Administración de los métodos de autenticación en AWS SDK - Amazon Cognito
Autenticación basada en opcionesAutenticación basada en el cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de los métodos de autenticación en AWS SDK

Los usuarios de los grupos de usuarios de Amazon Cognito pueden iniciar sesión con una variedad de opciones o factores de inicio de sesión inicial. En algunos casos, los usuarios pueden hacer un seguimiento con autenticación multifactor (MFA). Estos primeros factores incluyen el nombre de usuario y la contraseña, la contraseña de un solo uso, la clave de acceso y la autenticación personalizada. Para obtener más información, consulte Flujos de autenticación. Si la aplicación tiene componentes de interfaz de usuario integrados e importa un módulo del AWS SDK, debe crear la lógica de la aplicación para la autenticación. Debe elegir uno de los dos métodos principales y, a partir de ese método, los mecanismos de autenticación que desee implementar.

Puede implementar la autenticación basada en el cliente, en la que la aplicación, o el cliente, declare el tipo de autenticación por adelantado. La otra opción es la autenticación basada en opciones, en la que la aplicación recopila un nombre de usuario y solicita los tipos de autenticación disponibles para los usuarios. Puede implementar estos modelos juntos en la misma aplicación o dividirlos entre los clientes de la aplicación, según lo que necesite. Cada método tiene características que son únicas; por ejemplo, la autenticación personalizada, en el método basado en el cliente, y la autenticación sin contraseña, en el caso del método basado en opciones.

En las aplicaciones personalizadas que se autentican con la implementación del AWS SDK de la API de los grupos de usuarios, debe estructurar las solicitudes de API de manera que se ajusten a la configuración del grupo de usuarios, la configuración del cliente de aplicación y las preferencias del cliente. Una sesión InitiateAuth que comience con un AuthFlow de USER_AUTH empieza con la autenticación basada en opciones. Amazon Cognito responde a su API con un desafío del método de autenticación preferido o una lista de opciones. Una sesión que comienza con AuthFlow de CUSTOM_AUTH pasa directamente a la autenticación personalizada con activadores Lambda.

Algunos métodos de autenticación están fijos en uno de los dos tipos de flujo y algunos métodos están disponibles en ambos.

Autenticación basada en opciones

La aplicación puede solicitar los siguientes métodos de autenticación en la autenticación basada en opciones. Declare estas opciones en el parámetro PREFERRED_CHALLENGE de InitiateAuth o AdminInitiateAuth, o en el parámetro ChallengeName de RespondToAuthChallenge o AdminRespondToAuthChallenge.

  1. EMAIL_OTP y SMS_OTP

    Inicio de sesión sin contraseña con contraseñas de un solo uso

  2. WEB_AUTHN

    Inicio de sesión sin contraseña con las claves de acceso de WebAuthn

  3. PASSWORD

    Inicio de sesión con contraseñas persistentes

    Inicio de sesión con contraseñas persistentes y carga útil segura

    MFA después del inicio de sesión

Para revisar estas opciones en su contexto de API, consulte ChallengeName en RespondToAuthChallenge.

El inicio de sesión basado en opciones genera un desafío en respuesta a su solicitud inicial. Este desafío verifica que la opción solicitada esté disponible o proporciona una lista de las opciones disponibles. La aplicación puede mostrar estas opciones a los usuarios, quienes, a continuación, introducen las credenciales del método de inicio de sesión preferido y proceden a autenticarse en las respuestas a las preguntas.

Dispone de las siguientes opciones basadas en opciones en su flujo de autenticación. Todas las solicitudes de este tipo requieren que su aplicación primero recopile un nombre de usuario o lo recupere de una memoria caché.

  1. Solicite opciones solo con AuthParameters de USERNAME. Amazon Cognito devuelve un desafío SELECT_CHALLENGE. A partir de ahí, la aplicación puede solicitar al usuario que seleccione un desafío y devuelva esta respuesta a su grupo de usuarios.

  2. Solicite un desafío preferido con AuthParameters de PREFERRED_CHALLENGE y los parámetros del desafío que prefiera, si los hubiera. Por ejemplo, si solicita un PREFERRED_CHALLENGE de PASSWORD_SRP, también debe incluir SRP_A. Si el usuario, el grupo de usuarios y el cliente de aplicación están configurados para el desafío preferido, Amazon Cognito responde con el siguiente paso de ese desafío, como PASSWORD_VERIFIER en el flujo PASSWORD_SRP o CodeDeliveryDetails en los flujos EMAIL_OTP y SMS_OTP. Si el desafío preferido no está disponible, Amazon Cognito responde con SELECT_CHALLENGE y una lista de los desafíos disponibles.

  3. Deje que los usuarios inicien sesión en primer lugar y, luego, solicite las opciones de autenticación basadas en opciones. Una solicitud GetUserAuthFactors con el token de acceso de un usuario que ha iniciado sesión devuelve sus factores de autenticación basados en opciones disponibles y su configuración de MFA. Con esta opción, un usuario puede iniciar sesión primero con el nombre de usuario y la contraseña y, a continuación, activar otra forma de autenticación. También puede usar esta operación para seleccionar opciones adicionales para un usuario que haya iniciado sesión con un desafío preferido.

A fin de configurar el cliente de aplicación para la autenticación basada en opciones, añada ALLOW_USER_AUTH a los flujos de autenticación permitidos. También debe elegir los factores basados en opciones que desee permitir en la configuración de su grupo de usuarios. El siguiente proceso ilustra cómo elegir los factores de autenticación basados en opciones.

Amazon Cognito console
Cómo configurar las opciones de autenticación basadas en opciones en un grupo de usuarios

  1. Inicie sesión en AWS y vaya a la consola de grupos de usuarios de Amazon Cognito. Elija un grupo de usuarios o cree uno nuevo.

  2. En la configuración de su grupo de usuarios, seleccione el menú Inicio de sesión. Busque Opciones para el inicio de sesión basado en opciones y seleccione Editar.

  3. La opción Contraseña siempre está disponible. Esto incluye los flujos PASSWORD y PASSWORD_SRP. Seleccione las opciones adicionales que desee añadir a las opciones de sus usuarios. Puede agregar una clave de acceso para WEB_AUTHN, una contraseña única en mensaje de correo electrónico para EMAIL_OTP y una contraseña única en mensaje de SMS para SMS_OTP.

  4. Seleccione Save changes (Guardar cambios).

API/SDK

El siguiente cuerpo de solicitud parcial de CreateUserPool o UpdateUserPool configura todas las opciones disponibles para la autenticación basada en opciones.

"Policies": {
    "SignInPolicy": {
        "AllowedFirstAuthFactors": [
            "PASSWORD",
            "WEB_AUTHN",
            "EMAIL_OTP",
            "SMS_OTP"
        ]
    }
},

Autenticación basada en el cliente

La autenticación basada en el cliente admite los siguientes flujos de autenticación. Declare estas opciones en el parámetro AuthFlow de InitiateAuth o AdminInitiateAuth.

  1. USER_PASSWORD_AUTH y ADMIN_USER_PASSWORD_AUTH

    Inicio de sesión con contraseñas persistentes

    MFA después del inicio de sesión

    Este flujo de autenticación es equivalente a PASSWORD en la autenticación basada en opciones.

  2. USER_SRP_AUTH

    Inicio de sesión con contraseñas persistentes y carga útil segura

    MFA después del inicio de sesión

    Este flujo de autenticación es equivalente a PASSWORD_SRP en la autenticación basada en opciones.

  3. REFRESH_TOKEN_AUTH

    Tokens de actualización

    Este flujo de autenticación solo está disponible en la autenticación basada en el cliente.

  4. CUSTOM_AUTH

    Autenticación personalizada

    Este flujo de autenticación solo está disponible en la autenticación basada en el cliente.

Con la autenticación basada en el cliente, Amazon Cognito da por sentado que usted ha determinado cómo quiere autenticarse el usuario antes de que este comience los flujos de autenticación. La lógica para determinar el factor de inicio de sesión que un usuario quiere proporcionar debe determinarse con la configuración predeterminada o con mensajes personalizados; luego, debe declararse en la primera solicitud a su grupo de usuarios. La solicitud InitiateAuth declara un AuthFlow de inicio de sesión que se corresponde directamente con una de las opciones de la lista, como USER_SRP_AUTH. Con esta declaración, la solicitud también incluye los parámetros para iniciar la autenticación, como USERNAME, SECRET_HASH y SRP_A. Amazon Cognito podría complementar esta solicitud con desafíos adicionales, como PASSWORD_VERIFIER para el SRP o SOFTWARE_TOKEN_MFA para el inicio de sesión con contraseña, con TOTP y MFA.

A fin de configurar el cliente de aplicación para la autenticación basada en el cliente, añada cualquier flujo de autenticación distinto de ALLOW_USER_AUTH en los flujos de autenticación permitidos. Algunos ejemplos son ALLOW_USER_PASSWORD_AUTH, ALLOW_CUSTOM_AUTH, ALLOW_REFRESH_TOKEN_AUTH. Para permitir los flujos de autenticación basados en el cliente, no se requiere ninguna configuración adicional del grupo de usuarios.