Recursos do Amazon Cognito

O Amazon Cognito é um serviço de gerenciamento de acesso e identidade do cliente (CIAM) centrado no desenvolvedor e com bom custo-benefício. Ele fornece um armazenamento de identidade seguro e opções de federação que podem ser dimensionadas para milhões de usuários. O Amazon Cognito oferece suporte ao login com provedores de identidade social e provedores de identidade baseados em SAML ou OIDC para proporcionar experiências agradáveis ao cliente e oferece recursos avançados de segurança para proteger seus clientes e negócios. Ele suporta vários padrões de conformidade, opera em padrões de identidade aberta (OAuth2.0, SAML 2.0 e OpenID Connect) e se integra a um ecossistema estendido de recursos de desenvolvimento front-end e back-end e bibliotecas SDK.

Gerenciamento de identidades

Geralmente, a primeira experiência de um cliente com seu site ocorre por meio do processo de autorregistro. O Amazon Cognito oferece uma interface de usuário personalizada, pré-empacotada e hospedada para chegar rapidamente ao mercado e um conjunto robusto de APIs para criar uma solução de autoinscrição totalmente personalizada. Os usuários podem se cadastrar usando um e-mail, número de telefone ou nome de usuário para a sua aplicação. O processo de autorregistro possibilita que os usuários visualizem e atualizem os dados do perfil, incluindo os atributos personalizados. Reduza as chamadas de suporte técnico com opções de autoatendimento, como redefinição de senha por mensagem SMS ou e-mail.

O Amazon Cognito fornece um armazenamento de identidades seguro (grupos de usuários) que escala até milhões de usuários. Os grupos de usuários armazenam com segurança dados de perfil de usuários que se inscrevem diretamente e para os federados que se conectam com provedores de identidade externos.
O armazenamento de identidade do Amazon Cognito é um repositório de usuário baseado em API. O repositório e as APIs comportam o armazenamento de até 50 atributos personalizados por usuário, suporte para diferentes tipos de dados e impõem restrições de comprimento e mutabilidade. Selecione os atributos necessários que devem ser fornecidos pelo usuário antes da conclusão do cadastro.

Os usuários podem migrar para o Amazon Cognito usando uma importação em lote ou migração just-in-time (JIT). A migração de usuários em lote utiliza um processo de importação de arquivos CSV. Ao usar o processo de migração JIT, um acionador do AWS Lambda integra este processo ao fluxo de trabalho de login e pode reter as senhas dos usuários.

O Amazon Cognito permite interações entre empresas (B2B) com suporte multilocatário. É possível optar por reutilizar integrações de aplicações, políticas de acesso e senhas ou impor o isolamento completo de locatários.

Autenticação de usuários

O Amazon Cognito oferece uma IU incorporada e personalizável para cadastramento e login de usuários. Você pode usar os SDKs para Android, iOS e JavaScript para adicionar páginas de cadastramento e login do Amazon Cognito aos aplicativos.

É possível adicionar uma camada adicional de segurança para os clientes ao habilitar a MFA em um grupo de usuários do Amazon Cognito. Os usuários podem confirmar suas identidades usando SMS ou um gerador de Time-based One-time Password (TOTP – Senha única baseada em tempo), como o Google Authenticator. O Amazon Cognito também oferece suporte à configuração de diferentes regras para senhas em grupos de usuários distintos.

Como um hub de federação, o Amazon Cognito permite que os usuários façam login por meio de provedores de identidade social, como Apple, Facebook, Google e Amazon, e provedores de identidade corporativa via SAML e OIDC. O Amazon Cognito é um provedor de identidade baseado em padrões. Depois que seus usuários fizerem login no Amazon Cognito (por meio de autenticação local ou federação externa), eles poderão usar o OAuth/OIDC para acessar recursos federados.

Os grupos de usuários do Amazon Cognito permitem que você crie um fluxo de autenticação personalizado que usa funções do Lambda para autenticar usuários com base em um ou mais ciclos de desafio/resposta. É possível usar esse fluxo para implementar a autenticação sem senha baseada em desafios personalizados ou usar desafios personalizados como fatores adicionais.

Use acionadores do Lambda para personalizar o comportamento do Cognito, incluindo os estágios do ciclo de vida do usuário, como o antes e o depois da autenticação e da conexão ou o antes da emissão do token. Também é possível usar acionadores do Lambda para personalizar mensagens que são enviadas aos usuários em diferentes estágios ou para realizar a integração com provedores de e-mail e de SMS de terceiros.

Controle de acesso

O Amazon Cognito garante a última milha de integração com uma aplicação. Os Amazon Application Load Balancers (ALBs) e os Amazon API Gateways têm pontos de aplicação de políticas integrados que fornecem acesso com base em tokens e escopos do Amazon Cognito.

O agente de credenciais do Amazon Cognito, também conhecido como banco de identidades do Amazon Cognito, fornece acesso de autenticação única a recursos da AWS, como o Amazon DynamoDB, os buckets do Amazon S3, os componentes com tecnologia sem servidor do Lambda e os outros serviços da Amazon. Os usuários podem ser mapeados dinamicamente para diferentes funções para oferecer suporte ao acesso com privilégios mínimos a um serviço.

Usando o fluxo de credenciais do cliente OAuth, o Amazon Cognito fornece autenticação entre máquinas, garantindo uma experiência segura entre os componentes da aplicação.

Experiência do cliente

Use uma abordagem orientada por dados para impulsionar a aquisição e a retenção de clientes. Inicie campanhas de atendimento ao cliente e acompanhe o envolvimento com o Amazon Pinpoint. O Amazon Pinpoint fornece análises para atividades do usuário baseadas no Amazon Cognito e o Amazon Cognito enriquece os dados do usuário para campanhas do Pinpoint.

O AWS Amplify é um conjunto de ferramentas e atributos específicos que permite que desenvolvedores de front-end para plataformas Web e móveis criem aplicações de pilha completa na AWS com rapidez e facilidade, contando com a flexibilidade para aproveitar a amplitude dos serviços da AWS à medida que os casos de uso evoluem. Com o Amplify, você pode configurar o backend de uma aplicação Web ou móvel com o Amazon Cognito e conectá-la em minutos, criar visualmente o frontend de uma IU para a Web e gerenciar facilmente o conteúdo da aplicação fora do Console da AWS. Envie rapidamente e escale sem esforço: sem necessidade de especialização em nuvem.

As soluções CIAM são soluções personalizadas. O Amazon Cognito oferece um conjunto robusto de ganchos e extensões para personalizar totalmente os fluxos de autenticação, registro e migração de usuários. Por exemplo, o fluxo de autoinscrição pode ser aumentado com prova de identidade personalizada e verificações para confirmação de contas e o processo de login pode ser estendido para criar fluxos de autenticação personalizados ou modificar um token antes de ser gerado.

O Amazon Cognito SDK está disponível usando Java, C++, PHP, Python, Golang, Ruby, .NET e JavaScript.

Segurança avançada

Com uma integração nativa com o Amazon Web Application Firewall (AWS WAF), o Amazon Cognito oferece atributos avançados de detecção de bots que podem ajudar a evitar que sua organização pague por contas automatizadas.

O Amazon Cognito pode detectar e impedir, em tempo real, a reutilização de credenciais comprometidas à medida que os usuários se cadastram, fazem login ou alteram suas senhas. Além disso, quando o Amazon Cognito detecta que os usuários inseriram credenciais comprometidas em outro lugar, solicita que os usuários alterem sua senha.

Proteja as contas dos usuários e aprimore a experiência de login com a autenticação adaptável. Quando o Amazon Cognito detecta uma atividade incomum de acesso, como tentativas de login a partir de novos locais e dispositivos, ele atribui uma pontuação de risco à atividade e permite que você escolha entre solicitar que os usuários façam uma verificação adicional ou bloquear a solicitação de login.

Auditoria e compatibilidade

O Amazon Cognito alinha-se a vários requisitos de segurança e conformidade, inclusive em organizações altamente regulamentadas como empresas e vendedores da área de saúde. O Amazon Cognito está qualificado pela HIPAA e é compatível com as certificações PCI DSS, SOC, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 e ISO 9001.

O Amazon Cognito oferece suporte ao monitoramento com o AWS CloudTrail, o Amazon CloudWatch Metrics e o Amazon CloudWatch Logs Insights. Com o CloudTrail, você pode capturar chamadas de API do console do Amazon Cognito e de chamadas de código para as operações de API do Amazon Cognito. Com as métricas do CloudWatch, você pode monitorar, relatar e realizar ações automáticas no caso de um evento quase em tempo real. Com o CloudWatch Logs Insights, você pode configurar o CloudTrail para enviar eventos ao CloudWatch para monitorar os arquivos de log do Amazon Cognito CloudTrail.