Возможности Amazon Cognito

Самостоятельная регистрация
Первое знакомство клиента с вашим сайтом обычно происходит в процессе самостоятельной регистрации. Amazon Cognito предоставляет настраиваемый, предварительно упакованный, размещенный пользовательский интерфейс для быстрого выхода на рынок и надежный набор API для создания полностью настраиваемого решения для самостоятельной регистрации. Пользователи могут входить в ваше приложение с указанием адреса электронной почты, телефонного номера или имени пользователя. Процесс самостоятельной регистрации дает пользователям возможность просматривать и обновлять данные в их профилях, в том числе пользовательские атрибуты. Сократите количество звонков в службу поддержки, используя такие опции самообслуживания, как сброс пароля SMS-сообщением или сообщением электронной почты.

Хранилище идентификационных данных (пулы пользователей Amazon Cognito)
Amazon Cognito обеспечивает безопасное хранение идентификационных данных (пулы пользователей), которое можно масштабировать на миллионы аккаунтов. Пулы пользователей дают возможность безопасно хранить данные пользовательских профилей для пользователей, которые регистрируются в приложении напрямую, и для федеративных пользователей, которые осуществляют вход с использованием внешних поставщиков идентификации.
Хранилище идентификационных данных Amazon Cognito – это пользовательский репозиторий на основе API. Репозиторий и API обеспечивают хранение до 50 пользовательских атрибутов на пользователя, поддержку различных типов данных и применение ограничений относительно длины и изменяемости. Выберите обязательные атрибуты, которые пользователь должен указать перед выполнением процесса регистрации

Варианты миграции
Пользователи могут провести миграцию на Amazon Cognito либо с использованием пакетного импорта, либо путем своевременной миграции (JIT). Для пакетной миграции пользователей используется процесс импорта файла CSV. При использовании процесса JIT-миграции триггер AWS Lambda интегрирует процесс миграции в рабочий поток входа в приложение и может сохранять пароли пользователей.

Совместная аренда ресурсов и изоляция пользователей
Amazon Cognito дает возможность осуществлять B2B-взаимодействия с поддержкой совместной аренды ресурсов. Вы можете многократно использовать интеграции приложений, политик доступа и паролей или применить полную изоляцию пользователя.

Настраиваемый пользовательский интерфейс
Amazon Cognito предоставляет встроенный настраиваемый интерфейс для регистрации и авторизации пользователей. Чтобы добавить с помощью Amazon Cognito страницы регистрации и входа в приложение, можно использовать SDK для Android, iOS и JavaScript.

Многофакторная аутентификация (MFA)
Вы можете добавить дополнительный уровень безопасности для своих клиентов, включив многофакторную аутентификацию в пуле пользователей Amazon Cognito. Пользователи могут подтвердить свою личность с помощью текстового сообщения либо с помощью генератора одноразовых паролей на основе времени (TOTP), например Google Authenticator. Кроме того, Amazon Cognito поддерживает конфигурацию различных правил создания паролей для разных пулов пользователей.

Федерация
Как хаб федерации Amazon Cognito дает пользователям возможность авторизации с помощью поставщиков социальной идентификации, таких как Apple, Facebook, Google и Amazon, а также поставщиков корпоративной идентификации на основе SAML и OIDC. Amazon Cognito является поставщиком идентификации на основании стандартов. После входа пользователей в Amazon Cognito (путем локальной аутентификации или внешней федерации) они могут использовать OAuth/OIDC для доступа к федеративным ресурсам.

Аутентификация пользователей
Пулы пользователей Amazon Cognito позволяют создать собственный поток аутентификации, использующий функции Lambda для аутентификации пользователей на основе одного или нескольких циклов запрос-ответ. Этот процесс можно использовать для внедрения аутентификации без пароля, основанной на специальных заданиях, или добавлять собственные задачи в качестве дополнительных факторов.

Настройка рабочих процессов пула пользователей с помощью триггеров Lambda
Используйте триггеры Lambda для настройки поведения Cognito, включая этапы жизненного цикла пользователя, например до и после аутентификации и регистрации или перед выдачей токена. Вы также можете использовать эти триггеры для настройки сообщений, отправляемых пользователям на разных этапах, или для интеграции со сторонними поставщиками услуг электронной почты и SMS.

Интеграция с приложениями на последней миле
Amazon Cognito защищает интеграцию с приложением на последней миле. Балансировщики нагрузки приложений Amazon (ALB) и API шлюзы Amazon имеют встроенные точки принудительного применения политики, которые предоставляют доступ в зависимости от токенов и областей Amazon Cognito.

Доступ к ресурсам AWS
Брокер мандатов для Amazon Cognito также известный как пулы удостоверений Amazon Cognito, обеспечивает единый вход на ресурсы AWS, такие как Amazon DynamoDB, корзины Amazon S3, бессерверные компоненты Lambda, а также на другие сервисы Amazon. Пользователи могут динамически сопоставляться с различными ролями для поддержки доступа к сервису с использованием наименьших привилегий.

Аутентификация между компьютерами
С помощью потока мандатов клиента OAuth Amazon Cognito обеспечивает аутентификацию между компьютерами, гарантируя безопасное взаимодействие компонентов приложения.

Информационная работа с клиентами
Применяйте подход, основанный на данных, чтобы способствовать привлечению и удержанию клиентов. Проводите кампании по информационной работе с клиентами и отслеживайте уровень их привлечения с помощью Amazon Pinpoint. Amazon Pinpoint предоставляет возможности аналитики пользовательских действий, связанных с Amazon Cognito, а Amazon Cognito дополняет данные пользователей для кампаний Pinpoint.

Повышение адаптивности бизнеса
AWS Amplify – это комплект специализированных инструментов и возможностей, которые позволяют разработчикам приложений для Интернета и мобильных устройств быстро и легко создавать приложения полного цикла на AWS, а также дают возможность гибко использовать разнообразные сервисы AWS для новых и изменяющихся вариантов использования. С помощью Amplify можно настраивать серверные части мобильных и веб-приложений с Amazon Cognito, подключать приложения за считаные минуты, создавать пользовательский веб-интерфейс в визуальной среде разработки и легко управлять содержимым приложений за пределами консоли AWS. Быстрая разработка и простое масштабирование, даже без опыта работы в облаке.

Расширяемость
Решения CIAM – это пользовательские решения. Amazon Cognito предоставляет надежный комплект привязок и расширений для полной настройки аутентификации, регистрации и потоков миграции. Например, поток самостоятельной регистрации можно дополнить пользовательскими средствами подтверждения удостоверений и проверками аккаунтов, а процесс входа можно расширить за счет создания пользовательских потоков аутентификации или изменения токена перед тем, как он будет сгенерирован.

SDK Amazon Cognito доступен для использования с помощью Java, C++, PHP, Python, Golang, Ruby, .NET и JavaScript.

Защита от сетевых уязвимостей с помощью AWS WAF
Amazon Cognito в комплексе с брандмауэром веб-приложений Amazon (AWS WAF) предлагает расширенные возможности обнаружения ботов, которые могут помочь вашей организации избавиться от необходимости оплачивать автоматизированные аккаунты.

Защита от использования скомпрометированных мандатов
Amazon Cognito может в режиме реального времени обнаруживать и предупреждать повторное использование скомпрометированных мандатов при входе, регистрации или смене пароля. Если Amazon Cognito обнаруживает, что для входа в учетную запись были использованы мандаты, скомпрометированные на другом ресурсе, система предлагает пользователю сменить пароль.

Соответствие требованиям
Amazon Cognito отвечает многим критериям безопасности и соответствия требованиям, в том числе предъявляемым к строго регулируемым организациям, таким как учреждения здравоохранения и торговые предприятия. Amazon Cognito соответствует требованиям HIPAA, стандартам PCI DSS, SOC, ISO / IEC 27001, ISO / IEC 27017, ISO / IEC 27018 и ISO 9001.

Адаптивная аутентификация на основе рисков
Защитите аккаунты своих пользователей и упростите для них вход в приложение с помощью адаптивной аутентификации. Если во время авторизации Amazon Cognito обнаруживает подозрительное действие (например, попытку входа из нового места или с нового устройства), ему присваивается степень риска, после чего вы можете либо обязать пользователя пройти дополнительную проверку, либо отказать ему в доступе.