Atributos do Amazon Cognito

O que é o Amazon Cognito?

O Amazon Cognito permite que você adicione cadastro, login, controle de acesso e acesso intermediado aos serviços da AWS às suas aplicações Web e móveis em minutos. Ele é um serviço econômico e centrado no desenvolvedor, fornecendo repositórios de identidade seguros e baseados em locatários e opções de federação que podem ser escaladas para milhões de usuários. O Amazon Cognito permite a criação de experiências de marca para o cliente, a melhoria da segurança e a adaptação às necessidades dos clientes. Por exemplo, ele é compatível com o login com provedores de identidade social e login sem senha usando chaves de acesso WebAuthn ou senhas de uso único por SMS e e-mail. O Amazon Cognito é compatível com vários padrões de conformidade, opera em padrões de identidade abertos e se integra a um extenso catálogo de recursos de desenvolvimento e bibliotecas de SDK.

Page Topics

Autenticação de usuários Gerenciamento de identidades Controle de acesso Experiência do cliente Segurança avançada Auditoria e compatibilidade

Autenticação de usuários

Os desenvolvedores podem usar um editor visual sem código para ajustar a exibição das telas do usuário final (como cadastro, login e MFA). Os parâmetros de configuração incluem cores, posicionamento, alinhamento, texto, idioma, planos de fundo, imagens, logotipos, fontes e layout, entre outros. Com essas opções de configuração, o estilo de uma marca de consumo pode ser perfeitamente compatível e as experiências do usuário fornecidas pelo Cognito podem ser mais consistentes e coesas com o restante da aplicação.

Os clientes podem configurar o Amazon Cognito para permitir que os usuários finais acessem aplicações sem precisar se lembrar de uma senha, reduzindo o atrito, melhorando a segurança e aumentando a conversão de usuários. Os fluxos de autenticação sem senha compatíveis incluem login com e-mail, login com telefone/SMS e login com chaves de acesso. Essa flexibilidade aprimora a experiência do usuário e simplifica o processo de login.

As chaves de acesso do WebAuthn fornecem segurança aprimorada ao eliminar a necessidade de senhas, reduzindo o risco de phishing e roubo de credenciais. Eles oferecem uma experiência de usuário perfeita com métodos de autenticação mais rápidos e convenientes, como biometria ou tokens de hardware. Além disso, as chaves de acesso melhoram a segurança geral da conta ao aproveitar a criptografia de chave pública, garantindo que informações confidenciais nunca sejam transmitidas ou armazenadas em servidores. O Amazon Cognito é compatível com [Login gerenciado] e API para criar e armazenar até 20 chaves de acesso por conta.

É possível adicionar uma camada adicional de segurança para os seus clientes ao habilitar a MFA para contas de usuário. Os usuários podem verificar as identidades usando e-mail, SMS ou um gerador de senha de uso único com marcação temporal (TOTP), como o Google Authenticator. O Amazon Cognito também oferece suporte à configuração de diferentes regras para senhas em grupos de usuários distintos.

Como um hub de federação, o Amazon Cognito permite que os usuários façam login por meio de provedores de identidade social, como Apple, Facebook, Google e Amazon, e provedores de identidade corporativa via SAML e OIDC. O Amazon Cognito é compatível com uma variedade de perfis SAML, incluindo fluxos iniciados por SAML SP, fluxos iniciados por IdP e criptografia SAML). Depois que seus usuários fizerem login no Amazon Cognito (por meio de autenticação local ou federação externa), eles poderão usar o OAuth/OIDC para acessar recursos federados.

O Amazon Cognito permite que você crie fluxos de autenticação personalizados que usam funções do AWS Lambda para autenticar usuários com base em um ou mais ciclos de desafio/resposta. É possível usar esse fluxo para implementar esquemas de autenticação sob medida baseados em desafios personalizados ou usar desafios personalizados como fatores adicionais.

Use acionadores do AWS Lambda para personalizar o comportamento do Cognito, incluindo os estágios do ciclo de vida do usuário, como o antes e o depois da autenticação e da conexão ou o antes da emissão do token. Também é possível usar acionadores do Lambda para personalizar mensagens que são enviadas aos usuários em diferentes estágios ou para realizar a integração com provedores de e-mail e de SMS de terceiros.

Gerenciamento de identidades

Geralmente, a primeira experiência de um cliente com seu site ocorre por meio do processo de autorregistro. O Amazon Cognito oferece uma interface de login personalizada, pré-empacotada e hospedada para chegar rapidamente ao mercado e um conjunto robusto de APIs para criar uma solução de autoinscrição totalmente personalizada. Os usuários podem se cadastrar usando um e-mail, número de telefone ou nome de usuário para a sua aplicação. O processo de autorregistro possibilita que os usuários visualizem e atualizem os dados do perfil, incluindo os atributos personalizados. Reduza as chamadas de suporte técnico com opções de autoatendimento, como redefinição de senha por mensagem SMS ou e-mail.

O Amazon Cognito fornece armazenamentos de identidade (grupos de usuários) seguros e baseados em locatários que se expandem para milhões de usuários. Os grupos de usuários armazenam com segurança dados de perfil de usuários que se inscrevem diretamente e para os federados que se conectam com provedores de identidade externos.

O armazenamento de identidade do Amazon Cognito é um repositório de usuário baseado em API. O repositório e as APIs comportam o armazenamento de até 50 atributos personalizados por usuário, suporte para diferentes tipos de dados e impõem restrições de comprimento e mutabilidade. Selecione os atributos necessários que devem ser fornecidos pelo usuário antes da conclusão do cadastro.

Os usuários podem migrar para o Amazon Cognito usando uma importação em lote ou migração just-in-time (JIT). A migração de usuários em lote utiliza um processo de importação de arquivos CSV. Ao usar o processo de migração JIT, um acionador do AWS Lambda integra este processo ao fluxo de trabalho de login e pode reter as senhas dos usuários.

O Amazon Cognito permite interações entre empresas (B2B) com suporte multilocatário. É possível optar por reutilizar integrações de aplicações, políticas de acesso e senhas ou impor o isolamento completo de locatários.

Controle de acesso

O Amazon Cognito garante a última milha de integração com uma aplicação. O AWS AppSync, os Amazon Application Load Balancers (ALBs) e os Amazon API Gateways têm pontos de aplicação de políticas integrados que fornecem acesso com base em tokens e escopos do Amazon Cognito.

Usando o início rápido do Amazon Verified Permissions, os clientes podem gerar automaticamente políticas de permissões, atribuir controle de acesso baseado em perfis com base nas associações ao grupo Cognito e impor uma autorização refinada. O Amazon Verified Permissions tem um autorizador de token integrado que é compatível com o ID do Amazon Cognito e com os tokens de acesso, incluindo construções complexas de token-in-a-token.

O agente de credenciais para o Amazon Cognito, também conhecido como bancos de identidades do Amazon Cognito, fornece acesso de autenticação única a recursos da AWS, como o Amazon DynamoDB, os buckets do Amazon S3, os componentes com tecnologia sem servidor do AWS Lambda e os outros serviços da Amazon. Os usuários podem ser mapeados dinamicamente para diferentes funções para oferecer suporte ao acesso com privilégios mínimos a um serviço.

Usando o fluxo de credenciais do cliente OAuth, o Amazon Cognito fornece autenticação entre máquinas, garantindo uma experiência segura entre os componentes da aplicação.

Enriqueça tokens de ID e acesso com atributos personalizados na forma de escopos e solicitações do OAuth 2.0. Você pode tomar decisões de autorização avançada específicas da aplicação usando atributos personalizados no token de acesso. Esse atributo também permite personalizar as experiências do usuário final e melhorar o engajamento do cliente.

Experiência do cliente

Use uma abordagem orientada por dados para impulsionar a aquisição e a retenção de clientes. Inicie campanhas de atendimento ao cliente e acompanhe o envolvimento com o Amazon Pinpoint. O Amazon Pinpoint fornece análises para atividades do usuário baseadas no Amazon Cognito e o Amazon Cognito enriquece os dados do usuário para campanhas do Pinpoint.

O AWS Amplify é um conjunto de ferramentas e atributos específicos que permite que desenvolvedores de front-end para plataformas Web e móveis criem aplicações de pilha completa na AWS com rapidez e facilidade, contando com a flexibilidade para aproveitar a amplitude dos serviços da AWS à medida que os casos de uso evoluem. Com o Amplify, você pode configurar o backend de uma aplicação Web ou móvel com o Amazon Cognito e conectá-la em minutos, criar visualmente o frontend de uma IU para a Web e gerenciar facilmente o conteúdo da aplicação fora do Console da AWS. Envie rapidamente e escale sem esforço: sem necessidade de especialização em nuvem.

As soluções CIAM são soluções personalizadas. O Amazon Cognito oferece um conjunto robusto de ganchos e extensões para personalizar totalmente os fluxos de autenticação, registro e migração de usuários. Por exemplo, o fluxo de autoinscrição pode ser aumentado com prova de identidade personalizada e verificações para confirmação de contas e o processo de login pode ser estendido para criar fluxos de autenticação personalizados ou modificar um token antes de ser gerado.

O Amazon Cognito SDK está disponível usando Java, C++, PHP, Python, Golang, Ruby, .NET e JavaScript.

Segurança avançada

Com uma integração nativa com o AWS Web Application Firewall (AWS WAF), o Amazon Cognito oferece atributos avançados de detecção de bots que podem ajudar a evitar que sua organização pague por contas automatizadas, reduzindo o impacto de ataques por bots.

O Amazon Cognito pode detectar e impedir, em tempo real, a reutilização de credenciais comprometidas à medida que os usuários se cadastram, fazem login ou alteram suas senhas. Além disso, quando o Amazon Cognito detecta que os usuários inseriram credenciais comprometidas em outro lugar, solicita que os usuários alterem sua senha.

Proteja as contas dos usuários e aprimore a experiência de login com a autenticação adaptável. Quando o Amazon Cognito detecta uma atividade incomum de login, como tentativas a partir de novos locais e dispositivos, ou condições de viagem impossíveis com base na geolocalização por IP, ele atribui uma pontuação de risco à atividade e permite que você opte por solicitar aos usuários uma verificação adicional ou bloquear a solicitação de login.

Auditoria e compatibilidade

O Amazon Cognito oferece suporte ao monitoramento com o AWS CloudTrail, o Amazon CloudWatch Metrics e o Amazon CloudWatch Logs Insights. Com o CloudTrail, você pode capturar chamadas de API do console do Amazon Cognito e de chamadas de código para as operações de API do Amazon Cognito. Com as métricas do CloudWatch, você pode monitorar, relatar e realizar ações automáticas no caso de um evento quase em tempo real. Com o CloudWatch Logs Insights, você pode configurar o CloudTrail para enviar eventos ao CloudWatch para monitorar os arquivos de log do Amazon Cognito CloudTrail.

O Amazon Cognito oferece recursos de log avançados para eventos de usuários, como login, cadastro e alterações de senha, capturando dados detalhados de solicitações, como nível de risco, localização, IP de origem e agente do usuário. Os clientes podem transmitir esses dados de log de eventos para o Amazon CloudWatch, Amazon S3 ou soluções de agregação de logs de terceiros por meio do Amazon Kinesis Data Firehose. Isso permite monitoramento e análise abrangentes da atividade do usuário.

O Amazon Cognito alinha-se a vários requisitos de segurança e conformidade, inclusive em organizações altamente regulamentadas como empresas e vendedores da área de saúde. O Amazon Cognito está qualificado pela HIPAA e é compatível com as certificações PCI DSS, SOC, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 e ISO 9001.