inscrição.

nota

Alguns documentos e padrões se referem a atributos como membros.

Atributos padrão

O Amazon Cognito atribui a todos os usuários um conjunto de atributos padrão com base na Especificação do OpenID Connect. Por padrão, os valores de atributo padrão e personalizados podem ser qualquer string de até 2.048 caracteres, mas alguns valores têm restrições de formato.

Os atributos padrão são:

  • name

  • family_name

  • given_name

  • middle_name

  • nickname

  • preferred_username

  • profile

  • picture

  • website

  • gender

  • birthdate

  • zoneinfo

  • locale

  • updated_at

  • address

  • email

  • phone_number

  • sub

Exceto sub, os atributos padrão são opcionais por padrão para todos os usuários. Para tornar um atributo obrigatório, durante o processo de criação do grupo de usuários, marque a caixa de seleção Required (Obrigatório) ao lado do atributo. O Amazon Cognito atribui um valor de identificador de usuário exclusivo ao atributo sub de cada usuário. Somente os atributos email e phone_number podem ser verificados.

Os atributos padrão têm propriedades predefinidas que você pode visualizar no SchemaAttributes parâmetro de uma resposta da DescribeUserPool API. Você pode definir valores personalizados para essas propriedades de atributos, como restrições de tipo de dados, mutabilidade e comprimento. Para modificar as propriedades do atributo padrão, defina seus valores personalizados no parâmetro CreateUserPool Esquema. O esquema também representa onde você define os atributos necessários. Você não pode modificar propriedades de atributos padrão ao criar grupos de usuários no console do Amazon Cognito.

nota

Quando você marcar um atributo padrão como Required (Obrigatório), o usuário não poderá se inscrever, a menos que forneça um valor para o atributo. Para criar usuários e não fornecer valores para os atributos necessários, os administradores podem usar a AdminCreateUserAPI. Após a criação de um grupo de usuários, não é possível alternar um atributo entre obrigatório e não obrigatório.

Detalhes do atributo padrão e restrições de formato
birthdate

O valor deve ser uma data válida de 10 caracteres no formato YYYY-MM-DD.

email

Os usuários e administradores podem verificar valores de endereço de e-mail.

Um administrador com Conta da AWS as permissões adequadas pode alterar o endereço de e-mail do usuário e também marcá-lo como verificado. Marque um endereço de e-mail como verificado com a AdminUpdateUserAttributesAPI ou o comando admin-update-user-attributes AWS Command Line Interface (AWS CLI). Com esse comando, o administrador pode alterar o atributo email_verified para true. Você também pode editar um usuário no menu Usuários do console do Amazon Cognito para marcar um endereço de e-mail como verificado.

O valor deve ser uma sequência de caracteres de endereço de e-mail válida seguindo o formato de e-mail padrão com símbolo @ e domínio, com até 2048 caracteres.

phone_number

O usuário deverá fornecer um número de telefone se a autenticação multifator (MFA) de SMS estiver ativa. Para obter mais informações, consulte Adicionar MFA a um grupo de usuários.

Os usuários e administradores podem verificar valores de número de telefone.

Um administrador com Conta da AWS as permissões adequadas pode alterar o número de telefone do usuário e também marcá-lo como verificado. Marque um número de telefone como verificado com a AdminUpdateUserAttributesAPI ou o admin-update-user-attributes AWS CLI comando. Com esse comando, o administrador pode alterar o atributo phone_number_verified para true. Você também pode editar um usuário no menu Usuários do console do Amazon Cognito para marcar um número de telefone como verificado.

Importante

Os números de telefone devem seguir estas regras de formatação: devem começar com um sinal de mais (+), seguido imediatamente do código do país. Um número de telefone pode conter apenas o sinal + e os dígitos. Remova quaisquer outros caracteres de um número de telefone, como parênteses, espaços ou traços (-) antes de enviar o valor ao serviço. Por exemplo, um número de telefone dos Estados Unidos deve seguir este formato: +14325551212.

preferred_username

Você pode selecionar preferred_username conforme necessário ou como um alias, mas não ambos. Se preferred_username for um alias, você pode fazer uma solicitação para a operação da UpdateUserAttributesAPI e adicionar o valor do atributo depois de confirmar o usuário.

sub

Indexe e pesquise seus usuários com base no atributo sub. O atributo sub é um identificador de usuário exclusivo em cada grupo de usuários. Os usuários podem alterar atributos como phone_number e email. O atributo sub tem um valor fixo. Para ter mais informações sobre como descobrir usuários, consulte Como gerenciar e pesquisar contas de usuários.

Exibir atributos obrigatórios

Siga o procedimento abaixo a fim de exibir atributos obrigatórios para um determinado grupo de usuários.

nota

Não é possível alterar atributos obrigatórios após a criação de um grupo de usuários.

Para exibir atributos obrigatórios

  1. Acesse o Amazon Cognito no. AWS Management Console Se o console solicitar, insira suas AWS credenciais.

  2. Escolha User Pools (Grupos de usuários).

  3. Escolha um grupo de usuários existente da lista.

  4. Escolha o menu Inscrever-se.

  5. Na seção Required attributes (Atributos obrigatórios), veja os atributos obrigatórios de seu grupo de usuários.

Nome de usuário e nome de usuário preferencial

O valor de username é um atributo separado; não equivale ao atributo name. Cada usuário tem um atributo username. O Amazon Cognito gera automaticamente um nome de usuário para usuários federados. Você deve fornecer um atributo username para criar um usuário local no diretório do Amazon Cognito. Após a criação de um usuário, não é possível alterar o valor do atributo username.

Os desenvolvedores podem usar o atributo preferred_username para atribuir aos usuários nomes de usuário que eles podem alterar. Para obter mais informações, consulte Personalização dos atributos de login.

Se sua aplicação não exigir um nome de usuário, não será necessário solicitar que os usuários o forneçam. O aplicativo pode criar um nome de usuário exclusivo para os usuários no plano de fundo. Isso pode ser útil se você desejar que os usuários se inscrevam e façam login com um endereço de e-mail e senha. Para obter mais informações, consulte Personalização dos atributos de login.

username deve ser exclusivo em um grupo de usuários. username pode ser reutilizado, mas somente depois que você o excluir e ele não estiver mais em uso. Para obter informações sobre as restrições de string aos username atributos, consulte a propriedade username de uma solicitação de SignUpAPI.

Personalização dos atributos de login

Ao criar um grupo de usuários, você pode configurar atributos de nome de usuário caso queira que os usuários possam se inscrever e fazer login com um endereço de e-mail ou um número de telefone como nome de usuário. Como alternativa, você pode configurar atributos de alias para dar aos usuários a seguinte opção: incluir vários atributos ao se inscreverem e, então, fazer login com um nome de usuário, nome de usuário preferencial, endereço de e-mail ou número de telefone.

Importante

Após a criação de um grupo de usuários, não é possível alterar essa configuração.

Como escolher entre atributos de alias e atributos de nome de usuário

Seu requisito Atributos de alias Atributos do nome de usuário
Os usuários têm vários atributos de login Sim¹ Não²
Os usuários devem verificar o endereço de e-mail ou o número de telefone antes de poderem fazer login com ele Sim Não
Inscreva usuários com endereços de e-mail ou números de telefone duplicados e evite erros³ UsernameExistsException Sim Não
Pode atribuir o mesmo valor de atributo de endereço de e-mail ou número de telefone a mais de um usuário Sim⁴ Não

¹ Os atributos de login disponíveis são nome de usuário, endereço de e-mail, número de telefone e nome de usuário de preferência.

² É possível fazer login com o endereço de e-mail ou o número de telefone.

³ O grupo de usuários não gera erros UsernameExistsException quando os usuários se registram com endereços de e-mail ou números de telefone possivelmente duplicados, mas sem nome de usuário. Esse comportamento é independente de Evitar erros de existência de nome de usuário, que se aplica às operações de login, mas não às operações de inscrição.

⁴ Somente o último usuário que verificou o atributo pode fazer login com ele.

Um atributo é um alias quando os usuários têm um nome de usuário, mas também podem fazer login com esse atributo. Configure aliases quando quiser permitir que seus usuários escolham entre seu nome de usuário e outros valores de atributos no campo de nome de usuário do seu formulário de login. O username atributo é um valor fixo que os usuários não podem alterar. Se você marcar um atributo como alias, os usuários poderão fazer login usando esse atributo em vez de o nome de usuário. Você pode marcar os atributos de endereço de e-mail, número de telefone e nome de usuário preferido como aliases. Por exemplo, se você selecionar um endereço de e-mail e número de telefone como aliases para um grupo de usuários, os usuários desse grupo poderão fazer login usando o respectivo nome de usuário, endereço de e-mail ou número de telefone com a senha.

Para escolher atributos de alias, selecione User name (Nome de usuário) e pelo menos uma opção de login adicional ao criar o grupo de usuários.

nota

Ao configurar seu grupo de usuários para indistinção de maiúsculas e minúsculas, o usuário poderá usar letras minúsculas ou maiúsculas para se cadastrar ou fazer login com o alias. Para obter mais informações, consulte a Referência CreateUserPoolda API de grupos de usuários do Amazon Cognito.

Se você selecionar o endereço de e-mail como um alias, o Amazon Cognito não aceitará um nome de usuário que corresponda a um formato de endereço de e-mail válido. Da mesma forma, se você selecionar o número de telefone como alias, o Amazon Cognito não aceitará um nome de usuário para esse grupo de usuários que corresponda a um formato de número de telefone válido.

nota

Os valores de alias devem ser exclusivos em um grupo de usuários. Se configurar um alias para um endereço de e-mail ou número de telefone, o valor que você fornecer poderá apresentar o estado verificado em apenas uma conta. Durante o cadastro, se o usuário fornecer um endereço de e-mail ou número de telefone como um valor de alias e outro usuário já tiver usado esse valor, o registro será bem-sucedido. No entanto, quando um usuário tentar confirmar a conta com esse e-mail (ou número de telefone) e inserir o código válido, o Amazon Cognito retornará um erro AliasExistsException. Esse erro indica ao usuário que já existe uma conta com esse endereço de e-mail (ou número de telefone). Nesse ponto, o usuário pode abandonar a tentativa de criar a nova conta e, em vez disso, tentar redefinir a senha para a conta antiga. Se o usuário continuar criando a nova conta, sua aplicação deverá chamar a API ConfirmSignUp com a opção forceAliasCreation. ConfirmSignUp com forceAliasCreation move o alias da conta anterior para a conta recém-criada e marca o atributo não verificado na conta anterior.

Os números de telefone e os endereços de e-mail só se tornarão aliases ativos para um usuário depois que você os verificar. Recomendamos escolher a verificação automática dos endereços de e-mail e números de telefone se você os usar como aliases.

Escolha atributos de alias para evitar erros UsernameExistsException nos atributos de endereço de e-mail e número de telefone quando os usuários se inscreverem.

Ative o atributo preferred_username para que o usuário possa alterar o nome que ele usa para fazer login enquanto o valor de atributo username não mudar. Se desejar configurar essa experiência de usuário, envie o novo valor de username como preferred_username e escolha preferred_username como alias. Assim, os usuários poderão fazer login com o novo valor que eles inseriram. Se você selecionar preferred_username como alias, o usuário só poderá fornecer o valor quando confirmar uma conta. Ele não poderá fornecer o valor durante o registro.

Quando o usuário se inscreve com um nome de usuário, é possível escolher se ele pode fazer login com um ou mais dos aliases a seguir.

  • Um endereço de e-mail verificado

  • Um número de telefone verificado

  • Nome de usuário preferido

Depois que o usuário se cadastra, ele não pode alterar esses aliases.

Importante

Quando seu grupo de usuários é compatível com login com aliases e você deseja autorizar ou pesquisar um usuário, não identifique seu usuário por nenhum de seus atributos de login. O identificador de usuário de valor fixo sub é o único indicador consistente da identidade do seu usuário.

Inclua as etapas a seguir quando criar o grupo de usuários para que os usuários possam fazer login com um alias.

Phone number or email address (console)

Você deve definir endereço de e-mail e número de telefone como atributos de alias ao criar um grupo de usuários.

Para criar um grupo de usuários com aliases de nome de usuário no console do Amazon Cognito

  1. Acesse o Amazon Cognito no AWS Management Console. Se o console solicitar, insira suas AWS credenciais.

  2. Crie um novo grupo de usuários com o botão Começar ou Criar grupo de usuários.

  3. Escolha as configurações do aplicativo em Definir seu aplicativo.

  4. Em Configurar opções, em Opções para identificadores de login, marque a caixa de seleção ao lado de Nome de usuário e pelo menos uma das outras opções, e-mail e número de telefone.

  5. Escolha seus atributos de alias como atributos obrigatórios para inscrição. No formulário de cadastro de login gerenciado, o Amazon Cognito solicita que novos usuários forneçam valores para os atributos necessários.

  6. Em Adicionar uma URL de retorno, configure uma URL de retorno de chamada do aplicativo para redirecionamento após o login gerenciado.

  7. Escolha Criar.

Phone number or email address (API/SDK)

Crie um novo grupo de usuários com a operação CreateUserPoolda API. Configure o AliasAttributes parâmetro conforme mostrado. Você pode remover a email entrada se quiser apenas aliases de números de telefone ou remover a phone_number entrada se quiser apenas aliases de endereço de e-mail.

"AliasAttributes": [
   "email",
   "phone_number"
],
Preferred username (API/SDK)

O console do Amazon Cognito cria grupos de usuários sem um preferred_username alias. Para criar grupos de usuários com um preferred_username alias, configure grupos de usuários com solicitações de CreateUserPoolAPI em um AWS SDK. Para oferecer suporte à criação de atributos de nome de usuário preferenciais na inscrição, defina preferred_username como um atributo obrigatório. No formulário de cadastro de login gerenciado, o Amazon Cognito solicita que novos usuários forneçam valores para os atributos necessários. Você pode definir preferred_username como um atributo obrigatório no console do Amazon Cognito, mas isso não o torna disponível como um alias.

Configurar como um alias

Configure preferred_username como um alias no AliasAttributes parâmetro de uma CreateUserPool solicitação, conforme mostrado. Remova todos os valores que você não deseja como atributos de alias da lista.

"AliasAttributes": [
   "email",
   "phone_number",
   "preferred_username"
],
Configure conforme necessário

No formulário de cadastro de login gerenciado, o Amazon Cognito solicita que novos usuários forneçam valores para os atributos necessários. Configure preferred_username conforme necessário no SchemaAttributes parâmetro de uma CreateUserPoolsolicitação.

Para definir o nome de usuário preferencial como um atributo obrigatório, configure-o conforme mostrado. O exemplo a seguir modifica o esquema padrão de preferred_username para defini-lo conforme necessário. Outros parâmetros do esquema, como AttributeDataType (o padrão éstring) e StringAttributeConstraints (o padrão é de 1 a 99 caracteres de comprimento), assumem valores padrão.

"Schema": [
   {
      "Name": "preferred_username",
      "Required": true
   }
]

Quando o usuário se inscreve com um endereço de e-mail ou número de telefone como o respectivo nome de usuário, é possível escolher se ele pode se inscrever apenas com endereços de e-mail, apenas números de telefone ou qualquer um dos dois.

Para escolher atributos de nome de usuário, não selecione Nome de usuário como opção de login ao criar seu grupo de usuários.

O endereço de e-mail ou o número de telefone deve ser exclusivo e não deve estar em uso por outro usuário. Ele não precisa ser verificado. Depois que o usuário se cadastra com um endereço de e-mail ou número de telefone, ele não pode criar uma nova conta com o mesmo endereço de e-mail ou número de telefone. O usuário só poderá reutilizar a conta existente e redefinir a respectiva senha, se necessário. No entanto, ele pode alterar o endereço de e-mail ou o número de telefone para um novo endereço de e-mail ou número de telefone. Se o endereço de e-mail ou o número de telefone ainda não estiver em uso, ele se tornará o novo nome de usuário.

Quando você seleciona endereço de e-mail e número de telefone como atributos de nome de usuário, os usuários podem entrar com um ou outro, mesmo que forneçam valores para ambos os atributos. O nome de usuário de login é baseado no valor que você passa no Username parâmetro de. SignUp

nota

Se um usuário se inscrever com um endereço de e-mail como nome de usuário, ele poderá alterar o nome de usuário para outro endereço de e-mail, mas não poderá alterá-lo para um número de telefone. Se os usuários se inscreverem com um número de telefone, eles poderão alterar o nome de usuário para outro número de telefone, mas não poderão alterá-lo para um endereço de e-mail.

Siga as etapas abaixo durante o processo de criação do grupo de usuários para configurar o cadastro e o login com um endereço de e-mail ou número de telefone.

Username attributes (console)

O procedimento a seguir cria um grupo de usuários com atributos de nome de usuário de endereço de e-mail ou número de telefone. A diferença no processo de atributos de nome de usuário no console do Amazon Cognito é que você também não define o nome de usuário como um atributo de login.

Para criar um grupo de usuários com atributos de nome de usuário no console do Amazon Cognito

  1. Acesse o Amazon Cognito no AWS Management Console. Se o console solicitar, insira suas AWS credenciais.

  2. Crie um novo grupo de usuários com o botão Começar ou Criar grupo de usuários.

  3. Escolha as configurações do aplicativo em Definir seu aplicativo.

  4. Em Configurar opções, em Opções para identificadores de login, selecione seus atributos de nome de usuário: e-mail, número de telefone ou ambos. Deixe o nome de usuário desmarcado.

  5. Como prática recomendada, selecione os atributos do seu nome de usuário como atributos obrigatórios para se inscrever. No formulário de cadastro de login gerenciado, o Amazon Cognito solicita que novos usuários forneçam valores para os atributos necessários. Se você não definir os atributos do seu nome de usuário conforme necessário, o Amazon Cognito não solicitará que novos usuários forneçam valores para eles. Nesse cenário, você deve configurar seu aplicativo para coletar e enviar endereços de e-mail ou números de telefone de cada usuário antes que ele possa entrar.

  6. Em Adicionar uma URL de retorno, configure uma URL de retorno de chamada do aplicativo para redirecionamento após o login gerenciado.

  7. Escolha Criar.

Username attributes (API/SDK)

Em uma CreateUserPoolsolicitação, configure o UsernameAttributes parâmetro conforme mostrado. Para permitir o login somente com nomes de usuário de endereço de e-mail, especifique somente nesta lista. email Para permitir o login somente com nomes de usuário de números de telefone, especifique sozinho. phone_number Esse parâmetro substitui o nome de usuário como uma opção de login.

"UsernameAttributes": [ 
   "email",
   "phone_number"
],

Ao configurar atributos de nome de usuário, você pode fazer solicitações de SignUpAPI que transmitem um endereço de e-mail ou número de telefone no username parâmetro. Veja a seguir o comportamento da operação da SignUp API de código com atributos de nome de usuário.

  • Se a username string estiver em um formato de endereço de e-mail válido, por exemplouser@example.com, o grupo de usuários preencherá automaticamente o email atributo do usuário com o username valor.

  • Se a username string estiver em formato de número de telefone válido, por exemplo+12065551212, o grupo de usuários preencherá automaticamente o phone_number atributo do usuário com o username valor.

  • Se a string username não estiver no formato de endereço de e-mail ou número de telefone, a API SignUp retornará uma exceção.

  • Se a string username contiver um endereço de e-mail ou número de telefone já em uso, a API SignUp retornará uma exceção.

  • A SignUp API preenche o username atributo com um UUID para seu usuário. Este UUID possui o mesmo valor reivindicado pelo sub no token de identidade do usuário.

Você pode usar um endereço de e-mail ou número de telefone no lugar do nome de usuário em tudo APIs, exceto na ListUsersoperação. Nas solicitações de ListUsers API, você pode especificar um Filter de email ouphone_number. Se você filtrar porusername, deverá fornecer o nome de usuário do UUID, não o endereço de e-mail ou número de telefone.

Atributos personalizados

Você pode adicionar até 50 atributos personalizados ao grupo de usuários. Você pode especificar um comprimento mínimo e/ou máximo para os atributos personalizados. No entanto, o comprimento máximo para qualquer atributo personalizado não pode ultrapassar 2.048 caracteres. O nome de um atributo personalizado deve corresponder ao padrão de expressão regular descrito no Name parâmetro de SchemaAttributeType.

Todo atributo personalizado tem as seguintes características:

  • Você pode defini-lo como uma string ou um número. O Amazon Cognito grava valores de atributo personalizados no token de ID somente como strings.

  • Não é possível exigir que os usuários forneçam um valor para o atributo.

  • Você não poderá removê-lo ou alterá-lo depois de adicioná-lo ao grupo de usuários.

  • A extensão de caracteres do nome do atributo está dentro do limite que o Amazon Cognito aceita. Para obter mais informações, consulte Cotas no Amazon Cognito.

  • Ele pode ser mutável ou imutável. É possível gravar um valor em um atributo imutável ao criar um usuário. Você pode alterar o valor de um atributo mutável se o cliente de aplicação tiver permissão de gravação para o atributo. Consulte Permissões e escopos do atributo para obter mais informações.

nota

No código e nas configurações de regra de Controle de acesso com base em perfil, os atributos personalizados requerem o prefixo custom: para que sejam diferenciados dos atributos padrão.

Você também pode adicionar atributos de desenvolvedor ao criar grupos de usuários, na SchemaAttributes propriedade de CreateUserPool. Os atributos de desenvolvedor têm um prefixo dev:. Você só pode modificar os atributos de desenvolvedor de um usuário com AWS credenciais. Os atributos de desenvolvedor são um recurso herdado que o Amazon Cognito substituiu pelas permissões de leitura e gravação do cliente da aplicação.

Siga o procedimento abaixo para criar um novo atributo personalizado.

Para adicionar um atributo personalizado usando o console

  1. Acesse o Amazon Cognito no. AWS Management Console Se o console solicitar, insira suas AWS credenciais.

  2. Escolha User Pools (Grupos de usuários).

  3. Escolha um grupo de usuários existente da lista.

  4. Escolha o menu Inscrever-se e, na seção Atributos personalizados, escolha Adicionar atributos personalizados.

  5. Na página Add custom attributes (Adicionar atributos personalizados), forneça os seguintes detalhes sobre o novo atributo:

    • Insira um Name (Nome).

    • Selecione um Type (Tipo), que pode ser String ou Number (Número).

    • Insira um tamanho de string Min. (Mínimo) ou um valor numérico.

    • Insira um tamanho de string Max. (Máximo) ou um valor numérico.

    • Selecione Mutable (Mutável) se quiser conceder permissão aos usuários para alterar o valor de um atributo personalizado depois que eles definirem o valor inicial.

  6. Escolha Salvar alterações.

Permissões e escopos do atributo

Para cada aplicação cliente, é possível configurar permissões de leitura e gravação para cada atributo de usuário. Dessa forma, você pode controlar o acesso de leitura que qualquer aplicação tiver e modificar cada atributo armazenado para seus usuários. Por exemplo, você pode ter um atributo personalizado que indique se um usuário é ou não um cliente pagante. Suas aplicações podem ver esse atributo, mas não o alterar diretamente. Em vez disso, você atualizará o atributo usando uma ferramenta administrativa ou um processo em segundo plano. Você pode definir permissões para atributos de usuário no console do Amazon Cognito, na API do Amazon Cognito ou na AWS CLI. Por padrão, todos os novos atributos personalizados só estarão disponíveis depois que você definir permissões de leitura e gravação para eles. Por padrão, quando você cria um cliente de aplicação, concede à aplicação permissões de leitura e gravação para todos os atributos padrão e personalizados. Para limitar a aplicação somente à quantidade de informações necessárias, atribua permissões específicas aos atributos na configuração do cliente da aplicação.

Como prática recomendada, especifique as permissões de leitura e gravação dos atributos ao criar um cliente de aplicação. Conceda ao cliente de aplicação acesso ao conjunto mínimo de atributos de usuário necessários para a operação da aplicação.

nota

DescribeUserPoolClientretorna somente valores para ReadAttributes e WriteAttributes quando você configura permissões do cliente do aplicativo que não sejam as padrão.

Como atualizar as permissões de atributo (AWS Management Console)

  1. Acesse o Amazon Cognito no. AWS Management Console Se o console solicitar, insira suas AWS credenciais.

  2. Escolha User Pools (Grupos de usuários).

  3. Escolha um grupo de usuários existente da lista.

  4. Escolha o menu Clientes de aplicativos e escolha um cliente de aplicativo na lista.

  5. Na guia Permissões de atributos, escolha Editar.

  6. Na página Edit attribute read and write permissions (Editar permissões de leitura e gravação de atributos), configure suas permissões de leitura e gravação e, em seguida, escolha Save changes (Salvar alterações).

Repita essas etapas para cada cliente de aplicativo usando o atributo personalizado.

Para cada cliente de aplicação, é possível marcar atributos como legíveis ou graváveis. Isso se aplica aos atributos padrão e aos atributos personalizados. A aplicação pode recuperar o valor dos atributos que você marca como legíveis, bem como definir ou modificar o valor dos atributos marcados como graváveis. Se seu aplicativo tentar definir um valor para um atributo que não está autorizado a escrever, o Amazon Cognito retornará. NotAuthorizedException GetUseras solicitações incluem um token de acesso com uma reivindicação do cliente do aplicativo; o Amazon Cognito retorna somente valores para atributos que o cliente do aplicativo pode ler. O token de ID do usuário de uma aplicação contém apenas declarações que correspondem aos atributos legíveis. Todos os clientes da aplicação podem gravar os atributos necessários do grupo de usuários. Você só pode definir o valor de um atributo em uma solicitação de API de grupos de usuários do Amazon Cognito quando também fornece um valor para quaisquer atributos obrigatórios que ainda não tenham um valor.

Os atributos personalizados têm recursos distintos para permissões de leitura e gravação. É possível criá-los como mutáveis ou imutáveis para o grupo de usuários e defini-los como atributos de leitura ou gravação para qualquer cliente da aplicação.

Um atributo personalizado imutável pode ser atualizado uma vez durante a criação do usuário. É possível preencher um atributo imutável com os métodos a seguir.

  • SignUp: um usuário se inscreve em um cliente da aplicação que tenha acesso de gravação a um atributo personalizado imutável. Ele fornece um valor para esse atributo.

  • Fazer login com um IdP de terceiros: um usuário faz login em um cliente da aplicação que tem acesso de gravação a um atributo personalizado imutável. A configuração do grupo de usuários para o IdP tem uma regra para associar uma declaração fornecida a um atributo imutável. Isso é possível, mas não prático, porque o usuário só poderá fazer login uma vez. O Amazon Cognito rejeita todas as tentativas de login após a primeira, pois existe uma regra de mapeamento para um atributo now-unwriteable.

  • AdminCreateUser: você fornece um valor para um atributo imutável.

Permissões de atributos com escopos

Nos grupos de usuários que você configura com um AWS SDK ou CDK, a API REST ou o AWS CLI, você pode configurar o acesso de leitura ou gravação do cliente do aplicativo com o escopo do OIDC. oidc:profile O oidc:profile concede acesso de leitura ou gravação aos seguintes atributos padrão:

  • name

  • family_name

  • given_name

  • middle_name

  • nickname

  • preferred_username

  • profile

  • picture

  • website

  • gender

  • birthdate

  • zoneinfo

  • locale

Essa lista contém os atributos padrão do OIDC menos email, phone_number, sub e address, conforme definido na seção 2.4 da especificação do OIDC. Para receber informações sobre os escopos que você pode atribuir aos clientes da aplicação, consulte Escopos, M2M e APIs com servidores de recursos.

Para configurar seu cliente de aplicativo para gravar nos atributos sob o oidc:profile escopo, defina o valor de WriteAttributestooidc:profile, além de quaisquer outros atributos que você queira permitir que seu aplicativo modifique, em uma CreateUserPoolClientsolicitação de UpdateUserPoolClientAPI. Da mesma forma, para conceder acesso de leitura a esses atributos, adicione oidc:profile ao valor de ReadAttributes.

Você pode alterar os escopos e as permissões de atributo após ter criado o grupo de usuários.