Términos y conceptos comunes de Amazon Cognito

Un token web JSON (JWT) que contiene información sobre la autorización de una entidad para acceder a los sistemas de información.

Normalmente, se trata de una aplicación móvil. En esta guía, app suele ser la forma abreviada de una aplicación web o móvil que se conecta a Amazon Cognito.

Modelo en el que una aplicación determina el acceso a los recursos en función de las propiedades de un usuario, como su cargo o departamento. Las herramientas de Amazon Cognito para aplicar el ABAC incluyen los tokens de identificación en los grupos de usuarios y las etiquetas de entidades principales en los grupos de identidades.

El proceso para establecer una identidad auténtica con el fin de acceder a un sistema de información. Amazon Cognito acepta pruebas de autenticación de proveedores de identidad externos y también actúa como proveedor de autenticación para aplicaciones de software.

El proceso para conceder permisos a un recurso. Los tokens de acceso de un grupo de usuarios contienen información que las aplicaciones pueden utilizar para permitir que los usuarios y los sistemas accedan a los recursos.

Un sistema OAuth u OpenID Connect (OIDC) que genera tokens web JSON. El servidor de autorización administrado de grupos de usuarios de Amazon Cognito es el componente del servidor de autorización de los dos métodos de autenticación y autorización en los grupos de usuarios. Los grupos de usuarios también admiten los flujos de desafío-respuesta de la API en la autenticación de SDK.

Aplicación a la que los usuarios se conectan de forma remota, con el código en un servidor de aplicaciones y acceso a secretos. Por lo general, se trata de una aplicación web.

Servicio que almacena y verifica las identidades de los usuarios. Amazon Cognito puede solicitar la autenticación a proveedores externos y ser un IdP para las aplicaciones.

Documento con formato JSON que contiene notificaciones sobre un usuario autenticado. Los tokens de ID autentican a los usuarios, los de acceso los autorizan y los de actualización actualizan las credenciales. Amazon Cognito recibe tokens de proveedores externos y los envía a aplicaciones o a AWS STS.

El proceso para autorizar las solicitudes a los puntos de conexión de la API para entidades de máquina que no interactúan con el usuario, como un nivel de aplicación de servidor web. Los grupos de usuarios sirven la autorización M2M en concesiones de credenciales de cliente con ámbitos OAuth 2.0 en tokens de acceso.

Requisito por el que se exige a los usuarios que proporcionen una autenticación adicional después de proporcionar su nombre de usuario y contraseña. Los grupos de usuarios de Amazon Cognito cuentan con características de MFA para los usuarios locales.

Un IdP para un grupo de usuarios o un grupo de identidades que proporciona acceso a JWT y actualiza los tokens. Los grupos de usuarios de Amazon Cognito automatizan las interacciones con los proveedores de redes sociales una vez que los usuarios se autentican.

IdP para un grupo de usuarios o un grupo de identidades que amplía la especificación de OAuth para proporcionar tokens de ID. Los grupos de usuarios de Amazon Cognito automatizan las interacciones con los proveedores de OIDC una vez que los usuarios se autentican.

Forma de autenticación en la que las claves criptográficas, o claves de acceso, del dispositivo de un usuario proporcionan su prueba de autenticación. Los usuarios verifican que están presentes con mecanismos biométricos o de código PIN en un autenticador de hardware o software. Las claves de acceso son útiles para prevenir la suplantación de identidad y están vinculadas a sitios web o aplicaciones específicos, lo que ofrece una experiencia segura sin contraseñas. Los grupos de usuarios de Amazon Cognito admiten el inicio de sesión con claves de acceso.

Una forma de autenticación en la que el usuario no tiene que introducir una contraseña. Algunos de los métodos de inicio de sesión sin contraseña son las contraseñas de un solo uso (OTP), que se envían a direcciones de correo electrónico y números de teléfono, y las claves de acceso. Los grupos de usuarios de Amazon Cognito admiten el inicio de sesión con OTP y claves de acceso.

Aplicación autónoma en un dispositivo, con el código almacenado localmente y sin acceso a datos secretos. Por lo general, se trata de una aplicación móvil.

API con control de acceso. Los grupos de usuarios de Amazon Cognito también utilizan el servidor de recursos para describir el componente que define la configuración para interactuar con una API.

Modelo que concede el acceso en función de la designación funcional de un usuario. Los grupos de identidades de Amazon Cognito implementan el RBAC diferenciando entre los roles de IAM.

Aplicación que se basa en un IdP para afirmar que los usuarios son fiables. Amazon Cognito actúa como un SP para los IdP externos y como un IdP para los SP basados en aplicaciones.

IdP para un grupo de usuarios o un grupo de identidades que genera documentos de aserción firmados digitalmente y que el usuario pasa a Amazon Cognito.

Etiqueta de 128 bits que se aplica a un objeto. Los UUID de Amazon Cognito son únicos por grupo de usuarios o grupo de identidades, pero no se ajustan a un formato de UUID específico.

Conjunto de usuarios y sus atributos que proporciona esa información a otros sistemas. Los grupos de usuarios de Amazon Cognito son directorios de usuarios y también herramientas para consolidar usuarios de directorios de usuarios externos.

Característica de seguridad avanzada que detecta posibles actividades maliciosas y aplica medidas de seguridad adicionales a los perfiles de usuario.

Componente que define la configuración de un grupo de usuarios como un IdP de una aplicación.

Una configuración en un cliente de aplicación y un parámetro en las solicitudes al servidor de autorización del grupo de usuarios. La URL de devolución de llamada es el destino inicial de los usuarios autenticados de su aplicación.

Una forma de autenticación mediante API con grupos de usuarios en la que cada usuario tiene a su disposición un conjunto de opciones de inicio de sesión. Sus opciones pueden incluir el nombre de usuario y la contraseña con o sin MFA, el inicio de sesión con clave de acceso o el inicio de sesión con contraseñas de un solo uso por correo o SMS sin contraseña establecida. La aplicación puede configurar el proceso de elección de los usuarios solicitando una lista de opciones de autenticación o declarando una opción preferida.

Puede comparar esto con la autenticación basada en el cliente.

Una forma de autenticación con la API de los grupos de usuarios y los backends de aplicaciones creados con AWS SDK. En la autenticación declarativa, la aplicación determina de forma independiente el tipo de inicio de sesión que debe realizar un usuario y lo solicita por adelantado.

Puede comparar esto con la autenticación basada en opciones.

Característica de seguridad avanzada que detecta las contraseñas de los usuarios que los atacantes podrían conocer y aplica medidas de seguridad adicionales a los perfiles de usuario.

Proceso que determina que se han cumplido los requisitos previos para permitir que un nuevo usuario inicie sesión. Por lo general, la confirmación se realiza mediante la verificación de la dirección de correo electrónico o el número de teléfono.

Extensión de los procesos de autenticación con desencadenadores de Lambda que definen desafíos y respuestas adicionales para los usuarios.

Proceso de autenticación que reemplaza la MFA por un inicio de sesión que usa el ID de un dispositivo de confianza.

Un dominio web que aloja sus páginas de inicio de sesión administrado en AWS. Puede configurar el DNS en un dominio de su propiedad o usar un prefijo de subdominio de identificación en un dominio propiedad de AWS.

El plan de características con las últimas novedades en grupos de usuarios. El plan Essentials no incluye las características de seguridad de aprendizaje automático del plan Plus.

IdP que tiene una relación de confianza con un grupo de usuarios. Los grupos de usuarios actúan como una entidad intermedia entre los proveedores externos y su aplicación, y gestionan los procesos de autenticación con SAML 2.0, OIDC y los proveedores sociales. Los grupos de usuarios reúnen los resultados de autenticación de proveedores externos en un único IdP para que sus aplicaciones puedan procesar a muchos usuarios con una única biblioteca de OIDC que depende de ellos.

El grupo de características que puede seleccionar para un grupo de usuarios. Los planes de características tienen costos diferentes en la factura de AWS. Los grupos de usuarios nuevos están incluidos de forma predeterminada en el plan Essentials.

Usuario de un grupo de usuarios autenticado por un proveedor externo.

La primera versión de los servicios de interfaz de autenticación, actor de confianza y proveedor de identidad en el dominio del grupo de usuarios. La interfaz de usuario alojada tiene un conjunto básico de características y una apariencia simplificada. Puede aplicar la marca de interfaz de usuario alojada cargando un archivo de imagen con el logotipo y un archivo con un conjunto predeterminado de estilos CSS. Puede comparar esto con el inicio de sesión administrado.

Función de AWS Lambda que un grupo de usuarios puede invocar automáticamente en puntos clave de los procesos de autenticación de usuarios. Puede usar desencadenadores de Lambda para personalizar los resultados de la autenticación.

Perfil de usuario en el directorio de usuarios del grupo de usuarios que no se ha creado mediante la autenticación con un proveedor externo.

Usuario de un proveedor externo cuya identidad se combina con la de un usuario local.

El plan de características con las características que se lanzaron originalmente con los grupos de usuarios. El plan Lite no incluye las nuevas características del plan Essentials ni las características de seguridad de aprendizaje automático del plan Plus.

Un componente del inicio de sesión administrado que aloja servicios para la interacción con proveedores de identidad (IdP) y aplicaciones en el dominio de su grupo de usuarios. La interfaz de usuario administrada se diferencia del inicio de sesión administrado en las características interactivas para el usuario que ofrece, pero tiene las mismas capacidades de servidor de autorización.

Conjunto de páginas web del dominio del grupo de usuarios que alojan servicios para la autenticación de usuarios. Estos servicios incluyen funciones para operar como un IdP, un actor de confianza para los IdP externos y un servidor de una interfaz de usuario de autenticación interactiva para el usuario. Al establecer un dominio para su grupo de usuarios, Amazon Cognito pone en línea todas las páginas del inicio de sesión administrado.

Su aplicación importa bibliotecas OIDC que invocan los navegadores de los usuarios y las dirige a la interfaz de usuario de inicio de sesión administrado para realizar las operaciones de registro, inicio de sesión, administración de contraseñas y otras operaciones de autenticación. Tras la autenticación, las bibliotecas OIDC pueden procesar el resultado de la solicitud de autenticación.

Inicie sesión con los servicios del dominio de su grupo de usuarios, mediante páginas del navegador interactivas para el usuario o solicitudes de API HTTPS. Las aplicaciones gestionan la autenticación del inicio de sesión administrado con las bibliotecas OpenID Connect (OIDC). Este proceso incluye el inicio de sesión con proveedores externos, el inicio de sesión de usuarios locales con páginas de inicio de sesión administrado interactivas y la autorización M2M. La autenticación con la interfaz de usuario alojada clásica también se incluye en este término.

Puede comparar esto con la autenticación con AWS SDK.

El plan de características con las últimas novedades y características de seguridad avanzadas en grupos de usuarios.

Un conjunto de operaciones API de autenticación y autorización que puede añadir a su backend de aplicación con un AWS SDK. Este modelo de autenticación necesita su propio mecanismo de inicio de sesión personalizado. La API puede iniciar sesión tanto en usuarios locales como en usuarios vinculados.

Puede comparar esto con la autenticación de inicio de sesión administrado.

En los grupos de usuarios, la protección contra amenazas se refiere a las tecnologías diseñadas para mitigar las amenazas a los mecanismos de autenticación y autorización. La autenticación flexible, la detección de credenciales comprometidas y las listas de direcciones IP bloqueadas pertenecen a la categoría de protección contra amenazas.

Resultado de un desencadenador de Lambda previo a la generación del token que modifica el ID de usuario o el token de acceso en tiempo de ejecución.

Recurso de AWS con servicios de autenticación y autorización para aplicaciones que funcionan con los IdP OIDC.

Proceso de confirmación de que un usuario es propietario de una dirección de correo electrónico o un número de teléfono. Un grupo de usuarios envía un código a un usuario que ha introducido una dirección de correo electrónico o un número de teléfono nuevos. Cuando el usuario envía el código a Amazon Cognito, demuestra que es propietario del destino del mensaje y puede recibir mensajes adicionales del grupo de usuarios. Consulte también confirmación.

Entrada de un usuario en el directorio de usuarios. Todos los usuarios, incluidos los de IdP de terceros, tienen un perfil en su grupo de usuarios.

Implementación del control de acceso basado en atributos en los grupos de identidades. Los grupos de identidades aplican los atributos del usuario como etiquetas a las credenciales de los usuarios.

Proceso de autenticación en el que puede personalizar la solicitud de credenciales de usuario.

Proceso de autenticación que autoriza las credenciales de usuario del grupo de identidades con las credenciales de desarrollador.

Claves de la API de IAM de un administrador de grupos de identidades.

Flujo de autenticación que selecciona un rol de IAM y aplica las etiquetas de entidades principales de acuerdo con la lógica que defina en su grupo de identidades.

UUID que vincula a un usuario de la aplicación y sus credenciales de usuario a su perfil en un directorio de usuarios externo que tiene una relación de confianza con un grupo de identidades.

Recurso de AWS con servicios de autenticación y autorización para aplicaciones que utilizan credenciales de AWS temporales.

Usuario que no ha iniciado sesión con un IdP de grupo de identidades. Puede permitir que los usuarios generen credenciales de usuario limitadas para un único rol de IAM antes de autenticarse.

Claves de API de AWS temporales que los usuarios reciben tras la autenticación del grupo de identidades.