Funzionalità di Amazon Cognito

Cos'è Amazon Cognito?

Amazon Cognito ti consente di aggiungere la registrazione utente, l'accesso, il controllo degli accessi e l'accesso ai servizi AWS tramite intermediazione alle tue applicazioni Web e mobili in pochi minuti. È un servizio conveniente e incentrato sullo sviluppatore che fornisce archivi di identità sicuri e basati su tenant e opzioni di federazione scalabili fino a milioni di utenti. Amazon Cognito ti aiuta a creare esperienze personalizzate per i clienti, migliorare la sicurezza e adattarti alle esigenze dei tuoi clienti. Ad esempio, supporta l'accesso con i provider di identità social e l'accesso senza password utilizzando le passkey WebAuthn o le password monouso SMS ed e-mail. Amazon Cognito supporta vari standard di conformità, opera su standard di identità aperti e si integra con un ampio catalogo di risorse di sviluppo e librerie SDK.

Page Topics

Autenticazione dell'utente Gestione di identità Controllo degli accessi Esperienza del cliente Sicurezza avanzata Verifica e conformità

Autenticazione dell'utente

Gli sviluppatori possono utilizzare un editor visivo senza codice per regolare la visualizzazione delle schermate degli utenti finali (come registrazione, accesso e MFA). I parametri di configurazione includono colori, posizionamento, allineamento, testo, lingua, sfondi, immagini, loghi, caratteri e layout, tra gli altri. Con queste opzioni di configurazione, lo stile di un marchio di consumo può essere perfettamente abbinato e le esperienze utente fornite da Cognito possono essere più coerenti e coerenti con il resto dell'applicazione.

I clienti possono configurare Amazon Cognito per consentire agli utenti finali di accedere alle applicazioni senza dover ricordare una password, riducendo i problemi, migliorando la sicurezza e aumentando la conversione degli utenti. I flussi di autenticazione senza password supportati includono l'accesso con e-mail, con telefono/SMS e con le password. Questa flessibilità migliora l'esperienza dell'utente e semplifica il processo di accesso.

Le password WebAuthn offrono una maggiore sicurezza eliminando la necessità di password e riducendo il rischio di phishing e furto delle credenziali. Offrono un'esperienza utente senza interruzioni con metodi di autenticazione più rapidi e convenienti, come la biometria o i token hardware. Inoltre, le password migliorano la sicurezza complessiva dell'account sfruttando la crittografia a chiave pubblica, garantendo che le informazioni sensibili non vengano mai trasmesse o archiviate sui server. Amazon Cognito fornisce sia l’[accesso gestito] che il supporto delle API per creare e archiviare fino a 20 passkey per account.

Puoi aggiungere un ulteriore livello di sicurezza per i tuoi clienti abilitando l'MFA per gli account utente. Gli utenti possono verificare la propria identità tramite e-mail, SMS o tramite un generatore di password monouso con protocollo TOTP (Time-based One-Time Password), ad esempio Google Authenticator. Amazon Cognito supporta inoltre la configurazione di regole di password diverse per pool di utenti diversi.

Come hub di federazione, Amazon Cognito consente agli utenti di accedere tramite provider di identità social quali Apple, Facebook, Google e Amazon e provider di identità aziendali tramite SAML e OIDC. Amazon Cognito supporta una varietà di profili SAML, inclusi flussi SAML iniziati da SP, flussi avviati da IdP e crittografia SAML). Una volta che gli utenti hanno effettuato l'accesso ad Amazon Cognito (tramite autenticazione locale o federazione esterna), possono utilizzare OAuth/OIDC per accedere alle risorse federate.

Amazon Cognito consente di creare flussi di autenticazione personalizzati che utilizzano le funzioni AWS Lambda per autenticare gli utenti in base a uno o più cicli di problema-risposta. Puoi utilizzare questo flusso per implementare gli schemi di autenticazione bespoke basati su sfide personalizzate o utilizzare sfide personalizzate come fattori aggiuntivi.

Usa i trigger AWS Lambda per personalizzare il comportamento di Cognito, comprese le fasi del ciclo di vita degli utenti, ad esempio prima e dopo l'autenticazione e la registrazione o prima dell'emissione del token. Puoi anche utilizzare i trigger Lambda per personalizzare i messaggi inviati agli utenti in diverse fasi o per integrarli con provider di posta elettronica e SMS di terze parti.

Gestione di identità

La prima esperienza di un cliente con il tuo sito avviene spesso attraverso il processo di auto-registrazione. Amazon Cognito fornisce sia un'interfaccia di accesso gestita personalizzabile, preconfezionata per raggiungere rapidamente il mercato, sia un solido set di API per creare una soluzione di auto registrazione completamente personalizzata. Gli utenti possono registrarsi utilizzando un'e-mail, un numero di telefono o un nome utente per l'applicazione. Il processo di auto registrazione consente agli utenti di visualizzare e aggiornare i dati del proprio profilo, inclusi gli attributi personalizzati. Riduci le chiamate all'help desk con le opzioni self-service, come la reimpostazione della password con un messaggio SMS o e-mail.

Amazon Cognito fornisce archivi di identità sicuri e basati su tenant (pool di utenti) scalabili fino a milioni di utenti. I pool di utenti archiviano in modo sicuro i dati dei profili utente sia per gli utenti che si registrano direttamente che per gli utenti federati che accedono tramite provider identità esterni.

L’archivio di identità di Amazon Cognito p un repository utente basato su API. Il repository e le API supporta l'archiviazione di un massimo di 50 attributi personalizzati per utente, supporta diversi tipi di dati e applica vincoli di lunghezza e mutabilità. Seleziona gli attributi che l'utente deve necessariamente fornire prima del completamento del processo di registrazione.

Gli utenti possono migrare a Amazon Cognito sia tramite un’importazione in batch che con una migrazione just-in-time (JIT). La migrazione in batch degli utenti sfrutta un processo di importazione di file CSV. Con il processo di migrazione JIT, un trigger AWS Lambda integra il processo di migrazione nel flusso di lavoro di accesso e può mantenere le password degli utenti.

Amazon Cognito rende possibili le interazioni B2B con supporto multi-tenant. Puoi scegliere di riutilizzare le integrazioni delle applicazioni e le policy relative ad accesso e password oppure applicare il completo isolamento dei tenant.

Controllo degli accessi

Amazon Cognito protegge la parte finale dell’integrazione con un'applicazione. I gateway AWS AppSync, Amazon Application Load Balancer (ALB) e Amazon API dispongono di punti di applicazione delle policy integrati che forniscono l'accesso in base ai token e agli ambiti di Amazon Cognito.

Grazie alla configurazione rapida di Autorizzazioni verificate da Amazon, i clienti possono generare automaticamente policy di autorizzazione, assegnare il controllo degli accessi basato sui ruoli in base alle appartenenze al gruppo Cognito e applicare autorizzazioni granulari. Autorizzazioni verificate da Amazon dispone di un autorizzatore di token integrato che supporta l'ID Amazon Cognito e i token di accesso, inclusi complessi costrutti token-in-a-token.

Il broker di credenziali per Amazon Cognito, noto anche come pool di identità Amazon Cognito, fornisce l'accesso Single Sign-On a risorse AWS come Amazon DynamoDB, bucket Amazon S3, componenti serverless AWS Lambda e altri servizi Amazon. Gli utenti possono essere mappati dinamicamente a ruoli diversi per supportare l'accesso con privilegio minimo a un servizio.

Utilizzando il flusso di credenziali client OAuth, Amazon Cognito fornisce l'autenticazione da macchina a macchina che garantisce un'esperienza sicura tra i componenti delle applicazioni.

Arricchisci i token di accesso e gli ID con attributi personalizzati sotto forma di ambiti e attestazioni OAuth 2.0. È possibile prendere decisioni di autorizzazione avanzate specifiche per l'applicazione utilizzando attributi personalizzati nel token di accesso. Inoltre, questa funzionalità consente di personalizzare le esperienze degli utenti finali e migliorare il coinvolgimento dei clienti.

Esperienza del cliente

Utilizza un approccio basato sui dati per favorire l'acquisizione e la fidelizzazione dei clienti. Lancia campagne di sensibilizzazione dei clienti e monitorane il coinvolgimento con Amazon Pinpoint. Amazon Pinpoint fornisce analisi per le attività degli utenti basate su Amazon Cognito e Amazon Cognito arricchisce i dati degli utenti per le campagne Pinpoint.

AWS Amplify consiste in un set di strumenti e funzionalità appositamente progettati per consentire agli sviluppatori front-end di applicazioni Web e per dispositivi mobili di costruire rapidamente e facilmente applicazioni full-stack in AWS, con la flessibilità data dal poter usufruire dei vari servizi AWS man mano che i casi d'uso si evolvono. Con Amplify, puoi configurare un back-end per app Web o per dispositivi mobili con Amazon Cognito, connettere la tua app in pochi minuti, costruire visivamente un'interfaccia utente front-end Web e gestire facilmente i contenuti dell'app al di fuori della console AWS. Distribuisci più velocemente e dimensiona facilmente, senza dover disporre di competenze cloud.

Le soluzioni CIAM sono soluzioni personalizzate. Amazon Cognito fornisce un solido set di hook ed estensioni per personalizzare completamente i flussi di autenticazione, registrazione e migrazione degli utenti. Ad esempio, il flusso di auto registrazione può essere ampliato con controlli di verifica dell'identità e dell'account personalizzati e il processo di accesso può essere esteso per creare flussi di autenticazione personalizzati o per modificare un token prima che venga generato.

L’SDK Amazon Cognito è disponibile tramite Java, C++, PHP, Python, Golang, Ruby, .NET e JavaScript.

Sicurezza avanzata

Grazie all’integrazione nativa con Web Application Firewall AWS (AWS WAF), Amazon Cognito offre funzionalità avanzate di rilevamento dei bot che possono aiutare a risparmiare alla tua organizzazione il costo degli account automatizzati e a ridurre l'impatto degli attacchi dei bot.

Amazon Cognito può rilevare e impedire in tempo reale il riutilizzo di credenziali compromesse quando gli utenti si registrano, accedono o cambiano la password. Quando Amazon Cognito rileva che un utente hanno immesso credenziali compromesse, richiede automaticamente la modifica della password.

Proteggi gli account dei tuoi utenti e migliora la loro esperienza di accesso con l'autenticazione adattiva. Quando Amazon Cognito rileva un'attività di accesso insolita, ad esempio tentativi da nuove posizioni e dispositivi o condizioni di trasferimento impossibili in base alla geolocalizzazione IP, assegna un punteggio di rischio all'attività e consente di scegliere se richiedere agli utenti un'ulteriore verifica o bloccare la richiesta di accesso.

Verifica e conformità

Amazon Cognito supporta il monitoraggio con AWS CloudTrail, Amazon CloudWatch Metrics e Logs Insights di Amazon CloudWatch. Con CloudTrail puoi acquisire chiamate API dalla console Amazon Cognito e da chiamate di codice alle operazioni dell'API Amazon Cognito. Con i parametri di CloudWatch puoi monitorare, segnalare e intraprendere azioni automatiche in caso di evento quasi in tempo reale. Con Cloudwatch Logs Insights, puoi configurare CloudTrail in modo da inviare eventi a CloudWatch per il monitoraggio dei file di log di Amazon Cognito CloudTrail.

Amazon Cognito offre una registrazione avanzata per eventi utente come accesso, registrazione e modifiche della password, acquisendo dati dettagliati sulle richieste come livello di rischio, posizione, IP di origine e agente utente. I clienti possono trasmettere questi dati di log degli eventi ad Amazon CloudWatch, Amazon S3 o a soluzioni di aggregazione di log di terze parti tramite Amazon Kinesis Data Firehose. Ciò consente un monitoraggio e un'analisi completi delle attività degli utenti.

Amazon Cognito soddisfa molteplici requisiti di sicurezza e conformità, compresi quelli per le organizzazioni altamente regolamentate, come le aziende sanitarie e i commercianti. Amazon Cognito è idoneo per HIPAA e PCI DSS, SOC e ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 e ISO 9001.