Características del plan Essentials - Amazon Cognito
Personalización del token de accesoMFA de correo electrónicoPrevención de la reutilización de contraseñasInicio de sesión administradoAutenticación basada en opciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Características del plan Essentials

El plan de características Essentials incluye la mayoría de las mejores y más recientes características de los grupos de usuarios de Amazon Cognito. Al cambiar del plan Lite al Essentials, obtendrá nuevas características para sus páginas de inicio de sesión administrado, una autenticación multifactor con contraseñas de un solo uso para los mensajes de correo electrónico, una política de contraseñas mejorada y tokens de acceso personalizados. Para seguir utilizando up-to-date las nuevas funciones del grupo de usuarios, elija el plan Essentials para sus grupos de usuarios.

En las siguientes secciones se presenta un breve resumen de las características que puede añadir a su aplicación con el plan Essentials. Para obtener información detallada, consulte las siguientes páginas.

Recursos adicionales

Personalización del token de acceso

Los tokens de acceso del grupo de usuarios otorgan permisos a las aplicaciones para acceder a una API, para recuperar los atributos de usuario del punto de conexión de userInfo o para establecer la pertenencia a un grupo de un sistema externo. En situaciones avanzadas, puede que desee añadir al token de acceso predeterminado datos del directorio del grupo de usuarios con parámetros temporales adicionales que la aplicación determine en tiempo de ejecución. Es posible, por ejemplo, que desee verificar los permisos de API de un usuario con Amazon Verified Permissions y ajustar debidamente los ámbitos en el token de acceso.

El plan Essentials se suma a las funciones ya existentes de un desencadenador Antes de la generación del token. Con los planes de nivel inferior, puede personalizar los tokens de ID con reclamaciones, roles y pertenencia a grupos adicionales. Essentials añade nuevas versiones del evento de desencadenador que personalizan las notificaciones, los roles, la pertenencia a grupos y los ámbitos de los tokens de acceso. La personalización del token de acceso está disponible para las credenciales de los clientes machine-to-machine (M2M) que se otorgan con la tercera versión del evento.

Personalización de tokens de acceso

  1. Seleccione el plan de características Essentials o Plus.

  2. Cree una función de Lambda para el desencadenador. Para usar nuestra función de ejemplo, configúrela para Node.js.

  3. Rellene la función de Lambda con nuestro código de ejemplo o cree el suyo propio. La función debe procesar un objeto de solicitud de Amazon Cognito y devolver los cambios que desee incluir.

  4. Asigne la nueva función como un desencadenador Antes de la generación del token en la versión 2 o 3. Los eventos de la versión 2 personalizan los tokens de acceso para las identidades de los usuarios. La versión 3 personaliza los tokens de acceso para las identidades de usuario y máquina.

Más información

MFA de correo electrónico

Los grupos de usuarios de Amazon Cognito se pueden configurar para utilizar el correo electrónico como segundo factor en la autenticación multifactor (MFA). Con la MFA de correo electrónico, Amazon Cognito puede enviar a los usuarios un correo electrónico con un código de verificación que deben introducir para completar el proceso de autenticación. Esto añade una importante capa adicional de seguridad al flujo de inicio de sesión de los usuarios. Para habilitar la MFA basada en correo electrónico, el grupo de usuarios debe estar configurado para usar la configuración de envío de correo electrónico de Amazon SES en lugar de la configuración de correo electrónico predeterminada.

Cuando el usuario selecciona la MFA por mensaje de correo electrónico, Amazon Cognito envía un código de verificación único a la dirección de correo electrónico registrada del usuario cada vez que intente iniciar sesión. A continuación, el usuario debe devolver ese código al grupo de usuarios para completar el flujo de autenticación y obtener acceso. Esto garantiza que, incluso si el nombre de usuario y la contraseña de un usuario están comprometidos, este debe proporcionar un factor adicional (el código enviado por correo electrónico) para poder acceder a los recursos de la aplicación.

Para obtener más información, consulte MFA con mensajes SMS y correo electrónico. A continuación, se ofrece información general sobre cómo configurar el grupo de usuarios y los usuarios para la MFA de correo electrónico.

Cómo configurar la MFA de correo electrónico en la consola de Amazon Cognito

  1. Seleccione el plan de características Essentials o Plus.

  2. En el menú de inicio de sesión de su grupo de usuarios, edite la autenticación multifactor.

  3. Elija el nivel de Cumplimiento de MFA que desee configurar. Con Requerir MFA, los usuarios de la API reciben automáticamente un desafío para configurar, confirmar e iniciar sesión mediante una MFA. En los grupos de usuarios que requieren MFA, el inicio de sesión administrado les solicita que elijan y configuren un factor MFA. Con la opción MFA opcional, la aplicación debe ofrecer a los usuarios la posibilidad de configurar la MFA y establecer las preferencias del usuario para la MFA por correo electrónico.

  4. En Métodos de MFA, seleccione Mensaje de correo electrónico como una de las opciones.

Más información

Prevención de la reutilización de contraseñas

De forma predeterminada, la política de contraseñas de los grupos de usuarios de Amazon Cognito establece los requisitos de longitud y tipo de caracteres de las contraseñas y su caducidad temporal. El plan Essentials añade la capacidad de aplicar el historial de contraseñas. Cuando un usuario intenta restablecer la contraseña, el grupo de usuarios puede impedir que la configure con una contraseña anterior. Para obtener más información acerca de la configuración de la política de contraseñas, consulte Adición de requisitos de contraseña para los grupos de usuarios. A continuación, se ofrece información general sobre cómo configurar un grupo de usuarios con una política de historial de contraseñas.

Cómo configurar el historial de contraseñas en la consola de Amazon Cognito

  1. Seleccione el plan de características Essentials o Plus.

  2. En el menú Métodos de autenticación de su grupo de usuarios, busque la Política de contraseñas y seleccione Editar.

  3. Configure otras opciones disponibles y establezca un valor para Impedir el uso de contraseñas utilizadas anteriormente.

Más información

Servidor de autorización e inicio de sesión administrado y alojado

Los grupos de usuarios de Amazon Cognito tienen páginas web opcionales que admiten las siguientes funciones: un IdP de OpenID Connect (OIDC), un proveedor de servicios o una parte de confianza de un IdPs tercero y páginas públicas interactivas para los usuarios para registrarse e iniciar sesión. Estas páginas se denominan colectivamente inicio de sesión administrado. Cuando elige un dominio para su grupo de usuarios, Amazon Cognito activa automáticamente estas páginas. Mientras que el plan Lite tiene la interfaz de usuario alojada, el plan Essentials abre esta versión avanzada de las páginas de registro e inicio de sesión.

Las páginas de inicio de sesión administradas tienen una up-to-date interfaz limpia con más funciones y opciones para personalizar su marca y sus estilos. El plan Essentials es el nivel de plan más bajo para poder desbloquear el acceso al inicio de sesión administrado.

Cómo configurar el inicio de sesión administrado en la consola de Amazon Cognito.

  1. En el menú Configuración, seleccione el plan de características Essentials o Plus.

  2. En el menú Dominio, asigne un dominio a su grupo de usuarios y seleccione una versión de marca del inicio de sesión administrado.

  3. En el menú de inicio de sesión administrado, en la pestaña Estilos, seleccione Crear un estilo y asígnelo a un cliente de aplicación o cree un nuevo cliente de aplicación.

Más información

Autenticación basada en opciones

El nivel Essentials introduce un nuevo flujo de autenticación para las operaciones de autenticación en la interfaz de usuario mejorada y las operaciones de API basadas en el SDK. Este flujo consiste en la autenticación basada en opciones. La autenticación basada en opciones es un método en el que la autenticación de los usuarios no comienza con una declaración de un método de inicio de sesión en la aplicación, sino con una consulta de los posibles métodos de inicio de sesión seguida de una elección. Puede configurar su grupo de usuarios para que admita la autenticación basada en opciones y desbloquee la autenticación con nombre de usuario y contraseña, sin contraseña y con clave de acceso. En la API, este es el flujo USER_AUTH.

Configuración de la autenticación basada en opciones en la consola de Amazon Cognito

  1. Seleccione el plan de características Essentials o Plus.

  2. En el menú de inicio de sesión de su grupo de usuarios, edite las Opciones para el inicio de sesión basado en opciones. Seleccione y configure los métodos de autenticación que desee habilitar en la autenticación basada en opciones.

  3. En el menú Métodos de autenticación de su grupo de usuarios, edite la configuración de las operaciones de inicio de sesión.

Más información