Fonctionnalités d'Amazon Cognito

Amazon Cognito est un service de gestion des identités et de l'accès client (CIAM) axé sur les développeurs et économique. Il fournit une base d'identités sécurisée et des options de fédération qui peuvent s'adapter à des millions d'utilisateurs. Amazon Cognito prend en charge la connexion avec des fournisseurs d'identité sociale et des fournisseurs d'identité basés sur SAML ou OIDC pour des expériences client agréables, et offre des fonctions de sécurité avancées pour protéger vos clients et votre entreprise. Il prend en charge diverses normes de conformité, fonctionne sur des normes d'identité ouvertes (OAuth2.0, SAML 2.0 et OpenID Connect) et s'intègre à un écosystème étendu de ressources de développement frontend et backend et de bibliothèques SDK.

Page Topics

Gestion des identités Authentification des utilisateurs Contrôle d'accès Expérience client Sécurité avancée Audit et conformité

Gestion des identités

La première expérience d'un client avec votre site passe souvent par le processus d'auto-inscription. Amazon Cognito fournit à la fois une interface utilisateur hébergée, pré-packagée et personnalisable pour une mise sur le marché rapide et un ensemble robuste d'API pour créer une solution d'auto-inscription entièrement personnalisée. Les utilisateurs peuvent s'inscrire en utilisant un e-mail, un numéro de téléphone ou un nom d'utilisateur pour votre application. Le processus d'auto-inscription permet aux utilisateurs d'afficher et de mettre à jour les données de leur profil, y compris les attributs personnalisés. Réduisez les appels au service d'assistance grâce aux options de libre-service, comme la réinitialisation du mot de passe par un message SMS ou un e-mail.

Amazon Cognito fournit une base d'identités sécurisée (groupes d'utilisateurs) qui s'adapte à des millions d'utilisateurs. Les groupes d'utilisateurs stockent en toute sécurité les données de profil des utilisateurs qui s'inscrivent directement et des utilisateurs fédérés qui s'inscrivent auprès de fournisseurs d'identité externes.
La base d'identités Amazon Cognito est un référentiel d'utilisateurs basé sur des API. Le référentiel et les API permettent de stocker jusqu'à 50 attributs personnalisés par utilisateur, prennent en charge différents types de données et appliquent des contraintes de longueur et de mutabilité. Sélectionnez les attributs requis qui doivent être fournis par l'utilisateur avant l'achèvement du processus d'inscription.

Les utilisateurs peuvent migrer vers Amazon Cognito en utilisant soit une importation par lot, soit une migration juste-à-temps (JIT). La migration par lot des utilisateurs s'appuie sur un processus d'importation de fichiers CSV. Avec le processus de migration JIT, un déclencheur AWS Lambda intègre le processus de migration dans le flux d'inscription et peut mémoriser les mots de passe des utilisateurs.

Amazon Cognito permet des interactions B2B avec la prise en charge de locataires multiples. Vous pouvez choisir de réutiliser les intégrations d'applications et les stratégies d'accès et de mots de passe, ou d'appliquer une isolation complète des locataires.

Authentification des utilisateurs

Amazon Cognito fournit une interface utilisateur intégrée et personnalisable pour l'inscription et la connexion des utilisateurs. Vous pouvez utiliser des kits SDK Android, iOS et JavaScript pour Amazon Cognito afin d'ajouter des pages d'inscription et de connexion d'utilisateurs à vos applications.

Vous pouvez ajouter une couche de sécurité supplémentaire pour vos clients en activant la MFA dans un groupe d'utilisateurs Amazon Cognito. Les utilisateurs peuvent vérifier leurs identités grâce aux SMS ou à un générateur Time-based One-time Password (TOTP, mot de passe à usage unique basé sur le temps) comme Google Authenticator. Amazon Cognito prend également en charge la configuration de différentes règles de mot de passe sur différents groupes d'utilisateurs.

En tant que hub de fédération, Amazon Cognito permet aux utilisateurs de se connecter via des fournisseurs d'identité sociale, comme Apple, Facebook, Google et Amazon, et des fournisseurs d'identité d'entreprise via SAML et OIDC. Amazon Cognito est un fournisseur d'identité basé sur des normes. Une fois que vos utilisateurs sont connectés à Amazon Cognito (via une authentification locale ou une fédération externe), ils peuvent utiliser OAuth/OIDC pour accéder aux ressources fédérées.

Les groupes d'utilisateurs Amazon Cognito vous permettent de créer un flux d'authentification personnalisé qui utilise les fonctions Lambda pour authentifier les utilisateurs sur la base d'un ou de plusieurs cycles défi-réponse. Vous pouvez utiliser ce flux pour implémenter une authentification sans mot de passe basée sur des défis personnalisés ou utiliser des défis personnalisés comme facteurs supplémentaires.

Utilisez des déclencheurs Lambda pour personnaliser le comportement de Cognito, y compris les étapes du cycle de vie des utilisateurs, comme avant et après l'authentification et l'inscription ou avant l'émission du jeton. Vous pouvez également utiliser des déclencheurs Lambda pour personnaliser les messages envoyés aux utilisateurs à différentes étapes ou pour les intégrer à des fournisseurs de messagerie et de SMS tiers.

Contrôle d'accès

Amazon Cognito sécurise le dernier maillon de l'intégration avec une application. Les Application Load Balancer (ALB) d'Amazon et les Amazon API Gateway ont des points d'application de politique intégrés qui fournissent un accès basé sur les jetons et les portées d'Amazon Cognito.

L'agent d'informations d'identification pour Amazon Cognito, également connu sous le nom de réserves d'identités Amazon Cognito, fournit un accès à signature unique aux ressources AWS comme Amazon DynamoDB, les compartiments Amazon S3, les composants sans serveur Lambda et d'autres services Amazon. Les utilisateurs peuvent être mappés dynamiquement à différents rôles pour prendre en charge l'accès au moindre privilège à un service.

À l'aide du flux d'informations d'identification client OAuth, Amazon Cognito fournit une authentification de machine à machine, garantissant une expérience sécurisée entre les composants d'applications.

Expérience client

Utilisez une approche orientée données pour favoriser l'acquisition et la fidélisation des clients. Lancez des campagnes de sensibilisation des clients et suivez l'engagement avec Amazon Pinpoint. Amazon Pinpoint fournit des analyses pour les activités des utilisateurs basées sur Amazon Cognito, qui enrichit les données des utilisateurs pour les campagnes Pinpoint.

AWS Amplify est un ensemble d'outils et de fonctionnalités sur mesure qui permet aux développeurs web et mobiles front-end de créer rapidement et facilement des applications intégrales sur AWS, avec la flexibilité de profiter de l'ampleur des services AWS à mesure que vos cas d'utilisation évoluent. Avec Amplify, vous pouvez configurer les backend d'applications web ou mobiles avec Amazon Cognito, connecter votre application en quelques minutes, créer visuellement une interface utilisateur web frontend et gérer facilement le contenu des applications en dehors de la console AWS. Accélérez la livraison de vos applications et mettez-les à l'échelle en toute simplicité, sans avoir à devenir un expert du cloud.

Les solutions CIAM sont des solutions personnalisées. Amazon Cognito fournit un ensemble robuste de hooks et d'extensions pour personnaliser entièrement les flux d'authentification, d'enregistrement et de migration des utilisateurs. Par exemple, le flux d'auto-inscription peut être complété par des contrôles personnalisés de preuve d'identité et de vérification de compte et le processus de connexion peut être étendu pour créer des flux d'authentification personnalisés ou modifier un jeton avant qu'il ne soit généré.

Le kit SDK Amazon Cognito est disponible pour Java, C++, PHP, Python, Golang, Ruby, .NET et JavaScript.

Sécurité avancée

Grâce à une intégration native avec Amazon Web Application Firewall (AWS WAF), Amazon Cognito offre des fonctionnalités avancées de détection de bots qui peuvent aider à éviter à votre organisation de payer pour des comptes automatisés.

Amazon Cognito peut détecter et empêcher, en temps réel, la réutilisation d'informations d'identification compromises lorsque les utilisateurs s'inscrivent, se connectent ou changent leur mot de passe. Quand Amazon Cognito détecte que les utilisateurs ont entré des informations d'identification qui ont été mises en danger ailleurs, il les invite à modifier leur mot de passe.

Protégez les comptes de vos utilisateurs et améliorez leur expérience de connexion grâce à l'authentification adaptative. Quand Amazon Cognito détecte une activité de connexion inhabituelle, comme les tentatives depuis de nouveaux emplacements ou appareils, elle affecte un score de risque à l'activité et vous permet de choisir entre inviter les utilisateurs à procéder à une vérification supplémentaire et bloquer la demande de connexion.

Audit et conformité

Amazon Cognito s'aligne sur de multiples exigences de sécurité et de conformité, notamment celles imposées aux organisations très réglementées telles que les entreprises du secteur de la santé et les commerçants. Amazon Cognito est éligible HIPAA et conforme aux normes PCI DSS, SOC, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, et ISO 9001.

Amazon Cognito prend en charge la surveillance avec AWS CloudTrail, Amazon CloudWatch Metrics et Amazon CloudWatch Logs Insights. Avec CloudTrail, vous pouvez recueillir des appels d'API depuis la console Amazon Cognito et des appels de code vers les opérations d'API Amazon Cognito. Avec CloudWatch Metrics, vous pouvez effectuer la surveillance et le signalement ainsi que prendre des mesures automatiques en cas d'événement en temps quasi réel. Avec CloudWatch Logs Insights, vous pouvez configurer CloudTrail pour envoyer des événements à CloudWatch afin de surveiller les fichiers journaux Amazon Cognito CloudTrail.