Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Inicio de sesión administrado de grupos de usuarios
Puede elegir un dominio web para alojar los servicios de su grupo de usuarios. Un grupo de usuarios de Amazon Cognito obtiene las siguientes funciones al añadir un dominio, denominadas colectivamente *inicio de sesión administrado*.
+ Un [servidor de autorización](https://datatracker.ietf.org/doc/html/rfc6749#section-1.1) que actúa como proveedor de identidad (IdP) para las aplicaciones que funcionan con OAuth 2.0 y OpenID Connect (OIDC). El servidor de autorización [enruta las solicitudes](authorization-endpoint.md), [emite y administra los tokens web JSON (JWTs)](token-endpoint.md) y [proporciona](userinfo-endpoint.md) información sobre los atributos del usuario.
+ Una interfaz ready-to-use de usuario (UI) para las operaciones de autenticación, como el inicio y el cierre de sesión y la administración de contraseñas. Las *páginas de inicio de sesión administrado* actúan como frontend web para los servicios de autenticación.
+ Un proveedor de servicios (SP) o una parte de confianza (RP) para SAML 2.0, OIDC IdPs, Facebook IdPs, Login with Amazon, Sign in with Apple y Google.
Una opción adicional que comparte algunas características con el inicio de sesión administrado es la *interfaz de usuario alojada* clásica. La interfaz de usuario alojada clásica es una versión de primera generación de los servicios del inicio de sesión administrado. Los servicios de interfaz de usuario alojada, IdP y RP generalmente tienen las mismas características que el inicio de sesión administrado, pero las páginas de inicio de sesión tienen un diseño más simple y menos características. Por ejemplo, el inicio de sesión con clave de acceso no está disponible en la interfaz de usuario alojada clásica. En el [plan de características](cognito-sign-in-feature-plans.md) Lite, la interfaz de usuario alojada clásica es la única opción para los servicios de dominio del grupo de usuarios.
Las páginas de inicio de sesión administrado son una colección de interfaces web para las actividades básicas de registro, inicio de sesión, autenticación multifactor y restablecimiento de contraseña en el grupo de usuarios. También conectan a los usuarios con uno o más proveedores de identidad externos (IdPs) cuando quieres que los usuarios puedan elegir entre una opción de inicio de sesión. La aplicación puede invocar las páginas de inicio de sesión administrado en los navegadores de los usuarios cuando desee autenticar y autorizar a los usuarios.
Puede hacer que la experiencia de usuario de inicio de sesión administrado se adapte a la marca con logotipos, fondos y estilos personalizados. Tiene dos opciones de marca que puede aplicar a la interfaz de usuario del inicio de sesión administrado: el *editor de marcas*, para el inicio de sesión administrado, y la *marca de la interfaz de usuario alojada (clásica)*, para la interfaz de usuario alojada.
**Editor de marcas**
Una experiencia de usuario actualizada con la mayoría de las opciones de up-to-date autenticación y un editor visual en la consola de Amazon Cognito.
**Marca de interfaz de usuario alojada**
Una experiencia de usuario familiar para los grupos de usuarios anteriores de Amazon Cognito. La marca de la interfaz de usuario alojada es un sistema basado en archivos. Para aplicar la marca a las páginas de la interfaz de usuario alojadas, debe cargar un archivo de imagen del logotipo y un archivo que establezca los valores de varias opciones de estilo CSS predeterminadas.
El editor de marcas no está disponible en todos los planes de características para grupos de usuarios. Para obtener más información, consulte [Planes de características de grupo de usuarios](cognito-sign-in-feature-plans.md).
Para obtener más información sobre cómo crear solicitudes para los servicios de inicio de sesión administrado y de interfaz de usuario alojada, consulte [Referencia de los puntos de conexión de grupos de usuarios y del inicio de sesión administrado](cognito-userpools-server-contract-reference.md).
**nota**
El inicio de sesión administrado de Amazon Cognito no admite autenticación personalizada con [desencadenadores de Lambda de desafíos de autenticación personalizados](user-pool-lambda-challenge.md).
**Topics**
+ [
## Localización de inicio de sesión administrado
](#managed-login-localization)
+ [
## Documentos de términos
](#managed-login-terms-documents)
+ [
## Configurar el inicio de sesión gestionado con AWS Amplify
](#cognito-user-pools-app-integration-amplify)
+ [
## Configuración del inicio de sesión administrado con la consola de Amazon Cognito.
](#set-up-managed-login)
+ [
## Consulta de la página de inicio de sesión
](#view-login-pages)
+ [
## Personalización de las páginas de autenticación
](#cognito-user-pools-app-integration-customize-hosted-ui)
+ [
## Cosas que debe saber sobre el inicio de sesión administrado y la interfaz de usuario alojada
](#managed-login-things-to-know)
+ [
# Configuración de un dominio del grupo de usuarios
](cognito-user-pools-assign-domain.md)
+ [
# Aplicación de la creación de marca en las páginas de inicio de sesión administrado
](managed-login-branding.md)
## Localización de inicio de sesión administrado
El inicio de sesión administrado se establece de forma predeterminada en inglés en las páginas interactivas para el usuario. Puede mostrar sus páginas de inicio de sesión administrado localizadas para el idioma que elija. Los idiomas disponibles son los que están disponibles en Consola de administración de AWS. En el enlace que distribuya a los usuarios, agregue un parámetro de consulta `lang`, como se muestra en el siguiente ejemplo.
```
https:///oauth2/authorize?lang=es&response_type=code&client_id=&redirect_uri=
```
Amazon Cognito establece una cookie en el navegador de los usuarios con su idioma preferido después de la solicitud inicial con un parámetro `lang`. Una vez establecida la cookie, la selección de idioma se mantiene sin que se muestre el parámetro ni se le pida que lo incluya en las solicitudes. Por ejemplo, cuando un usuario realiza una solicitud de inicio de sesión con un parámetro `lang=de`, sus páginas de inicio de sesión administrado se muestran en alemán hasta que borre las cookies o haga una nueva solicitud con un nuevo parámetro de localización, por ejemplo `lang=en`.
La localización solo está disponible para el inicio de sesión administrado. Debe tener el [plan de características](cognito-sign-in-feature-plans.md) Essentials o Plus y haber asignado su dominio para el uso de la [creación de marca en inicio de sesión administrado](managed-login-branding.md).
La selección que hace el usuario en el inicio de sesión administrado no está disponible para [desencadenadores de envíos de correo o SMS personalizados](user-pool-lambda-custom-sender-triggers.md). Al implementar estos desencadenadores, debe utilizar otros mecanismos para determinar el idioma preferido del usuario. En los flujos de inicio de sesión, el atributo `locale` puede indicar el idioma preferido del usuario en función de la ubicación. En los flujos de registro, la región o el ID de cliente de la aplicación de su grupo de usuarios pueden indicar una preferencia de idioma.
Están disponibles los siguientes idiomas.
**Idiomas de inicio de sesión administrado**
| Idioma | Código |
| --- | --- |
| Alemán | de |
| Inglés | en |
| Español | es |
| Francés | fr |
| Bahasa Indonesia | id |
| Italiano | it |
| Japonés | ja |
| Coreano | ko |
| Portugués (Brasil) | pt-BR |
| Chino simplificado | zh-CN |
| Chino tradicional | zh-TW |
## Documentos de términos
Puede configurar sus páginas de inicio de sesión administrado para que muestren enlaces a sus documentos de **Términos de uso** y **Política de privacidad** cuando los usuarios se registren. Al configurar ambos documentos de condiciones en el cliente de aplicación, los usuarios ven el siguiente texto durante el registro: **By signing up, you agree to our Terms of use and Privacy policy**. Las frases **Términos de uso** y **Política de privacidad** aparecen en su página de inicio de sesión administrado, con un hipervínculo a sus documentos.
Los documentos de condiciones admiten idiomas específicos URLs que se ajustan a la localización del inicio de sesión administrado. Cuando los usuarios seleccionan un idioma con el parámetro de consulta `lang`, Amazon Cognito muestra enlaces a sus documentos de condiciones en ese idioma. Si no ha configurado una URL para un idioma específico, Amazon Cognito usa la URL predeterminada que configuró para el cliente de aplicación.
A fin de configurar los documentos de condiciones para su cliente de aplicación, vaya al menú **Inicio de sesión administrado** de su grupo de usuarios. En **Documentos de términos**, seleccione **Crear documento de términos**.
------
#### [ Amazon Cognito console ]
**Cómo crear un documento de términos**
1. Vaya a su grupo de usuarios y seleccione el menú **Inicio de sesión administrado**. Busque **Documentos de términos**.
1. Elija **Crear documento de términos**.
1. Seleccione el cliente de aplicación al que desea asignar el documento de términos.
1. Introduzca un **Nombre de términos**. Esto identifica el documento en la consola.
1. En **Enlaces**, elija un **idioma** e introduzca la **URL** en la que aloja el documento de términos en ese idioma.
1. URLs Para añadir idiomas adicionales, selecciona **Añadir** otro.
1. Seleccione **Crear**.
------
#### [ Amazon Cognito user pools API ]
A continuación, se muestra un ejemplo de cuerpo de la solicitud [CreateTerms](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateTerms.html). Hace que la página de registro del cliente de aplicación `1example23456789` muestre enlaces a una versión de la política de privacidad en francés y portugués (Brasil) cuando el inicio de sesión administrado está localizado en ese idioma. Es necesario realizar una solicitud independiente URLs para que el inicio `terms-of-use` de sesión gestionado muestre los enlaces en la página de registro.
```
{
"ClientId": "1example23456789",
"Enforcement": "NONE",
"Links": {
"cognito:default" : "https://example.com/privacy/",
"cognito:french" : "https://example.com/fr/privacy/",
"cognito:portuguese-brazil" : "https://example.com/pt/privacy/"
},
"TermsName": "privacy-policy",
"TermsSource": "LINK",
"UserPoolId": "us-east-1_EXAMPLE"
}
```
------
**nota**
Debe crear un documento de condiciones de uso y de política de privacidad para el cliente de aplicación antes de que Amazon Cognito muestre los documentos de condiciones en sus páginas de inicio de sesión administrado.
## Configurar el inicio de sesión gestionado con AWS Amplify
Si lo utilizas AWS Amplify para añadir autenticación a tu aplicación web o móvil, puedes configurar tus páginas de inicio de sesión gestionadas en la interfaz de línea de comandos (CLI) de Amplify y las bibliotecas en el marco Amplify. Para añadir la autenticación a la aplicación, añada la categoría `Auth` al proyecto. A continuación, en su aplicación, autentique a los usuarios del grupo de usuarios con las bibliotecas cliente de Amplify.
Puede invocar páginas de inicio de sesión administrado para la autenticación o puede federar a los usuarios a través de un punto de conexión de autorización que redirija a un IdP. Después de que un usuario se autentique correctamente con el proveedor, Amplify crea un nuevo usuario en su grupo de usuarios y pasa los tokens del usuario a su aplicación.
Los siguientes ejemplos muestran cómo configurar el inicio AWS Amplify de sesión administrado con los proveedores sociales de tu aplicación.
+ [React](https://docs.amplify.aws/react/build-a-backend/auth/concepts/external-identity-providers/)
+ [Swift](https://docs.amplify.aws/swift/build-a-backend/auth/concepts/external-identity-providers/)
+ [Flutter](https://docs.amplify.aws/flutter/build-a-backend/auth/concepts/external-identity-providers/)
+ [Android](https://docs.amplify.aws/android/build-a-backend/auth/concepts/external-identity-providers/)
## Configuración del inicio de sesión administrado con la consola de Amazon Cognito.
El primer requisito para el inicio de sesión administrado y la interfaz de usuario alojada es un dominio de grupo de usuarios. En la consola de grupos de usuarios, vaya a la pestaña **Dominio** de su grupo de usuarios y añada un **dominio de Cognito** o un **dominio personalizado**. También puede elegir un dominio durante el proceso de creación de un nuevo grupo de usuarios. Para obtener más información, consulte [Configuración de un dominio del grupo de usuarios](cognito-user-pools-assign-domain.md). Cuando un dominio está activo en su grupo de usuarios, todos los clientes de la aplicación publican páginas de autenticación públicas en ese dominio.
Cuando crea o modifica un dominio de grupo de usuarios, configura la **versión de marca** para su dominio. Esta versión de marca es una opción entre el **inicio de sesión administrado** o la **interfaz de usuario alojada (clásica)**. La versión de marca que elija se aplica a todos los clientes de aplicaciones que utilizan los servicios de inicio de sesión de su dominio.
El siguiente paso es crear un [cliente de aplicación](user-pool-settings-client-apps.md) desde la pestaña **Clientes de aplicación** de su grupo de usuarios. Durante el proceso de creación de un cliente de aplicación, Amazon Cognito le solicitará información sobre la aplicación y, a continuación, le pedirá que seleccione una **URL de retorno**. La URL de retorno también se denomina URL del actor de confianza (RP), URI de redirección y URL de devolución de llamada. Esta es la URL desde la que se ejecuta la aplicación, por ejemplo, `https://www.example.com` o `myapp://example`.
Tras configurar un dominio y un cliente de aplicación con un estilo de marca en el grupo de usuarios, las páginas de inicio de sesión administrado estarán disponibles en Internet.
## Consulta de la página de inicio de sesión
En la consola de Amazon Cognito, pulse el botón **Ver páginas de inicio de sesión** en la pestaña **Páginas de inicio de sesión** de su cliente de aplicación, en el menú **Clientes de aplicación**. Este botón le llevará a una página de inicio de sesión en su dominio de grupos de usuarios con los siguientes parámetros básicos.
+ El ID de cliente de aplicación.
+ Una solicitud de concesión de código de autorización
+ Una solicitud para todos los ámbitos que ha activado para el cliente de la aplicación actual
+ La primera URL de devolución de llamada de la lista para el cliente de aplicación actual
El botón **Ver página de inicio de sesión** es útil cuando se quieren probar las funciones básicas de las páginas del inicio de sesión administrado. Sus páginas de inicio de sesión coincidirán con la **versión de marca** que asignó al [dominio de su grupo de usuarios](cognito-user-pools-assign-domain.md). Puede personalizar la URL de inicio de sesión con parámetros adicionales y modificados. En la mayoría de casos, los parámetros generados automáticamente del enlace **Ver página de inicio de sesión** no se ajustan completamente a las necesidades de su aplicación. En estos casos, debe personalizar la URL que invoca su aplicación cuando inicia sesión en sus usuarios. Para obtener más información acerca de los parámetros y valores de los parámetros, consulte [Referencia de los puntos de conexión de grupos de usuarios y del inicio de sesión administrado](cognito-userpools-server-contract-reference.md).
La página web de inicio de sesión utiliza el siguiente formato URL. En este ejemplo se solicita la concesión de un código de autorización con el parámetro `response_type=code`.
```
https:///oauth2/authorize?response_type=code&client_id=&redirect_uri=
```
Puede buscar la cadena de dominio del grupo de usuarios desde el menú **Dominio** del grupo de usuarios. En el menú de **clientes de la aplicación**, puede identificar el cliente de la aplicación IDs, su devolución de llamada URLs, sus ámbitos permitidos y otras configuraciones.
Cuando navegue hasta el punto de conexión de `/oauth2/authorize` con sus parámetros personalizados, Amazon Cognito lo redirige al punto de conexión de `/oauth2/login` o, si tiene un parámetro `identity_provider` o `idp_identifier`, lo redirige silenciosamente a la página de inicio de sesión de su IdP.
**Ejemplo de solicitud de concesión implícita**
Puede ver la página web de inicio de sesión con la siguiente dirección URL para la concesión de código implícita, donde `response_type=token`. Tras un inicio de sesión correcto, Amazon Cognito devuelve tokens de grupo de usuarios a su barra de direcciones de navegador web.
```
https://mydomain.auth.us-east-1.amazoncognito.com/authorize?response_type=token&client_id=1example23456789&redirect_uri=https://mydomain.example.com
```
Los tokens de identidad y acceso aparecen como parámetros adjuntos a la URL de redireccionamiento.
A continuación, se muestra una respuesta de ejemplo de una solicitud de concesión implícita.
```
https://auth.example.com/#id_token=eyJraaBcDeF1234567890&access_token=eyJraGhIjKlM1112131415&expires_in=3600&token_type=Bearer
```
## Personalización de las páginas de autenticación
En el pasado, Amazon Cognito solo alojaba páginas de inicio de sesión con la *interfaz de usuario alojada* clásica, un diseño sencillo que otorga un aspecto universal a las páginas web de autenticación. Puede personalizar los grupos de usuarios de Amazon Cognito con una imagen de logotipo y modificar algunos estilos con un archivo que especifique algunos valores de estilo CSS. Más adelante, Amazon Cognito introdujo el *inicio de sesión administrado*, un nuevo servicio de autenticación alojado. El inicio de sesión gestionado se actualiza look-and-feel con el editor de *marca*. El editor de marcas es un editor visual sin código y ofrece un conjunto de opciones más amplio que la experiencia de personalización de la interfaz de usuario alojada. El inicio de sesión administrado también introdujo imágenes de fondo personalizadas y un tema de modo oscuro.
Puede cambiar entre las experiencias de inicio de sesión administrado y de personalización de la interfaz de usuario alojada en los grupos de usuarios. Para obtener más información sobre la personalización de las páginas de inicio de sesión administrado, consulte [Aplicación de la creación de marca en las páginas de inicio de sesión administrado](managed-login-branding.md).
## Cosas que debe saber sobre el inicio de sesión administrado y la interfaz de usuario alojada
**La cookie de sesión de interfaz de usuario alojada y de inicio de sesión administrado de una hora de duración**
Cuando un usuario inicia sesión con sus páginas de inicio de sesión o con un proveedor externo, Amazon Cognito establece una cookie en su navegador. Con esta cookie, los usuarios pueden volver a iniciar sesión con el mismo método de autenticación durante una hora. Cuando inician sesión con la cookie de su navegador, obtienen nuevos tokens que duran el tiempo especificado en la configuración del cliente de aplicación. Los cambios en los atributos de los usuarios o en los factores de autenticación no afectan a su capacidad para volver a iniciar sesión con la cookie del navegador.
La autenticación con la cookie de sesión no restablece la duración de la cookie a una hora adicional. Los usuarios deben volver a iniciar sesión si intentan acceder a sus páginas de inicio de sesión más de una hora después de su última autenticación interactiva correcta.
**Confirmación de las cuentas de usuario y verificación de los atributos de los usuarios**
Para los [usuarios locales](cognito-terms.md#terms-localuser) del grupo de usuarios, el inicio de sesión administrado y la interfaz de usuario alojada funcionan mejor cuando se configura el grupo de usuarios en **Permitir que Cognito envíe mensajes automáticamente para verificar y confirmar**. Al habilitar esta configuración, Amazon Cognito envía un mensaje con un código de confirmación a los usuarios que se registren. En cambio, si confirma a los usuarios como administrador del grupo de usuarios, sus páginas de inicio de sesión mostrarán un mensaje de error tras el registro. En este estado, Amazon Cognito ha creado el nuevo usuario, pero no ha podido enviar un mensaje de verificación. Aún puede confirmar a los usuarios como administradores, pero es posible que se pongan en contacto con el servicio de asistencia cuando detecten un error. Para obtener más información sobre la confirmación administrativa, consulte [Permitir que los usuarios se registren en la aplicación, pero con confirmación del administrador del grupo de usuarios](signing-up-users-in-your-app.md#signing-up-users-in-your-app-and-confirming-them-as-admin).
**Ámbito de operaciones del inicio de sesión administrado**
El inicio de sesión administrado y la interfaz de usuario alojada clásica admiten el registro, el inicio de sesión y la administración de contraseñas. Esto incluye completar el inicio de sesión con autenticación multifactor (MFA) y el registro de los autenticadores webAuthn. El inicio de sesión administrado no admite la administración de perfiles de autoservicio de los usuarios, como los cambios de atributos y la configuración de las preferencias de MFA. Debe implementar la administración de perfiles en el código de su propia aplicación. El inicio de sesión gestionado tampoco permite confirmar los cambios en los atributos al actualizar las direcciones de correo electrónico y los números de teléfono como administrador con la operación de la [AdminUpdateUserAttributes](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUpdateUserAttributes.html)API.
**Consulta de los cambios realizados en la configuración**
Si realiza cambios de estilo en sus páginas y estos no aparecen inmediatamente, espere unos minutos y actualice la página.
**Descodificación de los tokens del grupo de usuarios**
Los tokens del grupo de usuarios de Amazon Cognito se firman mediante un RS256 algoritmo. Puede decodificar y verificar los tokens del grupo de usuarios mediante. AWS Lambda Consulte [Decodificar y verificar los tokens JWT de Amazon Cognito en](https://github.com/awslabs/aws-support-tools/tree/master/Cognito/decode-verify-jwt). GitHub
**Versión de TLS**
Las páginas de inicio de sesión administrado y de interfaz de usuario alojadas requieren el cifrado durante el tránsito. Los dominios de grupos de usuarios que Amazon Cognito proporciona requieren que los navegadores de los usuarios usen, como mínimo, la versión 1.2 de TLS. Los dominios personalizados admiten conexiones de navegador con la versión 1.2 de TLS. La interfaz de usuario alojada (clásica) **no requiere** TLS 1.2 para los dominios personalizados, pero el inicio de sesión administrado más reciente **requiere** la versión 1.2 de TLS, tanto para los dominios personalizados como para los de prefijo. Dado que Amazon Cognito gestiona la configuración de los servicios de dominio, no es posible modificar los requisitos TLS del dominio del grupo de usuarios.
**Políticas CORS**
Ni el inicio de sesión administrado ni la interfaz de usuario alojada admiten políticas de origen personalizadas para el uso compartido de recursos entre orígenes (CORS). Una política CORS impediría que los usuarios pasaran parámetros de autenticación en sus solicitudes. En su lugar, implemente una política CORS en el frontend de su aplicación. Amazon Cognito devuelve un encabezado de respuesta `Access-Control-Allow-Origin: *` a las solicitudes a los siguientes puntos de conexión.
1. [Punto de conexión de token](token-endpoint.md)
1. [Revocación de puntos de conexión](revocation-endpoint.md)
1. [El punto de conexión userInfo](userinfo-endpoint.md)
**Cookies**
El inicio de sesión administrado y la interfaz de usuario alojada configuran cookies en los navegadores de los usuarios. Las cookies cumplen los requisitos de algunos navegadores de que los sitios no instalen cookies de terceros. Están dirigidas únicamente a los puntos de conexión del grupo de usuarios e incluyen lo siguiente:
+ Una cookie `XSRF-TOKEN` para cada solicitud.
+ Una cookie `csrf-state` para garantizar la coherencia de la sesión cuando se redirige a un usuario.
+ Una cookie `csrf-state-legacy` para garantizar la coherencia de la sesión, que Amazon Cognito lee como alternativa cuando el navegador no admite el atributo `SameSite`.
+ Una cookie de sesión `cognito` que conserva los intentos de inicio de sesión correctos durante una hora.
+ Una cookie `lang` que guarda la elección del usuario de [idioma de localización](#managed-login-localization) en el inicio de sesión administrado.
+ Una cookie `page-data` que guarda los datos necesarios mientras el usuario navega entre las páginas del inicio de sesión administrado.
En iOS, puede [bloquear todas las cookies](https://support.apple.com/en-us/105082). Esta configuración no es compatible con la interfaz de usuario alojada ni el inicio de sesión administrado. Para trabajar con los usuarios que podrían habilitar esta configuración, cree la autenticación del grupo de usuarios en una aplicación iOS nativa con un AWS SDK. En este escenario, puede crear un almacenamiento de sesiones propio que no esté basado en cookies.
**Efectos del cambio de versión del inicio de sesión administrado**
Tenga en cuenta los siguientes efectos por añadir dominios y configurar la versión de inicio de sesión administrado.
+ Cuando añade un dominio con prefijo, ya sea con inicio de sesión administrado o con una marca de interfaz de usuario alojada (clásica), las páginas de inicio de sesión pueden tardar hasta 60 segundos en estar disponibles.
+ Cuando añade un dominio personalizado, ya sea con inicio de sesión administrado o con una marca de interfaz de usuario alojada (clásica), las páginas de inicio de sesión pueden tardar hasta 5 minutos en estar disponibles.
+ Si cambia la versión de marca de su dominio, las páginas de inicio de sesión pueden tardar hasta 4 minutos en estar disponibles en la nueva versión de marca.
+ Al cambiar entre el inicio de sesión administrado y la marca de la interfaz de usuario alojada (clásica), Amazon Cognito no mantiene las sesiones de usuario. El usuario debe volver a iniciar sesión con la nueva interfaz.
**Estilo predeterminado**
Al crear un cliente de aplicación en el Consola de administración de AWS, Amazon Cognito asigna automáticamente un estilo de marca al cliente de la aplicación. Al crear mediante programación un cliente de aplicaciones con la [CreateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolClient.html)operación, no se crea ningún estilo de marca. El inicio de sesión administrado no está disponible para un cliente de aplicaciones creado con un AWS SDK hasta que crees uno con una [CreateManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateManagedLoginBranding.html)solicitud.
**Finalización del tiempo de espera de la petición de autenticación en el inicio de sesión administrado**
Amazon Cognito cancela las solicitudes de autenticación que no se completan en 5 minutos y redirige al usuario al inicio de sesión administrado. La página muestra un mensaje de error `Something went wrong`.
# Configuración de un dominio del grupo de usuarios
La configuración de un dominio es una parte opcional de la configuración de un grupo de usuarios. Un dominio de grupo de usuarios aloja características de autenticación de usuarios, federación con proveedores externos y flujos de OpenID Connect (OIDC). Cuenta con un *inicio de sesión administrado*, una interfaz precompilada para operaciones clave como el registro, el inicio de sesión o la recuperación de contraseñas. También aloja los puntos finales estándar de OpenID Connect (OIDC), como authorize[, [UserInfo](userinfo-endpoint.md) y [token](token-endpoint.md),](authorization-endpoint.md) para la autorización machine-to-machine (M2M) y otros flujos de autenticación y autorización OIDC y 2.0. OAuth
Los usuarios se autentican con páginas de inicio de sesión administrado en el dominio asociado a su grupo de usuarios. Para configurar este dominio puede elegir entre usar el dominio alojado predeterminado de Amazon Cognito o configurar un dominio personalizado propio.
La opción de dominio personalizado tiene más opciones de flexibilidad, seguridad y control. Por ejemplo, un dominio conocido y propiedad de una organización puede fomentar la confianza de los usuarios y hacer que el proceso de inicio de sesión sea más intuitivo. Sin embargo, el enfoque de dominio personalizado requiere algunos gastos adicionales, como la administración del certificado SSL o la configuración del DNS.
Los puntos de conexión de detección del OIDC, `/.well-known/openid-configuration` para las claves de firma de terminales URLs y de token, no están alojados en `/.well-known/jwks.json` su dominio. Para obtener más información, consulte [Puntos de conexión de los proveedores de identidades y de la relación de confianza](federation-endpoints.md).
Comprender cómo configurar y administrar el dominio del grupo de usuarios es un paso importante para integrar la autenticación en la aplicación. Iniciar sesión con la API de grupos de usuarios y un AWS SDK puede ser una alternativa a la configuración de un dominio. El modelo basado en API entrega los tokens directamente en una respuesta de API, pero para las implementaciones que utilizan las capacidades ampliadas de los grupos de usuarios como un IdP OIDC, debe configurar un dominio. Para obtener más información sobre los modelos de autenticación que están disponibles en los grupos de usuarios, consulte [Descripción de la autenticación mediante API, OIDC y páginas de inicio de sesión administrado](authentication-flows-public-server-side.md#user-pools-API-operations).
**Topics**
+ [
## Cosas que debe saber acerca de los dominios de grupos de usuarios
](#cognito-user-pools-assign-domain-things-to-know)
+ [
# Uso del dominio de prefijo de Amazon Cognito para el inicio de sesión administrado
](cognito-user-pools-assign-domain-prefix.md)
+ [
# Uso de un dominio propio con el inicio de sesión administrado
](cognito-user-pools-add-custom-domain.md)
## Cosas que debe saber acerca de los dominios de grupos de usuarios
Los dominios de grupos de usuarios son un punto de servicio para las relaciones de confianza de OIDC en las aplicaciones y para los elementos de la interfaz de usuario. Tenga en cuenta los siguientes detalles cuando planifique la implementación de un dominio para su grupo de usuarios.
**Términos reservados**
No puede usar el texto `aws`, `amazon` ni `cognito` en el nombre de un dominio con prefijo de Amazon Cognito.
**Los puntos de conexión de detección se encuentran en otro dominio**
Los [puntos de conexión de detección](federation-endpoints.md) `.well-known/openid-configuration` y `.well-known/jwks.json` no se encuentran en el dominio personalizado o con prefijo del grupo de usuarios. La ruta a estos puntos de conexión es la siguiente.
+ `https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/openid-configuration`
+ `https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/jwks.json`
**Hora de entrada en vigor de los cambios de dominio**
Amazon Cognito puede tardar hasta un minuto en lanzar o actualizar la versión de marca de un dominio de prefijo. Los cambios realizados en un dominio personalizado pueden tardar hasta cinco minutos en propagarse. Los nuevos dominios personalizados pueden tardar hasta una hora en propagarse.
**Dominios personalizados y con prefijo al mismo tiempo**
Puedes configurar un grupo de usuarios con un dominio personalizado y un dominio con prefijo que sea propiedad de. AWS Como los [puntos de conexión de detección](federation-endpoints.md) del grupo de usuarios están alojados en otro dominio, solo sirven al *dominio personalizado*. Por ejemplo, `openid-configuration` proporcionará un valor único para `"authorization_endpoint"` de `"https://auth.example.com/oauth2/authorize"`.
Si tiene dominios personalizados y con prefijo en un grupo de usuarios, puede usar el dominio personalizado con todas las características de un proveedor OIDC. El dominio de prefijo de un grupo de usuarios con esta configuración no tiene token-signing-key puntos de conexión ni de detección y debe usarse en consecuencia.
**Es preferible usar dominios personalizados como identificadores de actor de confianza en claves de acceso**
Al configurar la autenticación del grupo de usuarios con [claves de acceso](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passkey), debe establecer un ID de actor de confianza (RP). Si tiene un dominio personalizado y un dominio de prefijo, puede configurar el ID de RP únicamente como su dominio personalizado. Para configurar un dominio de prefijo como ID de RP en la consola de Amazon Cognito, elimine su dominio personalizado o introduzca el nombre de dominio completo (FQDN) del dominio de prefijo como **dominio de terceros**.
**No utilice dominios personalizados en distintos niveles de la jerarquía de dominios**
Puede configurar grupos de usuarios distintos para tener dominios personalizados en el mismo dominio de nivel superior (TLD), por ejemplo, *auth.example.com* y *auth2.example.com*. La cookie de sesión del inicio de sesión administrado es válida para un dominio personalizado y todos los subdominios, por ejemplo, *\$1.auth.example.com*. Por este motivo, ningún usuario de las aplicaciones debe acceder al inicio de sesión administrado de ningún dominio *ni* subdominio principal. Cuando los dominios personalizados usen el mismo TLD, manténgalos en el mismo nivel de subdominio.
Supongamos que tiene un grupo de usuarios con el dominio personalizado *auth.example.com*. Luego crea otro grupo de usuarios y le asigna el dominio personalizado *uk.auth.example.com*. Un usuario inicia sesión en *auth.example.com* y obtiene una cookie que su navegador presenta a cualquier sitio web en la ruta comodín *\$1.auth.example.com*. A continuación, intenta iniciar sesión en *uk.auth.example.com*. Envían una cookie no válida a su dominio de grupo de usuarios y reciben un error en lugar de una solicitud de inicio de sesión. Por el contrario, un usuario con una cookie para *\$1.auth.example.com* no tendrá problemas para iniciar sesión en *auth2.example.com*.
**Versión de marca**
Al crear un dominio, está configurando una **versión de marca**. Sus opciones son la nueva experiencia de inicio de sesión administrado y la clásica experiencia de interfaz de usuario alojada. Esta opción se aplica a todos los clientes de aplicaciones que alojan servicios en su dominio.
# Uso del dominio de prefijo de Amazon Cognito para el inicio de sesión administrado
La experiencia predeterminada para el inicio de sesión gestionado se aloja en un dominio propietario. AWS Este enfoque tiene pocas barreras de entrada (basta con elegir un nombre de prefijo y estará activo), pero no cuenta con las características que inspiran confianza de un dominio personalizado. El costo es el mismo para ambas opciones de dominio. Solo se diferencian por el dominio de la dirección web a la que dirige a los usuarios. En los casos de redireccionamiento de IdP de terceros y flujos de credenciales de cliente, el dominio apenas tiene un efecto visible. Un dominio personalizado es la mejor opción cuando los usuarios inician sesión con la interfaz de usuario alojada e interactúan con un dominio de autenticación que no coincide con el dominio de la aplicación.
El dominio alojado de Amazon Cognito tiene el prefijo que elija, pero está alojado en el dominio raíz `amazoncognito.com`. A continuación, se muestra un ejemplo:
```
https://cognitoexample.auth.ap-south-1.amazoncognito.com
```
Todos los dominios de prefijo tienen el formato `prefix`.`auth`.*`Región de AWS code`*.`amazoncognito`.`com`. Los grupos de usuarios de [dominios personalizados](cognito-user-pools-add-custom-domain.md) pueden alojar la interfaz de usuario alojada o el inicio de sesión administrado en cualquier dominio que sea de su propiedad.
**nota**
Para aumentar la seguridad de sus aplicaciones de Amazon Cognito, los dominios principales de los puntos de conexión del grupo de usuarios se registran en la [lista pública de sufijos (PSL)](https://publicsuffix.org/). La PSL ayuda a los navegadores web de sus usuarios a establecer una comprensión coherente de los puntos de conexión de su grupo de usuarios y de las cookies que establecen.
Los dominios principales de los grupo de usuarios adoptan los siguientes formatos.
```
auth.Region.amazoncognito.com
auth-fips.Region.amazoncognito.com
```
Para añadir un cliente de aplicación y un dominio de grupo de usuarios con el Consola de administración de AWS, consulte[Creación de un cliente de aplicación](user-pool-settings-client-apps.md#cognito-user-pools-app-idp-settings-console-create).
**Topics**
+ [
## Requisitos previos
](#cognito-user-pools-assign-domain-prefix-prereq)
+ [
## Configuración de un prefijo de dominio de Amazon Cognito
](#cognito-user-pools-assign-domain-prefix-step-1)
+ [
## Verificación de la página de inicio de sesión
](#cognito-user-pools-assign-domain-prefix-verify)
## Requisitos previos
Antes de comenzar, necesitará:
+ Un grupo de usuarios con un cliente de aplicación. Para obtener más información, consulte [Introducción a los grupos de usuarios](getting-started-user-pools.md).
## Configuración de un prefijo de dominio de Amazon Cognito
Puede usar la API Consola de administración de AWS o la AWS CLI o para configurar un dominio de grupo de usuarios.
------
#### [ Amazon Cognito console ]
**Configuración de un dominio**
1. Vaya al menú **Dominio** en **Creación de marca**.
1. Junto a **Dominio**, elija **Acciones** y seleccione **Crear dominio de Cognito**. Si ya ha configurado un dominio de prefijo del grupo de usuarios, seleccione **Eliminar dominio de Cognito** antes de crear su nuevo dominio personalizado.
1. Ingrese un prefijo de dominio disponible para utilizarlo con un **dominio de Amazon Cognito**. Para obtener más información sobre cómo configurar un **dominio personalizado**, consulte [Uso de un dominio propio con el inicio de sesión administrado](cognito-user-pools-add-custom-domain.md).
1. Elija una **Versión de marca**. Su versión de marca se aplica a todas las páginas interactivas para el usuario de ese dominio. Su grupo de usuarios puede alojar el inicio de sesión administrado o la marca de interfaz de usuario alojada para todos los clientes de aplicación.
**nota**
Puede tener un dominio personalizado y un dominio de prefijo, pero Amazon Cognito solo servirá el punto de conexión `/.well-known/openid-configuration` para el dominio *personalizado*.
1. Seleccione **Crear**.
------
#### [ CLI/API ]
Utilice los siguientes comandos para crear un prefijo de dominio y asignarlo al grupo de usuarios.
**Para configurar un dominio de grupo de usuarios**
+ AWS CLI: `aws cognito-idp create-user-pool-domain`
**Ejemplo**: `aws cognito-idp create-user-pool-domain --user-pool-id --domain --managed-login-version 2`
+ Funcionamiento de la API de grupos de usuarios: [CreateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolDomain.html)
**Para obtener información acerca de un dominio**
+ AWS CLI: `aws cognito-idp describe-user-pool-domain`
**Ejemplo**: `aws cognito-idp describe-user-pool-domain --domain `
+ Funcionamiento de la API de grupos de usuarios: [DescribeUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeUserPoolDomain.html)
**Eliminación de un dominio**
+ AWS CLI: `aws cognito-idp delete-user-pool-domain`
**Ejemplo**: `aws cognito-idp delete-user-pool-domain --domain `
+ Funcionamiento de la API de grupos de usuarios: [DeleteUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DeleteUserPoolDomain.html)
------
## Verificación de la página de inicio de sesión
+ Compruebe si la página de inicio de sesión está disponible desde el dominio alojado de Amazon Cognito.
```
https:///login?response_type=code&client_id=&redirect_uri=
```
El dominio aparece en la página **Domain name (Nombre del dominio)** de la consola de Amazon Cognito. El ID del cliente de aplicación y la URL de devolución de llamada se muestran en la página **App client settings** (Configuración del cliente de aplicación).
# Uso de un dominio propio con el inicio de sesión administrado
Después de configurar un cliente de aplicación, puede configurar su grupo de usuarios con un dominio personalizado para los servicios de dominio del [inicio de sesión administrado](cognito-user-pools-managed-login.md). Con un dominio personalizado, los usuarios pueden iniciar sesión en su aplicación con su propia dirección web en lugar del [dominio de prefijo](cognito-user-pools-assign-domain-prefix.md) de `amazoncognito.com`. Los dominios personalizados mejoran la confianza de los usuarios en una aplicación con un nombre de dominio conocido, especialmente cuando el dominio raíz coincide con el dominio que aloja la aplicación. Los dominios personalizados pueden mejorar el cumplimiento de los requisitos de seguridad de la organización.
Un dominio personalizado tiene algunos requisitos previos, como un grupo de usuarios, un cliente de aplicación y un dominio web de su propiedad. Los dominios personalizados también requieren un certificado SSL para el dominio personalizado, administrado con AWS Certificate Manager (ACM) en EE. UU. Este (Norte de Virginia). Amazon Cognito crea una CloudFront distribución de Amazon, asegurada en tránsito con su certificado ACM. Como usted es el propietario del dominio, debe crear un registro DNS que dirija el tráfico a la CloudFront distribución de su dominio personalizado.
Cuando estos elementos estén listos, puede añadir el dominio personalizado a su grupo de usuarios a través de la API o la consola de Amazon Cognito. Esto implica especificar el nombre de dominio y el certificado SSL y, a continuación, actualizar la configuración de DNS con el alias de destino proporcionado. Después de realizar estos cambios, puede comprobar si se puede acceder a la página de inicio de sesión desde el dominio personalizado.
La forma más sencilla de crear un dominio personalizado es con una zona alojada pública en Amazon Route 53. La consola de Amazon Cognito puede crear los registros DNS correctos en unos pocos pasos. Antes de empezar, valore la posibilidad de [crear una zona alojada de Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) para un dominio o subdominio de su propiedad.
**Topics**
+ [
## Adición de un dominio personalizado a un grupo de usuarios
](#cognito-user-pools-add-custom-domain-adding)
+ [
## Requisitos previos
](#cognito-user-pools-add-custom-domain-prereq)
+ [
## Paso 1: Introducir el nombre de dominio personalizado
](#cognito-user-pools-add-custom-domain-console-step-1)
+ [
## Paso 2: Agregar un destino de alias y un subdominio
](#cognito-user-pools-add-custom-domain-console-step-2)
+ [
## Paso 3: Verificar la página de inicio de sesión
](#cognito-user-pools-add-custom-domain-console-step-3)
+ [
## Cambio del certificado SSL en el dominio personalizado
](#cognito-user-pools-add-custom-domain-changing-certificate)
## Adición de un dominio personalizado a un grupo de usuarios
Para agregar un dominio personalizado al grupo de usuarios, debe especificar el nombre de dominio en la consola de Amazon Cognito y proporcionar un certificado que administre con [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/) (ACM). Una vez agregado el dominio, Amazon Cognito ofrece un destino de alias, que debe agregarse a la configuración de DNS.
## Requisitos previos
Antes de comenzar, necesitará:
+ Un grupo de usuarios con un cliente de aplicación. Para obtener más información, consulte [Introducción a los grupos de usuarios](getting-started-user-pools.md).
+ Un dominio web de su propiedad. Su *dominio principal* debe tener un **registro DNS A** válido. Puede asignar cualquier valor a este registro. El elemento principal puede ser la raíz del dominio o un dominio secundario que esté un paso más arriba en la jerarquía de dominios. Por ejemplo, si el dominio personalizado es *auth.xyz.example.com*, Amazon Cognito debe poder resolver *xyz.example.com* a una dirección IP. Para evitar un impacto accidental en la infraestructura del cliente, Amazon Cognito no admite el uso de dominios de nivel superior (TLDs) para dominios personalizados. Para obtener más información, consulte [Nombres de dominio](https://tools.ietf.org/html/rfc1035).
+ Tener la capacidad para crear un subdominio en el dominio personalizado. Le recomendamos **auth** para el nombre de su subdominio. Por ejemplo: *auth.example.com*.
**nota**
Si no dispone de un [certificado comodín](https://en.wikipedia.org/wiki/Wildcard_certificate), es posible que tenga que obtener un nuevo certificado para el subdominio del dominio personalizado.
+ Un SSL/TLS certificado público gestionado por ACM en el este de EE. UU. (Virginia del Norte). El certificado debe estar en us-east-1 porque se asociará a una distribución CloudFront en un servicio global.
+ Clientes de navegador compatibles con la indicación del nombre de servidor (SNI). La CloudFront distribución que Amazon Cognito asigna a los dominios personalizados requiere el SNI. No se puede cambiar esta configuración. Para obtener más información sobre el SNI en CloudFront las distribuciones, consulte [Usar el SNI para atender solicitudes HTTPS en la Guía](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) para desarrolladores de *Amazon CloudFront *.
+ Una aplicación que permite al servidor de autorización del grupo de usuarios añadir cookies a las sesiones de los usuarios. Amazon Cognito establece varias cookies obligatorias para las páginas del inicio de sesión administrado. Entre ellos se encuentran `cognito`, `cognito-fl` y `XSRF-TOKEN`. Si bien cada cookie individual se ajusta a los límites de tamaño del navegador, los cambios en la configuración del grupo de usuarios pueden provocar que las cookies del inicio de sesión administrado aumenten de tamaño. Un servicio intermedio, como un equilibrador de carga de aplicación (ALB), delante del dominio personalizado puede imponer un tamaño máximo de encabezado o un tamaño total de cookies. Si la aplicación también establece sus propias cookies, es posible que las sesiones de los usuarios superen estos límites. Le recomendamos que, para evitar conflictos con los límites de tamaño, su aplicación no establezca cookies en el subdominio que aloja los servicios de dominio de su grupo de usuarios.
+ Permiso para actualizar las CloudFront distribuciones de Amazon. Puede hacerlo adjuntando la siguiente declaración de política de IAM a un usuario en su Cuenta de AWS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCloudFrontUpdateDistribution",
"Effect": "Allow",
"Action": [
"cloudfront:updateDistribution"
],
"Resource": [
"*"
]
}
]
}
```
------
Para obtener más información sobre cómo autorizar acciones en CloudFront, consulte [Uso de políticas basadas en la identidad (políticas de IAM](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/access-control-managing-permissions.html)) para. CloudFront
Amazon Cognito utiliza inicialmente sus permisos de IAM para configurar la CloudFront distribución, pero la gestión de la distribución corre a cargo de. AWS No puede cambiar la configuración de la CloudFront distribución que Amazon Cognito asoció a su grupo de usuarios. Por ejemplo, puede actualizar las versiones de TLS compatibles en la política de seguridad.
## Paso 1: Introducir el nombre de dominio personalizado
Puede agregar el dominio al grupo de usuarios con una API o la consola de Amazon Cognito.
------
#### [ Amazon Cognito console ]
**Para agregar un dominio al grupo de usuarios mediante la consola de Amazon Cognito:**
1. Vaya al menú **Dominio** en **Creación de marca**.
1. Junto a **Dominio**, elija **Acciones** y seleccione **Crear dominio personalizado** o **Crear dominio de Amazon Cognito**. Si ya ha configurado un dominio personalizado del grupo de usuarios, seleccione **Eliminar dominio personalizado** antes de crear su nuevo dominio personalizado.
1. Junto a **Dominio**, elija **Acciones** y seleccione **Crear dominio personalizado**. Si ya ha configurado un dominio personalizado, elija **Eliminar dominio personalizado** para eliminar el dominio existente antes de crear el nuevo dominio personalizado.
1. Para **Custom domain (Dominio personalizado)**, introduzca la URL del dominio que desea utilizar con Amazon Cognito. El nombre de dominio solo puede incluir letras minúsculas, números y guiones. No utilice un guion en el primer carácter ni en el último. Utilice puntos para separar los nombres de los subdominios.
1. En **ACM certificate (Certificado de ACM)**, elija el certificado SSL que desee utilizar con el dominio. Solo los certificados ACM de EE. UU. Este (Virginia del Norte) son aptos para su uso con un dominio personalizado de Amazon Cognito, independientemente Región de AWS del grupo de usuarios.
Si no dispone de un certificado disponible, puede utilizar ACM para aprovisionar uno en EE. UU. Este (Norte de Virginia). Para obtener más información, consulte la [introducción](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) de la *Guía del usuario de AWS Certificate Manager *.
1. Elija una **Versión de marca**. Su versión de marca se aplica a todas las páginas interactivas para el usuario de ese dominio. Su grupo de usuarios puede alojar el inicio de sesión administrado o la marca de interfaz de usuario alojada para todos los clientes de aplicación.
**nota**
Puede tener un dominio personalizado y un dominio de prefijo, pero Amazon Cognito solo servirá el punto de conexión `/.well-known/openid-configuration` para el dominio *personalizado*.
1. Seleccione **Crear**.
1. Amazon Cognito lo devuelve al menú **Dominio**. Se muestra un mensaje titulado **Create an alias record in your domain's DNS (Cree un registro de alias en el DNS de su dominio)**. Anote el **Domain (Dominio)** y el **Alias Target (Destino de alias)** que se muestra en la consola. Se utilizarán en el paso siguiente para dirigir el tráfico a su dominio personalizado.
------
#### [ API ]
El siguiente cuerpo de [CreateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolDomain.html)solicitud crea un dominio personalizado.
```
{
"Domain": "auth.example.com",
"UserPoolId": "us-east-1_EXAMPLE",
"ManagedLoginVersion": 2,
"CustomDomainConfig": {
"CertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
}
```
------
## Paso 2: Agregar un destino de alias y un subdominio
En este paso, configurará un alias mediante el proveedor de servicios de servidor de nombres de dominio (DNS) que apunta al destino de alias del paso anterior. Si utiliza Amazon Route 53 para la resolución de direcciones DNS, elija la sección **To add an alias target and subdomain using Route 53 (Para agregar un destino de alias y un subdominio con Route 53).**
### Para añadir un destino de alias y un subdominio a la configuración de DNS actual
+ Si no utiliza Route 53 para la resolución de direcciones de DNS, entonces debe usar las herramientas de configuración del proveedor de servicios de DNS para agregar el destino de alias del paso anterior al registro del DNS del dominio. El proveedor de DNS también deberá configurar el subdominio para el dominio personalizado.
### Para agregar un destino de alias y un subdominio con Route 53, siga estos pasos:
1. Inicie sesión en la [consola de Route 53](https://console.aws.amazon.com/route53/). Si se le solicita, introduzca sus AWS credenciales.
1. Si no dispone de una zona alojada pública en Route 53, cree una con una raíz que sea la principal de su dominio personalizado. Para obtener más información, consulte [Creating a public hosted zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) en la *Guía para desarrolladores de Amazon Route 53*.
1. Elija **Create Hosted Zone (Crear zona alojada)**.
1. Introduzca el dominio principal, por ejemplo*auth.example.com*, de su dominio personalizado, por ejemplo*myapp.auth.example.com*, de la lista de **nombres de dominio**.
1. Introduzca una **Descripción** para su zona alojada.
1. Elija una zona alojada **Type (Tipo)** de **Public hosted zone (Zona alojada pública)** para permitir que los clientes públicos resuelvan su dominio personalizado. Elegir una **Private hosted zone (Zona alojada privada)** no es compatible.
1. Aplique **Tags (Etiquetas)** como desee.
1. Elija **Crear zona alojada**.
**nota**
También puede crear una nueva zona alojada para su dominio personalizado con una delegación establecida en la zona alojada principal que dirija las consultas a la zona alojada del subdominio. De lo contrario, cree un registro A. Este método ofrece más flexibilidad y seguridad con las zonas alojadas. Para obtener más información, consulte [Creating a subdomain for a domain hosted through Amazon Route 53 (Creación de un subdominio para un dominio alojado mediante Amazon Route 53)](https://aws.amazon.com/premiumsupport/knowledge-center/create-subdomain-route-53/).
1. En la página **Hosted Zones** (Zonas alojadas), elija el nombre de la zona alojada.
1. Agregue un registro DNS para el dominio principal de su dominio personalizado, si aún no dispone de uno. Cree un registro de DNS para el dominio principal con las siguientes propiedades:
+ **Nombre del registro**: déjelo en blanco.
+ **Tipo de registro**: `A`.
+ **Alias**: no lo habilite.
+ **Valor**: introduzca un objetivo de su elección. Este registro debe convertirse en *algo*, pero el valor del registro no le importa a Amazon Cognito.
+ **TTL**: configúrelo en el TTL que prefiera o déjelo como predeterminado.
+ **Política de direccionamiento**: elija **Direccionamiento sencillo**.
1. Elija **Crear registros**. El siguiente es un ejemplo de registro para el dominio*example.com*:
`example.com. 60 IN A 198.51.100.1`
**nota**
Amazon Cognito verifica que haya un registro DNS para el dominio principal de su dominio personalizado para protegerlo contra la apropiación accidental de dominios de producción. Si no tiene un registro DNS para el dominio principal, Amazon Cognito devolverá un error cuando intente establecer el dominio personalizado. Un registro de inicio de autoridad (SOA) no es un registro de DNS suficiente para la verificación del dominio principal.
1. Agregue otro registro de DNS para el dominio personalizado con las siguientes propiedades:
+ **Nombre de registro**: el prefijo de dominio personalizado; por ejemplo, `auth` para crear un registro para `auth.example.com`.
+ **Tipo de registro**: `A`.
+ **Alias**: habilítelo.
+ **Dirigir el tráfico a**: elija **Alias de la distribución de CloudFront**. Introduzca el **Destino de alias** registrado anteriormente, por ejemplo, `123example.cloudfront.net`.
+ **Política de direccionamiento**: elija **Direccionamiento sencillo**.
1. Elija **Crear registros**.
**nota**
Los nuevos registros pueden tardar unos 60 segundos en propagarse a todos los servidores DNS de Route 53. Puede usar el método de la [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)API de Route 53 para comprobar que los cambios se han propagado.
## Paso 3: Verificar la página de inicio de sesión
+ Compruebe que la página de inicio de sesión está disponible desde el dominio personalizado.
Inicie sesión con el dominio personalizado y el subdominio; para ello, introduzca esta dirección en el navegador. Esta es una URL de ejemplo de un dominio personalizado *example.com* con el *auth* subdominio:
```
https://myapp.auth.example.com/login?response_type=code&client_id=&redirect_uri=
```
## Cambio del certificado SSL en el dominio personalizado
Si es necesario, puede utilizar Amazon Cognito para cambiar el certificado que se ha aplicado al dominio personalizado.
Esta operación no suele ser necesaria si se mantiene una renovación rutinaria de certificados con ACM. Cuando se renueva el certificado actual en ACM, el ARN del certificado sigue siendo el mismo, y el nombre de dominio personalizado utiliza el nuevo certificado de manera automática.
Sin embargo, si el certificado actual se sustituye por otro nuevo, ACM proporciona otro ARN al nuevo certificado. Para aplicar el nuevo certificado al dominio personalizado, debe proporcionar este ARN a Amazon Cognito.
Una vez proporcionado el certificado, Amazon Cognito puede necesitar hasta una hora para distribuirlo en el dominio personalizado.
**Antes de empezar**
Para poder cambiar el certificado en Amazon Cognito, debe agregarlo a ACM. Para obtener más información, consulte la [introducción](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) de la *Guía del usuario de AWS Certificate Manager *.
Cuando añada el certificado a ACM, debe seleccionar US East (N. Virginia) [Este de EE. UU. (Norte de Virginia)] como región de AWS .
Puede cambiar el certificado con una API o la consola de Amazon Cognito.
------
#### [ Consola de administración de AWS ]
**Para renovar un certificado mediante la consola de Amazon Cognito:**
1. Inicie sesión en la consola de Amazon Cognito Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/cognito/home](https://console.aws.amazon.com/cognito/home)
1. Elija **User Pools (Grupos de usuarios)**.
1. Elija el grupo de usuarios para el que desea actualizar el certificado.
1. Elija el menú **Dominio**.
1. Elija **Actions (Acciones)**, **Edit ACM certificate (Editar certificado de ACM)**.
1. Seleccione el nuevo certificado que desea asociar a su dominio personalizado.
1. Seleccione **Save changes (Guardar cambios)**.
------
#### [ API ]
**Para renovar un certificado (API de Amazon Cognito)**
+ Utilice la acción [UpdateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolDomain.html).
------
# Aplicación de la creación de marca en las páginas de inicio de sesión administrado
Es posible que desee ofrecer una experiencia de usuario uniforme entre el servicio de autenticación y la aplicación. Puede lograr este objetivo con formularios personalizados y operaciones de API de back-end en un AWS SDK, o con un inicio de sesión administrado. El inicio de sesión administrado y la clásica interfaz de usuario alojada son interfaces web para el componente de la aplicación que sirve de autenticación con grupos de usuarios. Para sincronizar los servicios de autenticación administrada con la experiencia de usuario de la aplicación, dispone de dos opciones de personalización: el editor de marcas y la marca de interfaz de usuario alojada. Puede elegir la experiencia que prefiera en la consola de Amazon Cognito y con las operaciones de API del grupo de usuarios.
**El editor de marcas**
El [editor de marcas](managed-login-brandingeditor.md) es la opción de personalización más reciente para la nueva experiencia de interfaz de usuario de grupos de usuarios, el [inicio de sesión administrado](cognito-user-pools-managed-login.md). El editor de marcas es un editor visual sin código para los activos y el estilo de inicio de sesión administrados, y un conjunto de operaciones de API para la configuración programática de un gran número de opciones de configuración. Los grupos de usuarios que configura con un [dominio](cognito-user-pools-assign-domain.md) y un inicio de sesión administrado muestran automáticamente la versión de diseño de marca de sus páginas de inicio de sesión.
**Marca de interfaz de usuario alojada (clásica)**
La [experiencia de marca de interfaz de usuario alojada (clásica)](hosted-ui-classic-branding.md) tiene dos opciones: modificar un archivo de hojas de estilo en cascada (CSS) con un conjunto fijo de opciones de estilo y añadir una imagen de logotipo personalizada. Puede configurar estas opciones en la consola de Amazon Cognito o con la operación [Set UICustomization](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUICustomization.html) API. Cuando se lanzó el servicio, Amazon Cognito solo tenía esta opción. Los grupos de usuarios que configure con un [dominio](cognito-user-pools-assign-domain.md) y la versión de marca de interfaz de usuario alojada representan automáticamente la versión clásica de sus páginas de inicio de sesión. Es posible que su [plan de características](cognito-sign-in-feature-plans.md) también admita solo la interfaz de usuario alojada.
**nota**
El editor de marcas y la experiencia de marca clásica modifican las propiedades visuales del servicio de autenticación alojado. Actualmente, no puede modificar el texto que se muestra en las páginas de inicio de sesión administrado, excepto para aplicarle la localización en uno de los distintos idiomas. Para obtener más información sobre configuraciones locales, consulte [Localización de inicio de sesión administrado](cognito-user-pools-managed-login.md#managed-login-localization).
## Elección de una experiencia de marca y asignación de estilos
En la consola de Amazon Cognito, los nuevos grupos de usuarios utilizan de forma predeterminada la experiencia de creación de marca **Inicio de sesión administrado**. Los grupos de usuarios que haya configurado antes de que estuviera disponible el inicio de sesión administrado tendrán la creación de marca de **interfaz de usuario alojada (clásica)**. Puede cambiar entre el inicio de sesión administrado y la marca de interfaz de usuario alojada. Cuando cambia su **versión de marca**, Amazon Cognito aplica el cambio inmediatamente a las páginas interactivas para el usuario del dominio de su grupo de usuarios. Con el inicio de sesión administrado y la interfaz de usuario alojada, su grupo de usuarios puede tener un estilo para cada cliente de aplicación.
Cada cliente de aplicación puede tener un *estilo* de marca distinto, pero el dominio de un grupo de usuarios sirve tanto para el inicio de sesión administrado como para la interfaz de usuario alojada. Un estilo es el conjunto de ajustes de personalización que se aplica a un cliente de aplicación. Puede configurar un [dominio personalizado](cognito-user-pools-add-custom-domain.md) y un [dominio con prefijo](cognito-user-pools-assign-domain-prefix.md) por cada grupo de usuarios. Puede asignar diferentes versiones de marca a sus dominios personalizados y con prefijo. Sin embargo, un dominio con prefijo no es completamente funcional cuando también tiene un dominio personalizado: los puntos de conexión de detección del OIDC `.well-known` *solo* presentan rutas de dominio personalizadas. Solo puede usar el dominio con prefijo para operaciones que no requieran la detección de puntos de conexión (`openid-configuration`) en un grupo de usuarios con esta configuración. Gracias a estas propiedades de los grupos de usuarios, puede elegir de forma eficaz una versión de marca por grupo de usuarios.
Puede asignar estilos a los clientes de la aplicación en un grupo de usuarios en el que un dominio esté configurado para la versión de marca de inicio de sesión administrado. Los estilos son un conjunto de ajustes visuales compuesto por archivos de imagen, opciones de visualización y valores CSS. Al asignar un estilo a un cliente de aplicación, Amazon Cognito envía inmediatamente las actualizaciones a las páginas de inicio de sesión interactivas para el usuario. Amazon Cognito renderiza sus páginas interactivas para el usuario con la versión de marca que haya elegido y la personalización que le haya aplicado.
### Actualización y eliminación de estilos
Al crear un estilo, lo vincula a un cliente de aplicación. Para cambiar una asignación de estilo para un cliente de aplicación, primero debe eliminar el estilo original. En la actualidad, no se pueden copiar ajustes entre estilos. Debe hacerlo mediante programación. Para replicar la configuración entre estilos y clientes de aplicaciones, obtenga la configuración de un estilo con la operación de la [DescribeManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeManagedLoginBranding.html)API y aplíquela con [CreateManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateManagedLoginBranding.html)o [UpdateManagedLoginBranding](https://docs.aws.amazon.com/). No puede cambiar los estilos asignados a un cliente de aplicación; solo puede eliminar el original y establecer uno nuevo. Para obtener más información sobre cómo gestionar estilos con operaciones API y SDK, consulte [Operaciones de API y SDK para la creación de marcas de inicio de sesión administrado](managed-login-brandingeditor.md#branding-designer-api).
**nota**
Las solicitudes programáticas que crean o actualizan un estilo de marca no deben tener un tamaño superior a 2 MB. Si su solicitud supera este límite, divídala en varias solicitudes `UpdateManagedLoginBranding` para grupos de parámetros que no superen el tamaño máximo de la solicitud. Estas solicitudes no dan como resultado que los parámetros no especificados se establezcan de forma predeterminada, por lo que puede enviar solicitudes parciales sin que ello afecte a la configuración existente.
Para eliminar un estilo, debe ir a la consola de Amazon Cognito desde el menú **Inicio de sesión administrado**. En **Estilos**, elija el estilo que desee eliminar y **Eliminar estilo**.
En general, el proceso de asignación de la marca a un dominio consta de los pasos siguientes.
1. [Crear un dominio y configurar la versión de marca](cognito-user-pools-assign-domain.md).
1. Crear un estilo de marca y asignarlo a un cliente de aplicación.
**Cómo asignar un estilo a un cliente de aplicación**
1. En el menú **Dominio** de su grupo de usuarios, cree un dominio y configure la **Versión de marca** como **Inicio de sesión administrado**.
1. Navegue hasta el menú **Inicio de sesión administrado**. En **Estilos**, seleccione **Crear un estilo**.
1. Elija el cliente de aplicación al que quiere asignar su estilo o cree un nuevo [cliente de aplicación](user-pool-settings-client-apps.md).
1. Para empezar a configurar los ajustes de marca, seleccione **Iniciar el editor de marca**.
**Topics**
+ [
## Elección de una experiencia de marca y asignación de estilos
](#managed-login-branding-choose)
+ [
# El editor de marca y la personalización del inicio de sesión administrado
](managed-login-brandingeditor.md)
+ [
# Personalización de marca de IU alojada (clásica)
](hosted-ui-classic-branding.md)
# El editor de marca y la personalización del inicio de sesión administrado
El editor de marcas es una herramienta visual de diseño y edición para sus páginas web de inicio de sesión administrado. Está incluido en la consola de Amazon Cognito. En el editor de marcas, puede empezar con una vista previa de sus páginas de inicio de sesión y pasar a una opción de configuración rápida o a una vista detallada con opciones avanzadas. Puede modificar y previsualizar los parámetros de estilo o añadir una imagen de fondo y un logotipo personalizados. Puede configurar el modo claro y el modo oscuro.
![\[Vista previa del editor visual en el editor de marcas para los grupos de usuarios de Amazon Cognito\]](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/hosted-ui-customization-editor-preview.png)
Para empezar, cree un estilo que pueda aplicar a su grupo de usuarios o a un cliente de aplicación.
**Cómo empezar a usar el editor de marcas**
1. [Cree un dominio](cognito-user-pools-assign-domain.md) desde la pestaña **Dominio** o actualice su dominio actual. En **Versión de marca**, configure el dominio para que utilice el **Inicio de sesión administrado**.
1. Elimine el estilo de cliente de aplicación existente si lo hubiera.
1. En el menú **Clientes de aplicación**, seleccione el cliente de aplicación.
1. En **Estilo de inicio de sesión administrado**, seleccione el estilo asignado a su cliente de aplicación.
1. Elija **Eliminar estilo**. Confirme la opción elegida.
1. Navegue hasta el menú **Inicio de sesión administrado** en su grupo de usuarios. Si aún no lo ha hecho, siga las instrucciones para seleccionar un [plan de características](cognito-sign-in-feature-plans.md) que incluya el inicio de sesión administrado. También puede seleccionar **Vista previa de esta característica** si quiere echar un vistazo al editor de marcas sin hacer cambios.
1. En **Estilos**, seleccione **Crear un estilo**.
1. Elija el cliente de aplicación al que desea asignar su estilo y seleccione **Crear**. También puede crear un cliente de aplicación nuevo.
1. La consola de Amazon Cognito lanza el editor de marcas.
1. Elija la pestaña en la que desee empezar a editar o seleccione **Iniciar el editor** e introduzca la [configuración rápida](#branding-designer-quick-setup). Las siguientes pestañas están disponibles:
**Vista previa**
Compruebe cuáles son sus selecciones actuales en las páginas de inicio de sesión administrado.
**Bases**
Establezca un tema general, configure los enlaces a proveedores de identidad externos y aplique estilos a los campos de los formularios.
**Componentes**
Configure estilos para encabezados, pies de página y elementos individuales de la interfaz de usuario.
1. Para tomar decisiones sobre la configuración inicial, introduzca la configuración rápida. Seleccione **Cambiar la categoría de configuración** y elija **Configuración rápida**. Al seleccionar **Proceder**, se abre el editor de marcas con un conjunto de opciones básicas que puede configurar.
## Texto y localización
No es posible modificar ni localizar el texto en el editor de marcas. En lugar de eso, añada un parámetro de consulta `lang` a la URL que distribuye a los usuarios. Este parámetro hace que las páginas de inicio de sesión administrado se traduzcan a uno de los varios idiomas disponibles. Para obtener más información, consulte [Localización de inicio de sesión administrado](cognito-user-pools-managed-login.md#managed-login-localization).
## Configuración rápida
El botón **Iniciar el editor de marcas** carga un editor visual para la configuración de inicio de sesión gestionado, en el que puede seleccionar entre una variedad de opciones de personalización principales. A medida que realiza selecciones, Amazon Cognito muestra los cambios de inicio de sesión administrados en una ventana de vista previa. Para volver al menú de configuración detallado, seleccione el botón **Cambiar la categoría de configuración**.
**En términos generales, ¿cuál debería ser el aspecto y qué sensación debería transmitir?**
Configure los ajustes básicos del tema para el inicio de sesión administrado.
**Modo de visualización**
Elija una experiencia de modo claro, modo oscuro o adaptativa para su inicio de sesión administrado. La configuración adaptativa depende de la preferencia del navegador del usuario cuando Amazon Cognito procesa el inicio de sesión administrado. Si elige un modo adaptable al navegador, puede elegir diferentes colores e imágenes de logotipos para el modo claro y oscuro.
**Spacing**
Establezca el espaciado predeterminado entre los elementos de la página.
**Radio del borde**
Defina la profundidad de redondeo del borde exterior de los elementos.
**¿Cómo debe quedar el fondo de la página?**
**Tipo de fondo**
La casilla **Mostrar imagen** indica si desea una imagen de fondo o establecer un color de fondo sólido.
1. Para usar una imagen, seleccione **Mostrar imagen** y elija una imagen de fondo para los modos claro y oscuro. También puede establecer un **Color de fondo de la página** en modo oscuro y modo claro para las áreas del fondo que no estén cubiertas por la imagen.
1. Para usar solo un color de fondo, quite la selección de **Mostrar imagen** y elija un **color de fondo de la página** en modo claro y oscuro.
**¿Qué aspecto deben tener los formularios?**
Configure los ajustes de los elementos del formulario del inicio de sesión administrado. Algunos ejemplos de elementos de formulario son las solicitudes de inicio de sesión y las solicitudes de código.
**Alineación horizontal**
Establezca la alineación horizontal de los campos del formulario.
**Logotipo del formulario**
Establezca el posicionamiento de la imagen de su logotipo.
**Imagen del logotipo**
Elija un archivo de imagen del logotipo para incluirlo en el elemento del formulario para los modos claro y oscuro. Para cargar una imagen, seleccione el menú desplegable **Imagen del logotipo**, elija **Agregar nuevo activo** y añada un archivo de logotipo.
**Color de marca principal**
Establezca un color de tema para los modos claro y oscuro. Este color se aplicará como color de fondo a todos los elementos clasificados como primarios.
**¿Qué aspecto deben tener los encabezados?**
Elija si quiere incluir un encabezado en sus páginas de inicio de sesión administrado. El encabezado puede contener una imagen de logotipo.
**Logotipo del encabezado**
Establezca la posición de la imagen del logotipo en su encabezado.
**Imagen del logotipo**
Elija una posición del logotipo y un archivo de imagen del logotipo para incluirlos en el encabezado. Para cargar una imagen, seleccione el menú desplegable **Imagen del logotipo**, seleccione **Agregar nuevo activo** y añada un archivo de logotipo.
**Color de fondo del encabezado**
Configure los colores de los modos claro y oscuro para el fondo del encabezado.
## Configuración detallada
En la vista de configuración detallada, puede modificar los componentes individuales de la **base** y los **componentes**. La pestaña **Vista previa** muestra una vista previa del inicio de sesión administrado en el contexto actual con sus personalizaciones.
![\[Consola de administración de AWS Captura de pantalla de la configuración detallada de los componentes de inicio de sesión gestionados.\]](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/hosted-ui-customization-console-preview.png)
Para acceder al editor visual de un componente, elija el icono de edición en el mosaico del componente. Desde el editor del estudio de temas, puede cambiar de un componente a otro con el botón **Cambiar la categoría de configuración**.
### Bases
**Estilos de aplicación**
Configure los aspectos básicos de su configuración de inicio de sesión administrado. Esta categoría tiene ajustes para el tema general, el espaciado del texto y el encabezado y el pie de página.
**Modo de visualización**
Elija una experiencia de modo claro, modo oscuro o adaptativa para sus páginas de inicio de sesión. Si elige un modo adaptable al navegador, puede elegir diferentes colores e imágenes de logotipos para el modo claro y oscuro.
**Spacing**
Establezca el espaciado predeterminado entre los elementos de la página.
**Comportamiento de la autenticación**
Configure los estilos de los botones que conectan a sus usuarios con proveedores de identidad externos (IdPs). Esta sección incluye la opción **Entrada de búsqueda de dominio** para que el administrador solicite a los usuarios una dirección de correo electrónico y la compare con su [identificador de proveedor de identidad SAML](cognito-user-pools-managing-saml-idp-naming.md).
**Comportamiento del formulario**
Configure los estilos de los formularios de entrada: la posición de las entradas, los colores y la alineación de los elementos.
### Componentes
**Botones**
Estilos de los botones que Amazon Cognito representa en las páginas de inicio de sesión administrado.
**Divisor**
Estilos para las líneas divisorias y los límites entre los elementos de inicio de sesión administrado, como el formulario de entrada y el selector de inicio de sesión del proveedor externo.
**Lista desplegable**
Estilos para menús desplegables.
**Icono de favoritos**
Estilos para la imagen que Amazon Cognito proporciona para la pestaña y el icono del marcador.
**Anillos de enfoque**
Estilos para los puntos destacados que indican una entrada actualmente seleccionada.
**Contenedor de formulario**
Estilos de los elementos que delimitan un formulario.
**Pie de página global**
Estilos para el pie de página que Amazon Cognito muestra en la parte inferior de las páginas de inicio de sesión administrado.
**Encabezado global**
Estilos para el encabezado que Amazon Cognito muestra en la parte superior de las páginas de inicio de sesión administrado.
**Indicaciones**
Estilos para los mensajes de error y de éxito.
**Controles de opciones**
Estilos para casillas de verificación, selecciones múltiples y otras peticiones de entrada.
**Fondo de página**
Estilos para el contexto general del inicio de sesión administrado.
**Entradas**
Estilos para las solicitudes de entrada de campos de formulario.
**Link**
Estilos de hipervínculos en las páginas de inicio de sesión administrado.
**Texto para página**
Estilos para el texto de la página.
**Texto para campo**
Estilos del texto alrededor de las entradas del formulario.
## Operaciones de API y SDK para la creación de marcas de inicio de sesión administrado
También puede aplicar la marca a un estilo de inicio de sesión administrado con las operaciones de la API [CreateManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateManagedLoginBranding.html)y [UpdateManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateManagedLoginBranding.html). Estas operaciones son ideales para crear versiones idénticas o ligeramente modificadas de un estilo de marca para otra aplicación, cliente o grupo de usuarios. Consulta la marca de inicio de sesión gestionado de un estilo existente con la operación de API y [DescribeManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeManagedLoginBranding.html), a continuación, modifica el resultado según sea necesario y aplícalo a otro recurso.
La operación `UpdateManagedLoginBranding` no cambia el cliente de aplicación al que se aplica su estilo. Solo actualiza el estilo existente que está asignado a un cliente de aplicación. Para reemplazar por completo el estilo de un cliente de aplicación, elimina el estilo existente con [DeleteManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DeleteManagedLoginBranding.html)y asigna un estilo nuevo con`CreateManagedLoginBranding`. En la consola de Amazon Cognito, ocurre lo mismo: debe eliminar el estilo existente y crear uno nuevo.
Para configurar una marca de inicio de sesión administrado en una solicitud de API o SDK, es necesario que la configuración esté integrada en un archivo JSON que se convierta en un tipo de datos `Document`. A continuación, encontrará directrices sobre las imágenes que puede añadir y para generar solicitudes programáticas a fin de configurar un estilo de marca.
### Administración de imágenes
[CreateManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateManagedLoginBranding.html)e [UpdateManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateManagedLoginBranding.html)incluye un `Assets` parámetro. Este parámetro es una matriz de archivos de imagen en formato binario codificado en base64.
**nota**
Las solicitudes programáticas que crean o actualizan un estilo de marca no deben tener un tamaño superior a 2 MB. Es posible que los elementos de su solicitud hagan que supere este límite. En ese caso, divídala en varias solicitudes `UpdateManagedLoginBranding` para grupos de parámetros que no superen el tamaño máximo de la solicitud. Estas solicitudes no dan como resultado que los parámetros no especificados se establezcan de forma predeterminada, por lo que puede enviar solicitudes parciales sin que ello afecte a la configuración existente.
Algunos recursos tienen limitaciones en cuanto a los tipos de archivos que puede enviar.
****
| Activo | Extensiones de archivo aceptadas |
| --- | --- |
| FAVICON\$1ICO | ico |
| FAVICON\$1SVG | svg |
| EMAIL\$1GRAPHIC | png, svg, jpeg |
| SMS\$1GRAPHIC | png, svg, jpeg |
| AUTH\$1APP\$1GRAPHIC | png, svg, jpeg |
| PASSWORD\$1GRAPHIC | png, svg, jpeg |
| PASSKEY\$1GRAPHIC | png, svg, jpeg |
| PAGE\$1HEADER\$1LOGO | png, svg, jpeg |
| PAGE\$1HEADER\$1BACKGROUND | png, svg, jpeg |
| PAGE\$1FOOTER\$1LOGO | png, svg, jpeg |
| PAGE\$1FOOTER\$1BACKGROUND | png, svg, jpeg |
| PAGE\$1BACKGROUND | png, svg, jpeg |
| FORM\$1BACKGROUND | png, svg, jpeg |
| FORM\$1LOGO | png, svg, jpeg |
| IDP\$1BUTTON\$1ICON | ico, svg |
Los archivos del tipo SVG admiten los siguientes atributos y elementos.
------
#### [ Attributes ]
```
accent-height, accumulate, additivive, alignment-baseline, ascent, attributename, attributetype, azimuth, basefrequency, baseline-shift, begin, bias, by, class, clip, clip-path, clip-rule, color, color-interpolation, color-interpolation-filters, color-profile, color-rendering, cx, cy, d, dx, dy, diffuseconstant, direction, display, divisor, dur, edgemode, elevation, end, fill, fill-opacity, fill-rule, filter, filterunits, flood-color, flood-opacity, font-family, font-size, font-size-adjust, font-stretch, font-style, font-variant, font-weight, fx, fy, g1, g2, glyph-name, glyphref, gradientunits, gradienttransform, height, href, id, image-rendering, in, in2, k, k1, k2, k3, k4, kerning, keypoints, keysplines, keytimes, lang, lengthadjust, letter-spacing, kernelmatrix, kernelunitlength, lighting-color, local, marker-end, marker-mid, marker-start, markerheight, markerunits, markerwidth, maskcontentunits, maskunits, max, mask, media, method, mode, min, name, numoctaves, offset, operator, opacity, order, orient, orientation, origin, overflow, paint-order, path, pathlength, patterncontentunits, patterntransform, patternunits, points, preservealpha, preserveaspectratio, r, rx, ry, radius, refx, refy, repeatcount, repeatdur, restart, result, rotate, scale, seed, shape-rendering, specularconstant, specularexponent, spreadmethod, stddeviation, stitchtiles, stop-color, stop-opacity, stroke-dasharray, stroke-dashoffset, stroke-linecap, stroke-linejoin, stroke-miterlimit, stroke-opacity, stroke, stroke-width, style, surfacescale, tabindex, targetx, targety, transform, text-anchor, text-decoration, text-rendering, textlength, type, u1, u2, unicode, values, viewbox, visibility, vert-adv-y, vert-origin-x, vert-origin-y, width, word-spacing, wrap, writing-mode, xchannelselector, ychannelselector, x, x1, x2, xmlns, y, y1, y2, z, zoomandpan
```
------
#### [ Elements ]
```
svg, a, altglyph, altglyphdef, altglyphitem, animatecolor, animatemotion, animatetransform, audio, canvas, circle, clippath, defs, desc, ellipse, filter, font, g, glyph, glyphref, hkern, image, line, lineargradient, marker, mask, metadata, mpath, path, pattern, polygon, polyline, radialgradient, rect, stop, style, switch, symbol, text, textpath, title, tref, tspan, video, view, vkern, feBlend, feColorMatrix, feComponentTransfer, feComposite, feConvolveMatrix, feDiffuseLighting, feDisplacementMap, feDistantLight, feFlood, feFuncA, feFuncB, feFuncG, feFuncR, feGaussianBlur, feMerge, feMergeNode, feMorphology, feOffset, fePointLight, feSpecularLighting, feSpotLight, feTile, feTurbulence
```
------
### Herramientas para operaciones de creación de marcas de inicio de sesión administrado
Amazon Cognito administra un archivo en [formato de esquema JSON](https://json-schema.org/docs) para el objeto de configuración de marca de inicio de sesión administrado. A continuación, se explica cómo actualizar mediante programación su estilo de marca.
**Cómo actualizar la marca en la API de grupos de usuarios**
1. En la consola de Amazon Cognito, cree un estilo de marca de inicio de sesión administrado y predeterminado desde el menú **Inicio de sesión administrado** de su grupo de usuarios. Asígnelo a un cliente de aplicación.
1. Registre el ID del cliente de aplicación para el que creó el estilo, por ejemplo `1example23456789`.
1. Recupera la configuración del estilo de marca con una solicitud de [DescribeManagedLoginBrandingByClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeManagedLoginBrandingByClient.html)API `ReturnMergedResources` configurada en`true`. A continuación, se muestra un ejemplo de cuerpo de la solicitud .
```
{
"ClientId": "1example23456789",
"ReturnMergedResources": true,
"UserPoolId": "us-east-1_EXAMPLE"
}
```
1. Modifique el resultado de `DescribeManagedLoginBrandingByClient` con sus personalizaciones.
1. El cuerpo de la respuesta está incluido en un elemento `ManagedLoginBranding` que no forma parte de la sintaxis de las operaciones de creación y actualización. Elimine este nivel superior del objeto JSON.
1. Para reemplazar las imágenes, sustituya el valor de `Bytes` por los datos binarios codificados en Base64 de cada archivo de imagen.
1. Para actualizar la configuración, modifique la salida del objeto `Settings` e inclúyala en su próxima solicitud. Amazon Cognito ignora los valores del objeto `Settings` que no estén en el esquema que usted reciba en la respuesta de la API.
1. Usa el cuerpo de la respuesta actualizado en una [UpdateManagedLoginBranding](https://docs.aws.amazon.com/)solicitud [CreateManagedLoginBranding](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateManagedLoginBranding.html)o. Si el tamaño de la solicitud supera los 2 MB, sepárela en varias solicitudes. Estas operaciones funcionan en un modelo `PATCH` en el que la configuración original permanece inalterada a menos que especifique lo contrario.
# Personalización de marca de IU alojada (clásica)
Puedes usar la o la Consola de administración de AWS API para especificar la AWS CLI configuración de personalización clásica para la interfaz de usuario alojada. Puede cargar una imagen de logotipo personalizada para que se muestre en la aplicación. También puede aplicar algunas opciones de hojas de estilo en cascada (CSS) en el aspecto de la IU.
Puede personalizar los valores predeterminados de la interfaz de usuario y anular los [clientes de aplicación](cognito-terms.md#term-appclient) individuales con ajustes específicos. Amazon Cognito aplica la configuración predeterminada a todos los clientes de aplicación que no tienen ajustes en el cliente.
En la consola de Amazon Cognito y en las solicitudes de API, la solicitud que establece la personalización de su IU no debe superar los 135 KB de tamaño. En casos excepcionales, la suma de los encabezados de solicitud, su archivo CSS y su logotipo podría superar los 135 KB. Amazon Cognito codifica el archivo de imagen en Base64. Esto aumenta el tamaño de una imagen de 100 KB a 130 KB, lo que mantiene cinco KB para los encabezados de solicitud y su CSS. Si la solicitud es demasiado grande, la solicitud de `SetUICustomization` API Consola de administración de AWS o la suya devolverá un `request parameters too large` error. Ajuste la imagen de su logotipo para que no supere los 100 KB y su archivo CSS para que no supere los 3 KB. No puede establecer la personalización de CSS y logotipo por separado.
**nota**
Para personalizar su IU, debe establecer un dominio para su grupo de usuarios.
## Especificación de un logotipo personalizado en la marca clásica
Amazon Cognito centra su logotipo personalizado encima de los campos de entrada en el [Punto de conexión Login](login-endpoint.md).
Elija un archivo PNG, JPG o JPEG que pueda escalarse a 350 por 178 píxeles para su logotipo de IU alojado personalizado. El archivo del logotipo no puede tener un tamaño superior a 100 KB o 130 KB después de que Amazon Cognito lo codifique en Base64. Para establecer una entrada `ImageFile` [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUICustomization.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUICustomization.html)en la API, convierta el archivo en una cadena de texto codificada en Base64 o, en el AWS CLI, proporcione una ruta de archivo y deje que Amazon Cognito lo codifique por usted.
## Especificación de personalizaciones con CSS en la creación clásica de marca
Puede personalizar el CSS de las páginas de la aplicación alojada, con las siguientes restricciones:
+ Puede utilizar cualquiera de los siguientes nombres de clase de CSS:
+ `background-customizable`
+ `banner-customizable`
+ `errorMessage-customizable`
+ `idpButton-customizable`
+ `idpButton-customizable:hover`
+ `idpDescription-customizable`
+ `inputField-customizable`
+ `inputField-customizable:focus`
+ `label-customizable`
+ `legalText-customizable`
+ `logo-customizable`
+ `passwordCheck-valid-customizable`
+ `passwordCheck-notValid-customizable`
+ `redirect-customizable`
+ `socialButton-customizable`
+ `submitButton-customizable`
+ `submitButton-customizable:hover`
+ `textDescription-customizable`
+ Los valores de propiedad pueden contener HTML, excepto los siguientes valores: `@import`, `@supports`, `@page`, o bien instrucciones de `@media` o Javascript.
Puede personalizar las siguientes propiedades CSS.
**Etiquetas**
+ **font-weight (peso de fuente)** es un múltiplo de 100 entre 100 y 900.
+ **color** es el color del texto. Debe ser un [valor de color CSS legal](https://www.w3schools.com/cssref/css_colors_legal.php).
**Campos de entrada**
+ **width (anchura)** es la anchura del bloque contenedor como un porcentaje.
+ **height (altura)** es la altura del campo de entrada en píxeles (px).
+ **color** es el color del texto. Puede ser cualquier valor de color CSS estándar.
+ **background-color (color de fondo)** es el color de fondo del campo de entrada. Puede ser cualquier valor de color CSS estándar.
+ **border (borde)** es un valor de borde CSS estándar que especifica la anchura, la transparencia y el color del borde de la ventana de la aplicación. La anchura puede ser cualquier valor entre 1 px y 100 px. La transparencia puede ser sólida o ninguna. El color puede ser cualquier valor de color estándar.
**Descripciones de texto**
+ **padding-top (relleno superior)** es la cantidad de relleno por encima de la descripción de texto.
+ **padding-bottom (relleno inferior)** es la cantidad de relleno por debajo de la descripción de texto.
+ **display (visualización)** puede ser `block` o `inline`.
+ **font-size (tamaño de fuente)** es el tamaño de fuente de las descripciones de texto.
+ **color** es el color del texto. Debe ser un [valor de color CSS legal](https://www.w3schools.com/cssref/css_colors_legal.php).
**Botón de envío**
+ **font-size (tamaño de fuente)** es el tamaño de fuente del botón de envío.
+ **font-weight (peso de fuente)** es el peso de fuente del texto del botón: `bold`, `italic` o `normal`.
+ **margen** es una cadena de cuatro valores que indica el tamaño de margen de las partes superior, inferior, derecha e izquierda del botón.
+ **font-size (tamaño de fuente)** es el tamaño de fuente de las descripciones de texto.
+ **width (anchura)** es la anchura del texto del botón como porcentaje del bloque contenedor.
+ **height (altura)** es la altura del botón en píxeles (px).
+ **color** es el color del texto del botón. Puede ser cualquier valor de color CSS estándar.
+ **background-color (color de fondo)** es el color de fondo del botón. Puede ser cualquier valor de color estándar.
**Banner**
+ **relleno** es una cadena de cuatro valores que indica el tamaño del relleno de las partes superior, inferior, derecha e izquierda del banner.
+ **background-color (color de fondo)** es el color de fondo del banner. Puede ser cualquier valor de color CSS estándar.
**Ajustes al mantener el puntero sobre el botón de envío**
+ **color** es el color de primer plano del botón al pasar el puntero sobre él. Puede ser cualquier valor de color CSS estándar.
+ **background-color (color de fondo)** es el color de fondo del botón al pasar el puntero sobre él. Puede ser cualquier valor de color CSS estándar.
**Ajustes al mantener el puntero sobre el botón de proveedor de identidad**
+ **color** es el color de primer plano del botón al pasar el puntero sobre él. Puede ser cualquier valor de color CSS estándar.
+ **background-color (color de fondo)** es el color de fondo del botón al pasar el puntero sobre él. Puede ser cualquier valor de color CSS estándar.
**Comprobación de contraseña no válida**
+ **color** es el color del texto del mensaje `"Password check not valid"`. Puede ser cualquier valor de color CSS estándar.
**Introducción**
+ **background-color (color de fondo)** es el color de fondo de la ventana de la aplicación. Puede ser cualquier valor de color CSS estándar.
**Mensajes de error**
+ **margen** es una cadena de cuatro valores que indica el tamaño de margen de las partes superior, inferior, derecha e izquierda.
+ **padding (relleno)** es el tamaño del relleno.
+ **font-size (tamaño de fuente)** es el tamaño de la fuente.
+ **width (anchura)** es la anchura del mensaje de error como porcentaje del bloque contenedor.
+ **background-color (color de fondo)** es el color de fondo del mensaje de error. Puede ser cualquier valor de color CSS estándar.
+ **borde** es una cadena de tres valores que especifica el ancho, la transparencia y el color del borde.
+ **color** es el color del texto del mensaje de error. Puede ser cualquier valor de color CSS estándar.
+ **box-sizing (tamaño de cuadro)** se utiliza para indicar al navegador qué deben incluir las propiedades de tamaño (anchura y altura).
**Botones de proveedor de identidad**
+ **height (altura)** es la altura del botón en píxeles (px).
+ **width (anchura)** es la anchura del texto del botón como porcentaje del bloque contenedor.
+ **text-align (alineación de texto)** es el ajuste de alineación del texto. Puede ser `left`, `right`, o `center`.
+ **margin-bottom (margen inferior)** es el ajuste del margen inferior.
+ **color** es el color del texto del botón. Puede ser cualquier valor de color CSS estándar.
+ **background-color (color de fondo)** es el color de fondo del botón. Puede ser cualquier valor de color CSS estándar.
+ **border-color (color de borde)** es el color de borde del botón. Puede ser cualquier valor de color CSS estándar.
**Descripciones de proveedor de identidad**
+ **padding-top (relleno superior)** es la cantidad de relleno por encima de la descripción.
+ **padding-bottom (relleno inferior)** es la cantidad de relleno por debajo de la descripción.
+ **display (visualización)** puede ser `block` o `inline`.
+ **font-size (tamaño de fuente)** es el tamaño de fuente de las descripciones.
+ El **color** es el color del texto de los encabezados de las secciones del IdP, por ejemplo, **Iniciar sesión con su ID corporativo**. Debe ser un [valor de color CSS legal](https://www.w3schools.com/cssref/css_colors_legal.php).
**Texto legal**
+ **color** es el color del texto. Puede ser cualquier valor de color CSS estándar.
+ **font-size (tamaño de fuente)** es el tamaño de la fuente.
Cuando personaliza **texto legal**, está personalizando el mensaje. **No publicaremos nada en ninguna de sus cuentas sin pedir antes** que se muestre en los proveedores de identidad social en la página de inicio de sesión.
**Logo**
+ **max-width (anchura máx.)** es la anchura máxima como porcentaje del bloque contenedor.
+ **max-height (altura máx.)** es la altura máxima como porcentaje del bloque contenedor.
+ El **color de fondo** es el color del fondo de los registros con secciones transparentes. Debe ser un [valor de color CSS legal](https://www.w3schools.com/cssref/css_colors_legal.php).
**Foco del campo de entrada**
+ **border-color (color de borde)** es el color del campo de entrada. Puede ser cualquier valor de color CSS estándar.
+ **outline (contorno)** es la anchura del borde del campo de entrada en píxeles (px).
**Botones sociales**
+ **height (altura)** es la altura del botón en píxeles (px).
+ **text-align (alineación de texto)** es el ajuste de alineación del texto. Puede ser `left`, `right`, o `center`.
+ **width (anchura)** es la anchura del texto del botón como porcentaje del bloque contenedor.
+ **margin-bottom (margen inferior)** es el ajuste del margen inferior.
**Comprobación de contraseña válida**
+ **color** es el color del texto del mensaje `"Password check valid"`. Puede ser cualquier valor de color CSS estándar.
## Personalización de la interfaz de usuario alojada con la marca clásica en Consola de administración de AWS
Puede usar el Consola de administración de AWS para especificar la configuración de personalización de la interfaz de usuario para su aplicación.
**nota**
Para ver la interfaz de usuario alojada y sus personalizaciones, escriba en un navegador la siguiente URL con los datos específicos de su grupo de usuarios: ` https:///login?response_type=code&client_id=&redirect_uri=` Posiblemente deba esperar hasta un minuto para actualizar la ventana del navegador y que aparezcan los cambios realizados en la consola.
Su dominio aparece en la pestaña **App integration (Integración de aplicaciones)** en **Domain (Dominio)**. Su ID de cliente de aplicación y URL de devolución de llamada aparecen en **App clients (Clientes de la aplicación)**.
**Para especificar la configuración de personalización de la interfaz de usuario**
1. Inicie sesión en la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home).
1. En el panel de navegación, elija **User Pools (Grupos de usuarios)**, y elija el grupo de usuarios que desea editar.
1. [Cree un dominio](cognito-user-pools-assign-domain.md) desde la pestaña **Dominio** o actualice su dominio actual. En la **Versión de marca**, configure su dominio para que utilice la **Interfaz de usuario alojada (clásica)**.
1. Seleccione el menú **Inicio de sesión administrado**.
1. Para personalizar la configuración de la IU de todos los clientes de aplicación, busque **Estilo** en **Configuración de la interfaz de usuario alojada** y seleccione **Editar**.
1. Para personalizar la configuración de la interfaz de usuario de un cliente de aplicación, vaya al menú **Clientes de aplicación** y seleccione el cliente de aplicación que desee modificar; luego, busque **Estilo de interfaz de usuario alojada (clásico)** y seleccione **Anular**. Seleccione **Editar**.
1. Para cargar su propio archivo de imagen de logotipo, elija **Choose file (Elegir archivo)** o bien **Replace current file (Reemplazar el archivo actual)**.
1. Para personalizar CSS de la interfaz de usuario alojada, descargue **CSS template.css** y modifique la plantilla con los valores que quiera personalizar. Solo las claves incluidas en la plantilla se pueden utilizar con la IU alojada. Las claves CSS añadidas no se reflejarán en la IU. Después de personalizar el archivo CSS, elija **Choose file (Elegir archivo)** o **Replace current file (Reemplazar archivo actual)** para cargar su archivo CSS personalizado.
## Personalizar la interfaz de usuario alojada con la marca clásica en la API de grupos de usuarios y con la AWS CLI
Utilice los siguientes comandos para especificar la configuración de la personalización de interfaz de usuario de la aplicación para su grupo de usuarios.
**Para obtener la configuración de personalización de la IU de aplicación integrada de un grupo de usuarios, utilice las siguientes operaciones de API.**
+ AWS CLI: `aws cognito-idp get-ui-customization`
+ AWS API: [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUICustomization.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUICustomization.html)
**Para establecer la configuración de personalización de la IU de aplicación integrada de un grupo de usuarios, utilice las siguientes operaciones de API.**
+ AWS CLI del archivo de imagen: `aws cognito-idp set-ui-customization --user-pool-id --client-id --image-file fileb://"" --css ".label-customizable{ color: ;}"`
+ AWS CLI con la imagen codificada como texto binario en Base64: `aws cognito-idp set-ui-customization --user-pool-id --client-id --image-file --css ".label-customizable{ color: ;}"`
+ AWS API: [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUICustomization.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUICustomization.html)