Grupos de identidades de Amazon Cognito
Un grupo de identidades de Amazon Cognito es un directorio de identidades federadas que puede intercambiar por credenciales de AWS. Los grupos de identidades generan credenciales de AWS temporales para los usuarios de la aplicación, si han iniciado sesión o si aún no los ha identificado. Con los roles y las políticas de AWS Identity and Access Management (IAM), puede elegir el nivel de permiso que desea conceder a los usuarios. Los usuarios pueden empezar como invitados y recuperar los activos que mantiene en Servicios de AWS. A continuación, pueden iniciar sesión con un proveedor de identidades de terceros para desbloquear el acceso a los activos que pone a disposición de los miembros registrados. El proveedor de identidades de terceros puede ser un proveedor de OAuth 2.0 de consumo (social) como Apple o Google, un proveedor de identidades SAML u OIDC personalizado o un esquema de autenticación personalizado, también denominado proveedor de desarrolladores, diseñado por usted mismo.
Características de los grupos de identidades de Amazon Cognito
- Firmar solicitudes para Servicios de AWS
-
Firme las solicitudes de la API a Servicios de AWS como Amazon Simple Storage Service (Amazon S3) y Amazon DynamoDB. Analice la actividad de los usuarios con servicios como Amazon Pinpoint y Amazon CloudWatch.
- Filtrar las solicitudes con políticas basadas en recursos
-
Ejerza un control detallado sobre el acceso de los usuarios a los recursos. Transforme las reclamaciones de los usuarios en Etiquetas de sesión de IAM y cree políticas de IAM que concedan acceso a los recursos a distintos subconjuntos de los usuarios.
- Asignar acceso como invitado
-
Para los usuarios que aún no hayan iniciado sesión, configure el grupo de identidades para generar credenciales de AWS con un alcance de acceso limitado. Autentique a los usuarios mediante un único proveedor de inicio de sesión para aumentar el acceso.
- Asignar roles de IAM en función de las características del usuario
-
Asigne un solo rol de IAM a todos los usuarios autenticados o elija el rol en función de las reclamaciones de cada usuario.
- Aceptar una variedad de proveedores de identidad
-
Intercambie un token de acceso o ID, un token de grupo de usuarios, una aserción de SAML o un token de OAuth de un proveedor social para las credenciales de AWS.
- Validar las propias identidades
-
Realice su propia validación de usuario y utilice las credenciales de AWS de desarrollador para emitir credenciales para los usuarios.
Es posible que ya disponga de un grupo de usuarios de Amazon Cognito que proporcione servicios de autenticación y autorización para la aplicación. Puede configurar el grupo de usuarios como proveedor de identidades (IdP) para el grupo de identidades. Cuando lo haga, los usuarios podrán autenticarse a través de los IdP del grupo de usuarios, consolidar las reclamaciones en un token de identidad de OIDC común e intercambiarlo por credenciales de AWS. A continuación, el usuario puede presentar las credenciales en una solicitud firmada dirigida a los Servicios de AWS.
También puede presentar las reclamaciones autenticadas de cualquiera de los proveedores de identidad directamente al grupo de identidades. Amazon Cognito personaliza las reclamaciones de usuario de los proveedores SAML, OAuth y OIDC en una solicitud de la API AssumeRoleWithWebIdentity para obtener credenciales a corto plazo.
Los grupos de usuarios de Amazon Cognito son como los proveedores de identidades de OIDC para las aplicaciones habilitadas para SSO. Los grupos de identidades actúan como un proveedor de identidades de AWS para cualquier aplicación cuyas dependencias de recursos funcionen mejor con la autorización de IAM.
Los grupos de identidades de Amazon Cognito admiten los siguientes proveedores de identidad:
-
Proveedores públicos: Configuración de Login with Amazon como IdP de grupos de identidades, Configuración de Facebook como un IdP de grupos de identidades, Configuración de Google como IdP de grupo de identidades, Configuración de Inicio de sesión con Apple como ldP de grupo de identidades, Twitter.
-
Configuración de un proveedor OIDC como IdP de grupo de identidades
-
Configuración de un proveedor SAML como IdP de grupo de identidades
Para obtener información sobre la disponibilidad regional de los grupos de identidades de Amazon Cognito, consulte Disponibilidad regional del servicio de AWS
Para obtener más información sobre los grupos de identidades de Amazon Cognito, consulte los siguientes temas.
Temas
- Información general de la consola de grupos de identidades
- Flujo de autenticación de grupos de identidades
- Roles de IAM
- Prácticas recomendadas de seguridad para los grupos de identidades de Amazon Cognito
- Uso de atributos para el control de acceso
- Uso del control de acceso basado en roles
- Obtención de credenciales
- Acceso a Servicios de AWS con credenciales temporales
- Proveedores de identidades de terceros de grupos de identidades
- Identidades autenticadas por el desarrollador
- Transición de usuarios sin autenticar a usuarios autenticados
