Amazon Cognito – Häufig gestellte Fragen

Für First-Factor-Authentifikatoren unterstützt Amazon Cognito Benutzername/Passwort, passwortloses E-Mail-OTP, passwortloses SMS-OTP und WebAuthn-Passwörter. Cognito unterstützt die folgenden Multifaktor-Authentifikatoren (MFA): E-Mail-OTP-, SMS-OTP- und TOTP-Authentifikatoren. Darüber hinaus können Kunden und Partner mithilfe von AWS Lambda-Erweiterungen Unterstützung für Produkte von Drittanbietern und maßgeschneiderte Authentifikatoren mit benutzerdefinierten Authentifizierungsabläufen implementieren.

Ja, mit Amazon Cognito können Sie einfach und sicher Anmelde- und Registrierungsfunktionen zu Ihren Anwendungen hinzufügen. Ihre Benutzer können sich per E-Mail, Telefonnummer oder Benutzernamen registrieren und anmelden. Sie können auch erweiterte Sicherheitsfunktionen wie die E-Mail-Verifizierung, Telefonnummernverifizierung und Multifaktor-Authentifizierung verwenden. Mit Cognito können Sie Workflows anpassen, indem Sie z. B. anwendungsspezifische Logik zur Benutzerregistrierung für die Betrugserkennung und Benutzervalidierung über AWS Lambda hinzufügen. Weitere Informationen finden Sie in unserer Dokumentation.

Ein Benutzerpool ist ein mandantenbasiertes Benutzerverzeichnis, das Sie für Ihre Web- und Mobilanwendungen konfigurieren können. Ein Benutzerpool speichert sicher die Profilattribute Ihrer Benutzer und unterstützt ein benutzerdefiniertes Schema. Zum Erstellen und Verwalten eines Benutzerpools können Sie die AWS-Konsole, AWS CLI oder AWS SDK verwenden.

Entwickler können entweder standardmäßige, auf OpenID Connect basierende Benutzerprofilattribute (z. B. Benutzername, Telefonnummer, Adresse, Zeitzone usw.) verwenden oder App-spezifische Benutzerattribute hinzufügen.

Ja, Sie können die Aliasfunktion verwenden, um es Ihren Benutzern zu ermöglichen, sich mit einer E-Mail-Adresse und einem Passwort oder mit einer Telefonnummer und einem Passwort zu registrieren oder anzumelden.

Um mehr zu erfahren, besuchen Sie unsere docs.

Ja, Sie können beim Einrichten oder Konfigurieren Ihres Benutzerpools Kennwortrichtlinien einrichten, z. B. für die Länge des Kennworts, die Zeichenkomplexität und die Anforderungen an den Kennwortverlauf. Darüber hinaus unterstützt Amazon Cognito die Überprüfung kompromittierter Anmeldeinformationen bei jeder Benutzeranmeldung, Anmeldung und Passwortänderung, um sicherzustellen, dass Benutzer sich nicht mit einem Passwort anmelden, das auf einer anderen Website kompromittiert wurde.

Ja, mit Amazon Cognito können Sie verlangen, dass die E-Mail-Adressen und Telefonnummern Ihrer Benutzer überprüft werden, bevor Sie ihnen Zugriff auf Ihre Anwendung gewähren. Den Benutzern wird während der Registrierung ein Überprüfungscode an ihre Telefonnummer oder E-Mail-Adresse gesendet. Durch Eingabe dieses Überprüfungscodes wird die Registrierung abgeschlossen und die Benutzer erhalten Zugriff.

Ja, Sie können den Endbenutzern Ihrer Anwendung erlauben, sich mittels SMS-basierter MFA anzumelden. Bei aktivierter SMS-basierter MFA werden die Benutzer nach ihrem Passwort (erster Faktor – etwas, was sie wissen) und nach einem Sicherheitscode gefragt, den sie nur per SMS auf ihrem Mobiltelefon erhalten (zweiter Faktor – etwas, das sie besitzen).

Ja, Sie können die Anmelde- und Anmeldeabläufe mit AWS Lambda anpassen. Erstellen Sie beispielsweise AWS Lambda-Funktionen, um Betrug zu erkennen oder zusätzliche Prüfungen der Benutzerdaten durchzuführen. Sie können benutzerdefinierte Lambda-Funktionen bei der Vorregistrierung, nach der Bestätigung (Registrierung), der Vorauthentifizierung, während der Authentifizierung und bei der Nachauthentifizierung auslösen. Darüber hinaus haben Sie mit Lambda-Funktionen die Möglichkeit, die im Rahmen der E-Mail- oder Telefonnummernüberprüfung und der Multifaktor-Authentifizierung gesendete Nachrichten anzupassen.

Ja, Sie können die Geräte, die für den Zugriff auf Ihre Anwendung verwendet werden, speichern. Diese gespeicherten Geräte ordnen Sie dann den Benutzern Ihrer Anwendung in einem Cognito-Benutzerpool zu. Sie können sich auch dafür entscheiden, Geräte mit Erinnerungsfunktion zu verwenden, um die Herausforderungen des zweiten Faktors (adaptive Authentifizierung) für Ihre Benutzer zu unterdrücken, wenn Sie die Multi-Faktor-Authentifizierung eingerichtet haben.

Es gibt zwei Möglichkeiten, Benutzer aus dem bestehenden Benutzerverzeichnis oder der Datenbank Ihrer Anwendung in Benutzerpools zu migrieren: Just-in-Time-Migration (JIT) und Massenmigration.

Amazon Cognito unterstützt Sie bei der Just-in-Time-Migration von Benutzern, die sich bei Ihrer Anwendung anmelden, indem Sie einen integrierten AWS Lambda-Trigger verwenden. Mit dem Lambda-Trigger können Sie Benutzerdaten von einem externen System migrieren, ohne sie zu zwingen, ihr Passwort zurückzusetzen.

Alternativ können Sie Benutzer in großen Mengen migrieren, indem Sie eine CSV-Datei hochladen, die die Profildaten für all Ihre Anwendungsbenutzer enthält. Sie können die CSV-Datei über die Amazon Cognito-Konsole, die APIs oder das AWS-CLI hochladen. Bei der ersten Anmeldung müssen die Benutzer ihr Konto verifizieren und ein neues Passwort mit Hilfe eines Verifizierungscodes erstellen, der an ihre E-Mail-Adresse oder Telefonnummer gesendet wird.

Weitere Informationen finden Sie unter Benutzer in Benutzerpools importieren.

Ja, mit Cognito Identitätspools können Sie Benutzer über einen externen Identitätsanbieter authentifizieren und temporäre Sicherheitsanmeldeinformationen für den Zugriff auf die Backend-Ressourcen Ihrer Anwendung in AWS oder einem Service hinter Amazon API Gateway bereitstellen. Amazon Cognito arbeitet mit externen Identitätsanbietern, die SAML oder OpenID Connect unterstützen, oder mit Social Identity-Anbietern (wie Facebook, Twitter, Amazon) zusammen und ermöglicht Ihnen die Integration Ihres eigenen Identitätsanbieters.

Sie können Amazon, Facebook, Twitter verwenden, sich bei Apple anmelden, Google-Anbieter für soziale Identitäten, OpenID Connect (OIDC) -Identitätsanbieter, SAML-Identitätsanbieter, Amazon Cognito-Benutzerpools und benutzerdefinierte Entwickleranbieter.

Mithilfe von Identitätspools können Sie eindeutige Identitäten für Ihre Benutzer erstellen und sie sicher mit AWS-Serviceanbietern verbinden. Kunden nutzen Amazon Cognito-Identitätspools als Anmeldungsbroker, um temporäre AWS-Anmeldeinformationen mit begrenzten Rechten für den Zugriff auf AWS-Ressourcen zu erhalten.

Benutzer können sich über Amazon Cognito-Benutzerpools, OIDC-Identitätsanbieter, SAML-Identitätsanbieter oder Anbieter sozialer Identitäten anmelden und rollenbasierten Zugriff auf AWS-Services wie Amazon S3-Buckets oder Amazon DynamoDB-Datensätze erhalten. Identitäten-Pools enthalten keinerlei Benutzerprofile. Ein Identitätspool kann mit einer oder mehreren Apps verknüpft werden. Wenn Sie zwei unterschiedliche Identitäten-Pools für zwei Apps verwenden, hat der gleiche Endbenutzer in den beiden Identitäten-Pools unterschiedliche eindeutige IDs.

Ihre Mobil-App führt die Authentifizierung über einen Identitätsanbieter (IdP) unter Verwendung von dessen SDK durch. Sobald der Endbenutzer beim IdP authentifiziert ist, wird das OpenID Connect-Token oder die SAML-Assertion, die vom IdP zurückgegeben wird, von Ihrer Anwendung an den Cognito-Identitätspool weitergeleitet, der eine neue Cognito-ID für den Benutzer und einen Satz temporärer AWS-Anmeldedaten mit eingeschränkten Rechten zurückgibt.

Die Identitätspools von Cognito können in Ihr bestehendes Authentifizierungssystem integriert werden. Mit einem einfachen API-Aufruf können Sie eine Cognito-ID für Ihre Endbenutzer abrufen, die auf Ihren eigenen, eindeutigen Kennungen für Ihre Benutzer basiert. Sobald Sie die Cognito ID und das OpenID Token abgerufen haben, können Sie das Cognito Identity Pools Client SDK verwenden, um auf AWS-Ressourcen zuzugreifen und Benutzerdaten zu synchronisieren.

Cognito-Identitätspools weisen Ihren Benutzern eine Reihe von temporären, begrenzten Berechtigungsnachweisen für den Zugriff auf Ihre AWS-Ressourcen zu, so dass Sie nicht Ihre AWS-Kontoanmeldedaten verwenden müssen. Die Berechtigungen jedes Benutzers werden durch AWS IAM-Rollen gesteuert, die Sie erstellen. Sie können Regeln definieren, um die IAM-Rolle für jeden Benutzer auszuwählen. Wenn Sie Gruppen in einem Cognito-Benutzerpool verwenden, können Sie IAM-Rollen basierend auf Gruppen zuweisen. Mit Cognito Identity Pools können Sie auch eine separate IAM-Rolle mit eingeschränkten Rechten für nicht authentifizierte Gastbenutzer definieren. Des Weiteren können Sie die von Cognito generierte eindeutige Kennung verwenden, um den Benutzerzugriff auf bestimmte Ressourcen zu steuern. Sie können zum Beispiel eine Richtlinie für einen S3-Bucket erstellen, die jedem Benutzer nur den Zugriff auf seinen eigenen Ordner im Bucket erlaubt.

Nein, Ihre App kommuniziert direkt mit dem unterstützten öffentlichen Identitätsanbieter (Amazon, Facebook, Twitter, Anmeldung bei Apple, Google, SAML oder einem Open ID Connect-kompatiblen Anbieter), um Benutzer zu authentifizieren. Cognito-Identität erhält keine Anmeldeinformationen von Benutzern und speichert diese auch nicht. Cognito Identity ruft mithilfe des Tokens des Identitätsanbieters eine eindeutige ID für den Benutzer ab. Auf diese ID wird anschließend eine Einweg-Hashfunktion angewendet, sodass der Benutzer in Zukunft wiedererkannt werden kann, ohne dass die tatsächliche Benutzer-ID gespeichert wird.

Nein. Cognito-Identität erhält keine vertraulichen Informationen (wie E-Mail-Adressen, Liste der Freunde usw.) von den Identitätsanbietern.

Cognito Identitätspools unterstützen die Erstellung und den Token-Verkaufsprozess für nicht authentifizierte Benutzer sowie für authentifizierte Benutzer. Damit wird vermieden, dass Ihre App einen zusätzlichen Anmeldebildschirm enthalten muss. Sie sind aber trotzdem in der Lage, temporäre Anmeldeinformationen mit eingeschränkten Berechtigungen für den Zugriff auf AWS-Ressourcen zu verwenden.

Nein. Cognito-Identität unterstützt die Anmeldung durch Amazon, Facebook, Twitter, Digits und Google ebenso wie die Anmeldung nicht authentifizierter Benutzer. Mit Cognito Identity können Sie Verbundauthentifizierung, Sync Store für Profildaten und die Verteilung von AWS Access-Token unterstützen, ohne Backend-Code erstellen zu müssen.

Nicht authentifizierte Benutzer sind Benutzer, die sich nicht über einen Identitätsanbieter authentifizieren, sondern Ihre App als Gast nutzen. Sie können für diese Benutzer eine eigene IAM-Rolle festlegen, durch die sie eingeschränkten Zugriff auf Ihre Backend-Ressourcen erhalten.

Ja, Cognito-Identitätspools unterstützen separate Identitäten auf einem einzigen Gerät, z. B. einem Familien-iPad. Jede Identität wird separat behandelt und Sie haben volle Kontrolle darüber, wie Ihre App Benutzer an- und abmeldet und wie die Daten lokaler und externer Apps gespeichert werden.

Sie können programmatisch einen Datensatz erstellen, der mit Cognito-Identitätspools verknüpft ist, und mit der Speicherung von Daten in Form von Schlüssel/Wertpaaren beginnen. Die Daten werden sowohl lokal auf dem Gerät als auch im Cognito Sync-Shop gespeichert. Cognito kann diese Daten zudem auf allen Geräten des Endbenutzers speichern.

Die Anzahl der Identitäten in der Cognito-Identität-Konsole gibt an, wie viele Identitäten mithilfe der Cognito-Identität-APIs erstellt wurden. Bei authentifizierten Identitäten (Benutzer, die sich über einen Login-Provider wie Facebook oder einen OpenID Connect-Anbieter anmelden) wird bei jedem Aufruf der GetId-API von Cognito-Identität eine Identität pro Benutzer erstellt. Bei nicht authentifizierten Identitäten wird jedoch jedes Mal, wenn der Client in einer App die GetId-API aufruft, eine neue Identität generiert. Wenn Ihre App also GetId bei nicht authentifizierten Identitäten mehrmals für einen einzigen Benutzer aufruft, sieht es aus, als hätte ein einzelner Benutzer mehrere Identitäten. Daher ist es wichtig, dass Sie die Antwort von GetId zwischenspeichern, wenn Sie nicht authentifizierte Identitäten verwenden, und sie nicht mehrmals pro Benutzer aufrufen.

Das Mobile SDK bietet die Logik, um die Daten der Cognito-Identitätspools automatisch zwischenzuspeichern, so dass Sie sich darüber keine Gedanken machen müssen. Wenn Sie auf der Suche nach einer vollständigen Analyselösung für ihre App sind, unter anderem nach der Möglichkeit, eindeutige Benutzer zu verfolgen, sehen Sie sich Amazon Mobile Analytics an.

Die Preise für Amazon Cognito Sync finden Sie auf der Amazon-Cognito-Preisseite .

Um die geschätzten Kosten zu berechnen, verwenden Sie die AWS Pricing Calculator

Sie zahlen für Amazon-Cognito-Benutzerpools auf der Grundlage Ihrer monatlich aktiven Benutzer (MAUs). Ein Benutzer wird als MAU gezählt, wenn Ihre App innerhalb eines Kalendermonats eine Identitätsoperation für diesen Benutzer generiert, wie z. B. eine administrative Erstellung oder Aktualisierung, eine Registrierung, eine Anmeldung, eine Abmeldung, eine Token-Aktualisierung, eine Passwortänderung, eine Aktualisierung der Attribute eines Benutzerkontos oder eine Attributabfrage für einen Benutzer (AdminGetUser API). Es fallen weder für nachfolgende Sitzungen noch für inaktive Benutzer innerhalb dieses Kalendermonats weitere Gebühren an. In der Regel liegen die Gesamtanzahl der Benutzer sowie die Anzahl der Vorgänge deutlich über der Gesamtanzahl der MAUs.

Die Preise für Amazon Cognito Sync finden Sie auf der Amazon-Cognito-Preisseite.

Die Verwendung von SMS-Nachrichten zum Überprüfen von Telefonnummern, zum Senden von Codes für vergessene oder zurückgesetzte Passwörter oder für die Multifaktor-Authentifizierung wird separat in Rechnung gestellt. Weitere Informationen finden Sie auf der Seite Weltweite SMS-Tarife.

Wenn Sie die „synchronize()“-Methode mit dem AWS SDK für Mobilgeräte aufrufen, zählt dies als eine Synchronisierungsoperation. Falls Sie die Server-APIs direkt aufrufen, wird eine Synchronisierungsoperation initiiert, wenn ein neues Token für eine Synchronisierungssitzung ausgestellt wird. Die Operation wird durch einen erfolgreichen Schreibvorgang oder einen Timeout des Sitzungstokens abgeschlossen. Sowohl mit der Verwendung der SDK-Methode synchronize() als auch mit einem direkten Aufruf der Server-APIs werden die Synchronisierungsoperationen mit den gleichen Kosten in Rechnung gestellt.

Ja, die Amazon Cognito-Benutzerpools SKU und Essentials-SKU sind für die ersten 10.000 MAUs kostenlos. Kundenkonten mit aktiven Amazon Cognito-Benutzerpools vor dem 21. November 2024 haben Anspruch auf das kostenlose Kontingent von 50.000 MAUs.

Als Teil des kostenlosen Kontingents von AWS erhalten berechtigte AWS-Kunden 10 GB Sync Store in der Cloud und 1 000 000 Synchronisierungsvorgänge pro Monat in den ersten 12 Monaten.

Die Verwendung von Amazon-Cognito-Identitätspools für die Authentifizierung von Benutzern und die Generierung eindeutiger Identifikatoren ist kostenlos.

Für die Verwendung von Cognito-Ereignissen entstehen keine zusätzlichen Kosten, aber während der Ausführung von Lambda-Funktionen gelten die normalen Gebühren für AWS Lambda und andere AWS-Services.

Weitere Informationen finden Sie auf der Seite mit den Preisen für AWS Lambda.

Nein. Sie entscheiden, wann Sie die „synchronize()“-Methode aufrufen. Jedes Schreiben auf oder Lesen vom Gerät bezieht sich auf den lokalen SQLite-Speicher. Dadurch haben Sie die volle Kontrolle über Ihre Kosten.

Cognito nutzt Amazon SNS zum Senden automatischer Push-Benachrichtigungen. Es fallen keine zusätzlichen Kosten für die Verwendung von Cognito für die Push-Synchronisierung an, doch für an Geräte gesendete Benachrichtigungen gelten die üblichen Amazon SNS-Tarife.