Funzionalità di Amazon Cognito

Cos'è Amazon Cognito?

Amazon Cognito è un servizio di gestione dell'identità e dell'accesso dei clienti (CIAM) incentrato sugli sviluppatori e conveniente. Fornisce un archivio di identità sicuro e opzioni di federazione che possono essere dimensionate a milioni di utenti. Amazon Cognito supporta l'accesso con provider di identità social e provider di identità basati su SAML o OIDC per esperienze clienti piacevoli e offre funzionalità di sicurezza avanzate per proteggere i tuoi clienti e il tuo business. Supporta vari standard di conformità, opera su standard di identità aperti (OAuth2.0, SAML 2.0 e OpenID Connect) e si integra con un ecosistema esteso di risorse di sviluppo front-end e back-end e librerie SDK.

Autenticazione dell'utente

Amazon Cognito fornisce un'interfaccia utente integrata e personalizzabile per consentire la registrazione e l'accesso degli utenti. Per aggiungere pagine con queste funzionalità alle app, è possibile utilizzare i kit SDK Android, iOS e JavaScript per Amazon Cognito.

Puoi aggiungere un ulteriore livello di sicurezza per i tuoi clienti abilitando l'MFA in un pool di utenti di Amazon Cognito. Gli utenti possono verificare la propria identità tramite SMS o tramite un generatore di password monouso con protocollo TOTP (Time-based One-Time Password), ad esempio Google Authenticator. Amazon Cognito supporta inoltre la configurazione di regole di password diverse per pool di utenti diversi.

Come hub di federazione, Amazon Cognito consente agli utenti di accedere tramite provider di identità social quali Apple, Facebook, Google e Amazon e provider di identità aziendali tramite SAML e OIDC. Amazon Cognito è un provider di identità basati sugli standard. Una volta che gli utenti hanno effettuato l'accesso ad Amazon Cognito (tramite autenticazione locale o federazione esterna), possono utilizzare OAuth/OIDC per accedere alle risorse federate.

I pool di utenti di Amazon Cognito consentono di creare un flusso di autenticazione personalizzato che utilizza le funzioni Lambda per autenticare gli utenti in base a uno o più cicli di problema-risposta. Puoi utilizzare questo flusso per implementare l'autenticazione senza password basata su sfide personalizzate o utilizzare sfide personalizzate come fattori aggiuntivi.

Usa i trigger Lambda per personalizzare il comportamento di Cognito, comprese le fasi del ciclo di vita degli utenti, ad esempio prima e dopo l'autenticazione e la registrazione o prima dell'emissione del token. Puoi anche utilizzare i trigger Lambda per personalizzare i messaggi inviati agli utenti in diverse fasi o per integrarli con provider di posta elettronica e SMS di terze parti.

Gestione di identità

La prima esperienza di un cliente con il tuo sito avviene spesso attraverso il processo di auto-registrazione. Amazon Cognito fornisce sia un'interfaccia utente personalizzabile, preconfezionata e ospitata per raggiungere rapidamente il mercato, sia un solido set di API per creare una soluzione di auto registrazione completamente personalizzata. Gli utenti possono registrarsi utilizzando un'e-mail, un numero di telefono o un nome utente per l'applicazione. Il processo di auto registrazione consente agli utenti di visualizzare e aggiornare i dati del proprio profilo, inclusi gli attributi personalizzati. Riduci le chiamate all'help desk con le opzioni self-service, come la reimpostazione della password con un messaggio SMS o e-mail.

Amazon Cognito fornisce un archivio di identità (pool di utenti) sicuro in grado di dimensionare le risorse per milioni di utenti. I pool di utenti archiviano in modo sicuro i dati dei profili utente sia per gli utenti che si registrano direttamente che per gli utenti federati che accedono tramite provider identità esterni.
L’archivio di identità di Amazon Cognito p un repository utente basato su API. Il repository e le API supporta l'archiviazione di un massimo di 50 attributi personalizzati per utente, supporta diversi tipi di dati e applica vincoli di lunghezza e mutabilità. Seleziona gli attributi che l'utente deve necessariamente fornire prima del completamento del processo di registrazione.

Gli utenti possono migrare a Amazon Cognito sia tramite un’importazione in batch che con una migrazione just-in-time (JIT). La migrazione in batch degli utenti sfrutta un processo di importazione di file CSV. Con il processo di migrazione JIT, un trigger AWS Lambda integra il processo di migrazione nel flusso di lavoro di accesso e può mantenere le password degli utenti.

Amazon Cognito rende possibili le interazioni B2B con supporto multi-tenant. Puoi scegliere di riutilizzare le integrazioni delle applicazioni e le policy relative ad accesso e password oppure applicare il completo isolamento dei tenant.

Controllo degli accessi

Amazon Cognito protegge la parte finale dell’integrazione con un'applicazione. Gli Amazon Application Load Balancer (ALB) e i gateway Amazon API dispongono di punti di applicazione delle policy integrati che forniscono l'accesso in base ai token e agli ambiti di Amazon Cognito.

Il broker di credenziali per Amazon Cognito, noto anche come pool di identità Amazon Cognito, fornisce l'accesso Single Sign-On a risorse AWS come Amazon DynamoDB, bucket Amazon S3, componenti serverless Lambda e altri servizi Amazon. Gli utenti possono essere mappati dinamicamente a ruoli diversi per supportare l'accesso con privilegio minimo a un servizio.

Utilizzando il flusso di credenziali client OAuth, Amazon Cognito fornisce l'autenticazione da macchina a macchina che garantisce un'esperienza sicura tra i componenti delle applicazioni.

Arricchisci i token di accesso con attributi personalizzati sotto forma di ambiti e attestazioni OAuth 2.0. È possibile prendere decisioni di autorizzazione avanzate specifiche per l'applicazione utilizzando attributi personalizzati nel token di accesso. Inoltre, questa funzionalità consente di personalizzare le esperienze degli utenti finali e migliorare il coinvolgimento dei clienti. 

Esperienza del cliente

Utilizza un approccio basato sui dati per favorire l'acquisizione e la fidelizzazione dei clienti. Lancia campagne di sensibilizzazione dei clienti e monitorane il coinvolgimento con Amazon Pinpoint. Amazon Pinpoint fornisce analisi per le attività degli utenti basate su Amazon Cognito e Amazon Cognito arricchisce i dati degli utenti per le campagne Pinpoint.

AWS Amplify consiste in un set di strumenti e funzionalità appositamente progettati per consentire agli sviluppatori front-end di applicazioni Web e per dispositivi mobili di costruire rapidamente e facilmente applicazioni full-stack in AWS, con la flessibilità data dal poter usufruire dei vari servizi AWS man mano che i casi d'uso si evolvono. Con Amplify, puoi configurare un back-end per app Web o per dispositivi mobili con Amazon Cognito, connettere la tua app in pochi minuti, costruire visivamente un'interfaccia utente front-end Web e gestire facilmente i contenuti dell'app al di fuori della console AWS. Distribuisci più velocemente e dimensiona facilmente, senza dover disporre di competenze cloud.

Le soluzioni CIAM sono soluzioni personalizzate. Amazon Cognito fornisce un solido set di hook ed estensioni per personalizzare completamente i flussi di autenticazione, registrazione e migrazione degli utenti. Ad esempio, il flusso di auto registrazione può essere ampliato con controlli di verifica dell'identità e dell'account personalizzati e il processo di accesso può essere esteso per creare flussi di autenticazione personalizzati o per modificare un token prima che venga generato.

L’SDK Amazon Cognito è disponibile tramite Java, C++, PHP, Python, Golang, Ruby, .NET e JavaScript.

Sicurezza avanzata

In collaborazione con Amazon Web Application Firewall (AWS WAF), Amazon Cognito offre funzionalità avanzate di rilevamento dei bot che possono evitare che la tua organizzazione paghi per gli account automatizzati.

Amazon Cognito può rilevare e impedire in tempo reale il riutilizzo di credenziali compromesse quando gli utenti si registrano, accedono o cambiano la password. Quando Amazon Cognito rileva che un utente hanno immesso credenziali compromesse, richiede automaticamente la modifica della password.

Proteggi gli account dei tuoi utenti e migliora la loro esperienza di accesso con l'autenticazione adattiva. Quando Amazon Cognito rileva un'attività di accesso insolita, ad esempio tentativi da nuove posizioni geografiche o nuovi dispositivi, assegna un punteggio di rischio all'attività e consente di scegliere se richiedere agli utenti un'ulteriore verifica o bloccare la richiesta di accesso.

Verifica e conformità

Amazon Cognito soddisfa molteplici requisiti di sicurezza e conformità, compresi quelli per le organizzazioni altamente regolamentate, come le aziende sanitarie e i commercianti. Amazon Cognito è idoneo per PCI DSS, SOC e ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 e ISO 9001.

Amazon Cognito supporta il monitoraggio con AWS CloudTrail, Amazon CloudWatch Metrics e Logs Insights di Amazon CloudWatch. Con CloudTrail puoi acquisire chiamate API dalla console Amazon Cognito e da chiamate di codice alle operazioni dell'API Amazon Cognito. Con i parametri di CloudWatch puoi monitorare, segnalare e intraprendere azioni automatiche in caso di evento quasi in tempo reale. Con Cloudwatch Logs Insights, puoi configurare CloudTrail in modo da inviare eventi a CloudWatch per il monitoraggio dei file di log di Amazon Cognito CloudTrail.