Fonctionnalités d’Amazon Cognito

Qu'est-ce qu'Amazon Cognito ?

Amazon Cognito vous permet d'ajouter l'inscription des utilisateurs, la connexion, le contrôle d'accès et l'accès négocié aux services AWS à vos applications web et mobiles en quelques minutes. Il s'agit d'un service rentable et centré sur les développeurs qui fournit des magasins d'identité sécurisés et basés sur les locataires et des options de fédération pouvant s'adapter à des millions d'utilisateurs. Amazon Cognito vous aide à créer des expériences client personnalisées, à améliorer la sécurité et à vous adapter aux besoins de vos clients. Par exemple, il prend en charge la connexion avec des fournisseurs d'identité sociale et la connexion sans mot de passe à l'aide de clés d’accès WebAuthn ou de mots de passe à usage unique par SMS et e-mail. Amazon Cognito prend en charge diverses normes de conformité, fonctionne selon des normes d'identité ouvertes et s'intègre à un vaste catalogue de ressources de développement et de bibliothèques de SDK.

Page Topics

Authentification des utilisateurs Gestion des identités Contrôle d'accès Expérience client Sécurité avancée Audit et conformité

Authentification des utilisateurs

Les développeurs peuvent utiliser un éditeur visuel sans code pour ajuster l'affichage des écrans des utilisateurs finaux (tels que l'inscription, la connexion et l'authentification multifacteur). Les paramètres de configuration incluent entre autres les couleurs, le positionnement, l'alignement, le texte, la langue, les arrière-plans, les images, les logos, les polices et la mise en page. Grâce à ces options de configuration, le style d'une marque grand public peut être étroitement adapté et les expériences utilisateur proposées par Cognito peuvent être plus cohérentes avec le reste de l'application.

Les clients peuvent configurer Amazon Cognito pour permettre aux utilisateurs finaux d'accéder aux applications sans avoir à mémoriser un mot de passe, ce qui réduit les frictions, améliore la sécurité et augmente le taux de conversion des utilisateurs. Les flux d'authentification sans mot de passe pris en charge incluent la connexion par e-mail, la connexion par téléphone/SMS et la connexion avec des clés d'accès. Cette flexibilité améliore l'expérience utilisateur et simplifie le processus de connexion.

Les clés d'accès WebAuthn offrent une sécurité renforcée en éliminant le besoin de mots de passe, réduisant ainsi le risque de phishing et de vol d'informations d'identification. Elles offrent une expérience utilisateur fluide grâce à des méthodes d'authentification plus rapides et plus pratiques, telles que la biométrie ou les jetons matériels. En outre, les clés d'accès améliorent la sécurité globale des comptes en tirant parti de la cryptographie à clé publique, garantissant ainsi que les informations sensibles ne sont jamais transmises ou stockées sur des serveurs. Amazon Cognito fournit à la fois [Managed Login] et un support API permettant de créer et de stocker jusqu'à 20 clés d'accès par compte.

Vous pouvez ajouter une couche de sécurité supplémentaire pour vos clients en activant l'authentification multifacteur pour les comptes utilisateurs. Les utilisateurs peuvent vérifier leur identité en utilisant des e-mails, des SMS ou un générateur de mot de passe unique à durée limitée (TOTP), tel que Google Authenticator. Amazon Cognito prend également en charge la configuration de différentes règles de mot de passe sur différents groupes d'utilisateurs.

En tant que hub de fédération, Amazon Cognito permet aux utilisateurs de se connecter via des fournisseurs d'identité sociale, comme Apple, Facebook, Google et Amazon, et des fournisseurs d'identité d'entreprise via SAML et OIDC. Amazon Cognito prend en charge différents profils SAML, notamment les flux initiés par le SP SAML, les flux initiés par l'IdP et le chiffrement SAML). Une fois que vos utilisateurs sont connectés à Amazon Cognito (via une authentification locale ou une fédération externe), ils peuvent utiliser OAuth/OIDC pour accéder aux ressources fédérées.

Amazon Cognito vous permet de créer des flux d'authentification personnalisés qui utilisent les fonctions AWS Lambda pour authentifier les utilisateurs sur la base d'un ou de plusieurs cycles défi-réponse. Vous pouvez utiliser ce flux pour implémenter des schémas d'authentification personnalisés basés sur des défis personnalisés ou utiliser des défis personnalisés comme facteurs supplémentaires.

Utilisez des déclencheurs AWS Lambda pour personnaliser le comportement de Cognito, y compris les étapes du cycle de vie des utilisateurs, comme avant et après l'authentification et l'inscription ou avant l'émission du jeton. Vous pouvez également utiliser des déclencheurs Lambda pour personnaliser les messages envoyés aux utilisateurs à différentes étapes ou pour les intégrer à des fournisseurs de messagerie et de SMS tiers.

Gestion des identités

La première expérience d'un client avec votre site passe souvent par le processus d'auto-inscription. Amazon Cognito fournit à la fois une interface de connexion personnalisée, pré-configurée et gérée pour une mise sur le marché rapide, ainsi qu'un ensemble robuste d'API permettant de créer une solution d'auto-enregistrement entièrement personnalisée. Les utilisateurs peuvent s'inscrire en utilisant un e-mail, un numéro de téléphone ou un nom d'utilisateur pour votre application. Le processus d'auto-inscription permet aux utilisateurs d'afficher et de mettre à jour les données de leur profil, y compris les attributs personnalisés. Réduisez les appels au service d'assistance grâce aux options de libre-service, comme la réinitialisation du mot de passe par un message SMS ou un e-mail.

Amazon Cognito fournit des magasins d'identité sécurisés et basés sur les locataires (groupes d'utilisateurs) qui peuvent accueillir des millions d'utilisateurs. Les groupes d'utilisateurs stockent en toute sécurité les données de profil des utilisateurs qui s'inscrivent directement et des utilisateurs fédérés qui s'inscrivent auprès de fournisseurs d'identité externes.

La base d'identités Amazon Cognito est un référentiel d'utilisateurs basé sur des API. Le référentiel et les API permettent de stocker jusqu'à 50 attributs personnalisés par utilisateur, prennent en charge différents types de données et appliquent des contraintes de longueur et de mutabilité. Sélectionnez les attributs requis qui doivent être fournis par l'utilisateur avant l'achèvement du processus d'inscription.

Les utilisateurs peuvent migrer vers Amazon Cognito en utilisant soit une importation par lot, soit une migration juste-à-temps (JIT). La migration par lot des utilisateurs s'appuie sur un processus d'importation de fichiers CSV. Avec le processus de migration JIT, un déclencheur AWS Lambda intègre le processus de migration dans le flux d'inscription et peut mémoriser les mots de passe des utilisateurs.

Amazon Cognito permet des interactions B2B avec la prise en charge de locataires multiples. Vous pouvez choisir de réutiliser les intégrations d'applications et les stratégies d'accès et de mots de passe, ou d'appliquer une isolation complète des locataires.

Contrôle d'accès

Amazon Cognito sécurise le dernier maillon de l'intégration avec une application. AWS AppSync, Amazon Application Load Balancer (ALB) et les Amazon API Gateway ont des points d'application de politiques intégrés qui fournissent un accès basé sur les jetons et les étendues Amazon Cognito.

Grâce au démarrage rapide d'Amazon Verified Permissions, les clients peuvent générer automatiquement des politiques d'autorisations, attribuer un contrôle d'accès basé sur les rôles en fonction des appartenances aux groupes Cognito et appliquer une autorisation précise. Amazon Verified Permissions possède un dispositif d'autorisation de jetons intégré qui prend en charge l'identifiant Amazon Cognito et les jetons d'accès, y compris les constructions complexes de jeton dans un jeton.

Le courtier d'informations d'identification pour Amazon Cognito, également connu sous le nom de groupes d'identités Amazon Cognito, fournit un accès par authentification unique aux ressources AWS telles qu'Amazon DynamoDB, les compartiments Amazon S3, les composants sans serveur AWS Lambda et d'autres services Amazon. Les utilisateurs peuvent être mappés dynamiquement à différents rôles pour prendre en charge l'accès au moindre privilège à un service.

À l'aide du flux d'informations d'identification client OAuth, Amazon Cognito fournit une authentification de machine à machine, garantissant une expérience sécurisée entre les composants d'applications.

Enrichissez les jetons d’identification et d’accès avec des attributs personnalisés sous la forme de champs d’application et de revendications OAuth 2.0. Vous pouvez prendre des décisions d'autorisation avancées spécifiques à l'application à l'aide des attributs personnalisés du jeton d'accès. Cette fonctionnalité vous permet également de personnaliser les expériences des utilisateurs finaux et d'améliorer l'engagement des clients.

Expérience client

Utilisez une approche orientée données pour favoriser l'acquisition et la fidélisation des clients. Lancez des campagnes de sensibilisation des clients et suivez l'engagement avec Amazon Pinpoint. Amazon Pinpoint fournit des analyses pour les activités des utilisateurs basées sur Amazon Cognito, qui enrichit les données des utilisateurs pour les campagnes Pinpoint.

AWS Amplify est un ensemble d'outils et de fonctionnalités sur mesure qui permet aux développeurs web et mobiles front-end de créer rapidement et facilement des applications intégrales sur AWS, avec la flexibilité de profiter de l'ampleur des services AWS à mesure que vos cas d'utilisation évoluent. Avec Amplify, vous pouvez configurer les backend d'applications web ou mobiles avec Amazon Cognito, connecter votre application en quelques minutes, créer visuellement une interface utilisateur web frontend et gérer facilement le contenu des applications en dehors de la console AWS. Accélérez la livraison de vos applications et mettez-les à l'échelle en toute simplicité, sans avoir à devenir un expert du cloud.

Les solutions CIAM sont des solutions personnalisées. Amazon Cognito fournit un ensemble robuste de hooks et d'extensions pour personnaliser entièrement les flux d'authentification, d'enregistrement et de migration des utilisateurs. Par exemple, le flux d'auto-inscription peut être complété par des contrôles personnalisés de preuve d'identité et de vérification de compte et le processus de connexion peut être étendu pour créer des flux d'authentification personnalisés ou modifier un jeton avant qu'il ne soit généré.

Le kit SDK Amazon Cognito est disponible pour Java, C++, PHP, Python, Golang, Ruby, .NET et JavaScript.

Sécurité avancée

Grâce à une intégration native avec le pare-feu d’applications Web (AWS WAF) Amazon, Amazon Cognito offre des fonctionnalités avancées de détection de bots qui peuvent aider à éviter à votre organisation de payer pour des comptes automatisés et réduire l'impact des attaques de bots.

Amazon Cognito peut détecter et empêcher, en temps réel, la réutilisation d'informations d'identification compromises lorsque les utilisateurs s'inscrivent, se connectent ou changent leur mot de passe. Quand Amazon Cognito détecte que les utilisateurs ont entré des informations d'identification qui ont été mises en danger ailleurs, il les invite à modifier leur mot de passe.

Protégez les comptes de vos utilisateurs et améliorez leur expérience de connexion grâce à l'authentification adaptative. Quand Amazon Cognito détecte une activité de connexion inhabituelle, telle que des tentatives depuis de nouveaux emplacements et appareils ou des conditions de voyage impossibles sur la base de la géolocalisation IP, il attribue un score de risque à l'activité et vous permet de choisir de demander aux utilisateurs de procéder à des vérifications supplémentaires ou de bloquer la demande de connexion.

Audit et conformité

Amazon Cognito prend en charge la surveillance avec AWS CloudTrail, Amazon CloudWatch Metrics et Amazon CloudWatch Logs Insights. Avec CloudTrail, vous pouvez recueillir des appels d'API depuis la console Amazon Cognito et des appels de code vers les opérations d'API Amazon Cognito. Avec CloudWatch Metrics, vous pouvez effectuer la surveillance et le signalement ainsi que prendre des mesures automatiques en cas d'événement en temps quasi réel. Avec CloudWatch Logs Insights, vous pouvez configurer CloudTrail pour envoyer des événements à CloudWatch afin de surveiller les fichiers journaux Amazon Cognito CloudTrail.

Amazon Cognito propose une journalisation avancée des événements utilisateur tels que la connexion, l'inscription et les modifications de mot de passe, en capturant des données détaillées sur les demandes, telles que le niveau de risque, la localisation, l'adresse IP source et l'agent utilisateur. Les clients peuvent diffuser les données de ces journaux d'événements vers Amazon CloudWatch, Amazon S3 ou des solutions d'agrégation de journaux tierces via Amazon Kinesis Data Firehose. Cela permet une surveillance et une analyse complètes de l'activité des utilisateurs.

Amazon Cognito s'aligne sur de multiples exigences de sécurité et de conformité, notamment celles imposées aux organisations très réglementées telles que les entreprises du secteur de la santé et les commerçants. Amazon Cognito est éligible HIPAA et conforme aux normes PCI DSS, SOC, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, et ISO 9001.