Amazon Cognito – Funktionen

Was ist Amazon Cognito?

Mit Amazon Cognito können Sie innerhalb weniger Minuten Benutzerregistrierung, Anmeldung, Zugriffskontrolle und vermittelten AWS-Servicezugriff zu Ihren Web- und Mobilanwendungen hinzufügen. Es handelt sich um einen entwicklerorientierten, kostengünstigen Dienst, der sichere, mandantenbasierte Identitätsspeicher und Verbundoptionen bietet, die auf Millionen von Benutzern skaliert werden können. Amazon Cognito hilft Ihnen dabei, markenspezifische Kundenerlebnisse zu schaffen, die Sicherheit zu verbessern und sich an die Bedürfnisse Ihrer Kunden anzupassen. Es unterstützt beispielsweise die Anmeldung bei Anbietern sozialer Identitäten und die passwortlose Anmeldung mit WebAuthn-Passwörtern oder SMS- und E-Mail-Einmalpasswörtern. Amazon Cognito unterstützt verschiedene Compliance-Standards, arbeitet mit offenen Identitätsstandards und lässt sich in einen umfangreichen Katalog von Entwicklungsressourcen und SDK-Bibliotheken integrieren.

Page Topics

Benutzerauthentifizierung Identitätsmanagement Zugriffskontrolle Kundenerlebnis Erweiterte Sicherheit Prüfung und Compliance

Benutzerauthentifizierung

Entwickler können einen visuellen Editor ohne Code verwenden, um das Aussehen der Endbenutzerbildschirme (wie Registrierung, Anmeldung und MFA) anzupassen. Zu den Konfigurationsparametern gehören unter anderem Farben, Positionierung, Ausrichtung, Text, Sprache, Hintergründe, Bilder, Logos, Schriftarten und Layout. Mit diesen Konfigurationsoptionen kann das Design einer Verbrauchermarke eng an das Design einer Verbrauchermarke angepasst werden, und das von Cognito bereitgestellte Benutzererlebnis kann konsistenter und kohärenter mit dem Rest der Anwendung sein.

Kunden können Amazon Cognito so konfigurieren, dass Endbenutzer auf Anwendungen zugreifen können, ohne sich ein Passwort merken zu müssen. Das reduziert Reibungsverluste, verbessert die Sicherheit und erhöht die Nutzerkonversion. Zu den unterstützten passwortlosen Authentifizierungsabläufen gehören die Anmeldung per E-Mail, die Anmeldung mit Telefon/SMS und die Anmeldung mit Hauptschlüsseln. Diese Flexibilität verbessert die Benutzererfahrung und vereinfacht den Anmeldevorgang.

WebAuthn-Passschlüssel bieten erhöhte Sicherheit, da keine Passwörter erforderlich sind, wodurch das Risiko von Phishing und Diebstahl von Anmeldeinformationen verringert wird. Sie bieten ein nahtloses Benutzererlebnis mit schnelleren und bequemeren Authentifizierungsmethoden wie Biometrie oder Hardware-Token. Darüber hinaus verbessern Kennwörter die allgemeine Kontosicherheit, indem sie die Kryptografie mit öffentlichen Schlüsseln nutzen und sicherstellen, dass vertrauliche Informationen niemals auf Servern übertragen oder gespeichert werden. Amazon Cognito bietet sowohl [Managed Login] als auch API-Unterstützung für die Erstellung und Speicherung von bis zu 20 Hauptschlüsseln pro Konto.

Sie können eine zusätzliche Sicherheitsebene für Ihre Kunden hinzufügen, indem Sie MFA in einem Amazon-Cognito-Benutzerpool aktivieren. Benutzer können ihre Identität per SMS oder einem zeitgesteuerten Einmalpasswort (TOTP)-Generator wie Google Authenticator verifizieren. Amazon Cognito unterstützt auch die Konfiguration verschiedener Passwortregeln für verschiedene Benutzerpools.

Als Verbund-Hub ermöglicht Amazon Cognito Benutzern die Anmeldung über soziale Identitätsanbieter wie Apple, Facebook, Google und Amazon sowie über Unternehmensidentitätsanbieter über SAML und OIDC. Amazon Cognito unterstützt eine Vielzahl von SAML-Profilen, darunter SAML (SP-initiierte Flows, IDP-initiierte Flows und SAML-Verschlüsselung). Sobald Ihre Benutzer bei Amazon Cognito angemeldet sind (über lokale Authentifizierung oder externe Föderation), können sie OAuth/OIDC für den Zugriff auf verbundene Ressourcen verwenden.

Mit Amazon Cognito können Sie benutzerdefinierte Authentifizierungsabläufe erstellen, die AWS Lambda-Funktionen zur Authentifizierung von Benutzern auf der Grundlage eines oder mehrerer Challenge-Response-Zyklen verwenden. Sie können diesen Fluss verwenden, um maßgeschneiderte Authentifizierungsschemata zu implementieren, die auf benutzerdefinierten Herausforderungen basieren oder benutzerdefinierte Herausforderungen als zusätzliche Faktoren verwenden.

Verwenden Sie AWS Lambda-Trigger, um das Verhalten von Cognito anzupassen, einschließlich der Phasen des Benutzerlebenszyklus wie vor und nach der Authentifizierung und Anmeldung oder vor der Token-Ausgabe. Sie können Lambda-Trigger auch verwenden, um Nachrichten, die in verschiedenen Phasen an Benutzer gesendet werden, anzupassen oder um E-Mail- und SMS-Services von Drittanbietern zu integrieren.

Identitätsmanagement

Das erste Erlebnis eines Kunden auf Ihrer Website ist oftmals die Selbstregistrierung. Amazon Cognito bietet sowohl eine anpassbare, vorgefertigte, verwaltete Anmeldeschnittstelle, um schnell auf den Markt zu kommen, als auch einen robusten Satz von APIs, um eine vollständig benutzerdefinierte Selbstregistrierungslösung zu erstellen. Benutzer können sich mit einer E-Mail, einer Telefonnummer oder einem Benutzernamen für Ihre Anwendung anmelden. Bei der Selbstregistrierung können Benutzer ihre Profildaten, einschließlich benutzerdefinierter Attribute, einsehen und aktualisieren. Verringern Sie die Anzahl der Anrufe beim Helpdesk durch Selbstbedienungsoptionen, wie z. B. das Zurücksetzen von Passwörtern mit einer SMS oder einer E-Mail.

Amazon Cognito bietet sichere, mandantenbasierte Identitätsspeicher (Benutzerpools), die auf Millionen von Benutzern skaliert werden können. Benutzerpools speichern Benutzerprofildaten sowohl für Benutzer, die sich direkt anmelden, als auch für Partnerbenutzer, die sich über externe Identitätsanbieter anmelden.

Der Amazon-Cognito-Identitätsspeicher ist ein API-basiertes Benutzer-Repository. Das Repository und die APIs unterstützen die Speicherung von bis zu 50 benutzerdefinierten Attributen pro Benutzer, unterstützen verschiedene Datentypen und setzen Längen- und Veränderbarkeitsbeschränkungen durch. Wählen Sie die erforderlichen Attribute aus, die der Benutzer vor dem Abschluss des Anmeldevorgangs angeben muss.

Benutzer können entweder über einen Batch-Import oder eine Just-in-Time-Migration (JIT) zu Amazon Cognito migrieren. Die Batch-Benutzermigration nutzt einen CSV-Dateiimportprozess. Mit dem JIT-Migrationsprozess integriert ein AWS-Lambda-Trigger den Migrationsprozess in den Anmelde-Workflow und kann die Passwörter der Benutzer beibehalten.

Amazon Cognito ermöglicht B2B-Interaktionen mit mehrmandantenfähiger Unterstützung. Sie können Anwendungsintegrationen, Zugriffs- und Kennwortrichtlinien wiederverwenden oder eine vollständige Mandantenisolierung erzwingen.

Zugriffskontrolle

Amazon Cognito sichert die letzte Meile der Integration mit einer Anwendung. AWS AppSync, Amazon Application Load Balancers (ALBs) und Amazon API-Gateways verfügen über integrierte Richtlinien zur Durchsetzung von Richtlinien, die den Zugriff auf der Grundlage von Amazon Cognito-Token und -Bereichen ermöglichen.

Mit Amazon Verified Permissions Quick Start können Kunden automatisch Berechtigungsrichtlinien generieren, rollenbasierte Zugriffskontrollen auf der Grundlage der Cognito-Gruppenmitgliedschaften zuweisen und eine detaillierte Autorisierung durchsetzen. Amazon Verified Permissions verfügt über einen integrierten Token-Authorizer, der Amazon Cognito-ID und Zugriffstoken unterstützt, einschließlich komplexer Token-in-a-Token-Konstrukte.

Der Credential Broker für Amazon Cognito, auch bekannt als Amazon Cognito Identity Pools, bietet Single Sign-On-Zugriff auf AWS-Ressourcen wie Amazon DynamoDB, Amazon S3-Buckets, AWS Lambda Serverless-Komponenten und andere Amazon-Services. Benutzer können dynamisch verschiedenen Rollen zugeordnet werden, um den Zugriff auf einen Service mit der geringsten Berechtigung zu unterstützen.

Mit dem OAuth-Client Credential Flow bietet Amazon Cognito eine Maschine-zu-Maschine-Authentifizierung, die ein sicheres Erlebnis zwischen Anwendungskomponenten gewährleistet.

Anreicherung von ID- und Zugriffstokens mit benutzerdefinierten Attributen in Form von OAuth 2.0-Bereichen und -Ansprüchen. Mithilfe benutzerdefinierter Attribute im Zugriffstoken können Sie anwendungsspezifische, erweiterte Autorisierungsentscheidungen treffen. Mit dieser Funktion können Sie auch das Endbenutzererlebnis personalisieren und die Kundenbindung verbessern.

Kundenerlebnis

Nutzen Sie einen datengesteuerten Ansatz, um Kunden zu gewinnen und zu halten. Starten Sie Kampagnen zur Kundenansprache und verfolgen Sie das Engagement mit Amazon Pinpoint. Amazon Pinpoint liefert Analysen für Amazon-Cognito-basierte Benutzeraktivitäten und Amazon Cognito reichert Benutzerdaten für Pinpoint-Kampagnen an.

AWS Amplify ist eine Sammlung speziell entwickelter Tools und Features, mit denen Frontend-Web- und Mobilentwickler schnell und einfach vollständige Anwendungen auf AWS erstellen können. Dabei haben Sie die Flexibilität, die Breite der AWS-Services zu nutzen, wenn sich Ihre Anwendungsfälle weiterentwickeln. Mit Amplify können Sie App-Backends mit Amazon Cognito konfigurieren und Ihre Anwendung in Minutenschnelle verbinden, statische Web-Apps mit wenigen Klicks bereitstellen und App-Inhalte problemlos außerhalb der AWS-Konsole verwalten. Schnellere Bereitstellung und mühelose Skalierung – ganz ohne Cloud-Kenntnisse.

CIAM-Lösungen sind maßgeschneiderte Lösungen. Amazon Cognito bietet einen robusten Satz von Hooks und Erweiterungen, mit denen Sie die Authentifizierung, die Registrierung und die Migration von Benutzern vollständig anpassen können. So kann beispielsweise die Selbstregistrierung um benutzerdefinierte Identitäts- und Kontoprüfungen erweitert werden, und der Anmeldeprozess kann erweitert werden, um benutzerdefinierte Authentifizierungsabläufe zu erstellen oder ein Token zu ändern, bevor es generiert wird.

Das Amazon Cognito SDK ist verfügbar über Java, C++, PHP, Python, Golang, Ruby, .NET und JavaScript.

Erweiterte Sicherheit

Mit einer integrierten Integration in die AWS Web Application Firewall (AWS WAF) bietet Amazon Cognito fortschrittliche Bot-Erkennungsfunktionen, die Ihrem Unternehmen die Kosten für automatisierte Konten ersparen und die Auswirkungen von Bot-Angriffen reduzieren können.

Amazon Cognito kann die Wiederverwendung kompromittierter Anmeldedaten erkennen und in Echtzeit verhindern, dass sich Benutzer anmelden, einloggen oder ihr Passwort ändern. Wenn Amazon Cognito erkennt, dass die vom Benutzer eingegebenen Anmeldeinformationen an anderer Stelle kompromittiert wurden, wird der Benutzer zum Ändern des Passworts aufgefordert.

Schützen Sie die Konten Ihrer Benutzer und verbessern Sie deren Anmeldeerlebnis mit adaptiver Authentifizierung. Wenn Amazon Cognito ungewöhnliche Anmeldeaktivitäten feststellt, wie z. B. Versuche von neuen Standorten und Geräten oder unmögliche Reisebedingungen auf der Grundlage der IP-Geolokalisierung, weist es der Aktivität eine Risikobewertung zu und lässt Ihnen die Wahl, Benutzer entweder zu einer zusätzlichen Überprüfung aufzufordern oder die Anmeldeanforderung zu blockieren.

Prüfung und Compliance

Amazon Cognito unterstützt die Überwachung mit AWS CloudTrail, Amazon CloudWatch Metrics und Amazon CloudWatch Logs Insights. Mit CloudTrail können Sie API-Aufrufe von der Amazon-Cognito-Konsole und von Codeaufrufen der Amazon-Cognito-API-Operationen erfassen. Mit CloudWatch-Metriken können Sie Ereignisse nahezu in Echtzeit überwachen, melden und automatische Maßnahmen ergreifen. Mit CloudWatch Logs Insights können Sie CloudTrail so konfigurieren, dass Ereignisse an CloudWatch gesendet werden, um Amazon-Cognito-CloudTrail-Protokolldateien zu überwachen.

Amazon Cognito bietet erweiterte Protokollierung für Benutzerereignisse wie Anmeldung, Registrierung und Passwortänderungen. Dabei werden detaillierte Anforderungsdaten wie Risikostufe, Standort, Quell-IP und Benutzeragent erfasst. Kunden können diese Ereignisprotokolldaten über Amazon Kinesis Data Firehose an Amazon CloudWatch, Amazon S3 oder Protokollaggregationslösungen von Drittanbietern streamen. Dies ermöglicht eine umfassende Überwachung und Analyse der Benutzeraktivitäten.

Amazon Cognito erfüllt viele Sicherheits- und Compliance-Vorgaben, auch die für stark reglementierte Unternehmen, wie Gesundheitsunternehmen sowie Händler. Amazon Cognito ist HIPAA-berechtigt und konform mit PCI DSS, SOC und ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 sowie ISO 9001.