Creación de cuentas de usuario como administrador - Amazon Cognito
Flujos de autenticación de usuarios y creación de usuariosCreación de usuarios sin contraseñasCreación de usuarios que proporcionen los valores de los atributos obligatorios más adelanteCreación de un usuario nuevo en la Consola de administración de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de cuentas de usuario como administrador

Los grupos de usuarios no son solo un directorio de usuarios de administración de acceso e identidad de los clientes (CIAM) donde cualquier usuario de Internet puede registrarse para obtener un perfil de usuario en su aplicación. Puede deshabilitar el registro de autoservicio. Es posible que ya conozca a los clientes y solo desee admitir a aquellos que hayan sido autorizados previamente. Puede colocar barreras de protección de autenticación manual en torno a su aplicación con un proveedor de identidades SAML 2.0 u OIDC privado, importando usuarios, filtrándolos al registrarse o creando usuarios mediante operaciones administrativas de API. El flujo de trabajo de creación administrativa de los usuarios puede ejecutarse mediante programación, aprovisionando a los usuarios después de que se hayan registrado en otro sistema, o puede llevarse a cabo caso por caso o mediante pruebas en la consola de Amazon Cognito.

Al crear usuarios como administrador, Amazon Cognito establece una contraseña temporal para dichos usuarios y les envía un mensaje de bienvenida o de invitación. Los usuarios pueden seguir el enlace del mensaje de invitación e iniciar sesión por primera vez, establecer una contraseña y confirmar su cuenta. En la siguiente página se describe cómo crear usuarios nuevos y configurar el mensaje de bienvenida. Para obtener más información sobre la creación de usuarios con la API de grupos de usuarios y un AWS SDK o CDK, consulte AdminCreateUser.

Después de crear el grupo de usuarios, puede crear usuarios con la Consola de administración de AWS, así como el AWS Command Line Interface o la API de Amazon Cognito. Puede crear un perfil para un usuario nuevo de un grupo de usuarios y enviar un mensaje de bienvenida con instrucciones de inscripción al usuario a través de SMS o correo electrónico.

Los siguientes son algunos ejemplos de cómo los administradores pueden administrar los usuarios en los grupos de usuarios.

  • Crear un perfil de usuario nuevo en la consola de Amazon Cognito o con la operación de la API AdminCreateUser.

  • Poner a disposición de su grupo de usuarios y del cliente de aplicación los flujos de autenticación con nombre de usuario y contraseña, sin contraseña, con clave de acceso y personalizados.

  • Establezca los valores de los atributos de usuario.

  • Cree atributos personalizados.

  • Establecer el valor de los atributos personalizados inmutables en las solicitudes de API de AdminCreateUser. Esta característica no está disponible en la consola de Amazon Cognito.

  • Especificar una contraseña temporal, crear un usuario sin contraseña o permitir que Amazon Cognito genere una contraseña automáticamente.

  • Crear nuevos usuarios y confirmar automáticamente sus cuentas, verificar sus direcciones de correo electrónico o sus números de teléfono.

  • Especificar mensajes personalizados de invitación por SMS y correo electrónico para nuevos usuarios a través de los desencadenadores Consola de administración de AWS o Lambda como mensajes personalizados, remitentes de SMS personalizados y remitentes de correo electrónico personalizados.

  • Especificar si los mensajes de la invitación se envían mediante SMS, correo electrónico o ambos.

  • Volver a enviar el mensaje de bienvenida a un usuario existente llamando al API AdminCreateUser y especificando RESEND para el parámetro MessageAction.

  • Suprimir el envío del mensaje de invitación cuando se crea el usuario.

  • Especificar un límite de tiempo de caducidad de hasta 90 días para las cuentas de usuario nuevas.

  • Permitir a los usuarios inscribirse o requerir que solo el administrador añada a los usuarios nuevos.

Los administradores también pueden iniciar sesión con las credenciales de AWS en una aplicación en el servidor. Para obtener más información, consulte Modelos de autorización para la autenticación de API y SDK.

Flujos de autenticación de usuarios y creación de usuarios

La creación administrativa de usuarios tiene opciones que varían según la configuración del grupo de usuarios. Los flujos de autenticación, o los métodos disponibles para los usuarios para el inicio de sesión y la MFA, pueden cambiar la forma en que se crean los usuarios y los mensajes que se les envían. A continuación, se muestran algunos flujos de autenticación que están disponibles en los grupos de usuarios.

  • Nombre de usuario y contraseña

  • Clave de acceso

  • Inicio de sesión con IdP de terceros

  • Contraseñas de un solo uso (OTP) por correo o SMS sin contraseña establecida

  • Autenticación multifactor con correo electrónico, SMS y OTP de la aplicación de autenticación

  • Autenticación personalizada con activadores de Lambda

Para obtener más información sobre cómo configurar estos factores de inicio de sesión, consulte Autenticación con grupos de usuarios de Amazon Cognito.

Creación de usuarios sin contraseñas

Si ha activado el inicio de sesión sin contraseña en su grupo de usuarios, puede crear usuarios sin contraseñas. Para crear un usuario sin contraseña, debe proporcionar valores de atributo para un factor de inicio de sesión sin contraseña disponible. Por ejemplo, si el inicio de sesión con OTP por correo sin contraseña establecida está disponible en su grupo de usuarios, puede crear un usuario sin contraseña y con un atributo de dirección de correo electrónico. Si los únicos flujos de autenticación disponibles para los nuevos usuarios requieren una contraseña, por ejemplo, una clave de acceso o un nombre de usuario-contraseña, debe crear o generar una contraseña temporal para cada usuario nuevo.

Cómo crear un usuario nuevo sin contraseña

  • Seleccione No establecer una contraseña en la consola de Amazon Cognito

  • Omita o deje en blanco el parámetro TemporaryPassword de su solicitud de API AdminCreateUser

Los usuarios sin contraseña se confirman automáticamente

Normalmente, los nuevos usuarios obtienen una contraseña temporal y pasan a un estado FORCE_CHANGE_PASSWORD al crearlos. Cuando se crean usuarios sin contraseñas, pasan inmediatamente a un estado CONFIRMED. No puede reenviar los códigos de confirmación a estos usuarios en el estado CONFIRMED.

Los mensajes de invitación cambian para los usuarios sin contraseñas.

De forma predeterminada, Amazon Cognito envía un mensaje de invitación a los nuevos usuarios que dice Your username is {userName} and your password is {####}. Cuando crea usuarios sin contraseña, el mensaje dice Your username is {userName}. Personalice el mensaje de invitación para indicar si va a establecer contraseñas para los usuarios. Omita la variable de contraseña {####} en los modelos de autenticación sin contraseña.

No se pueden generar contraseñas automáticamente cuando hay factores sin contraseña disponibles

Si ha configurado su grupo de usuarios para que admita el inicio de sesión OTP por correo o teléfono sin contraseña establecida, no podrá generar una contraseña automáticamente. Para cada usuario que vaya a tener una contraseña, debe establecer una contraseña temporal al crear su perfil.

Los usuarios sin contraseña deben tener valores para todos los atributos obligatorios

Al crear un usuario sin contraseña, la solicitud solo es válida si el usuario proporciona valores para todos los atributos que ha marcado como obligatorios en el grupo de usuarios. Esto se aplica a cualquier atributo obligatorio, no solo a los atributos de número de teléfono y correo electrónico necesarios para la entrega mediante una OTP.

Creación de usuarios que proporcionen los valores de los atributos obligatorios más adelante

Es posible que desee requerir atributos en su grupo de usuarios, pero recopilarlos después de crear los usuarios de forma administrativa, durante la interacción de los usuarios en su aplicación. Los administradores pueden omitir los valores de los atributos obligatorios al crear usuarios con contraseñas temporales. No puede omitir los valores de los atributos obligatorios para los usuarios sin contraseña.

Los usuarios a los que les falten valores en los atributos obligatorios y que tengan una contraseña temporal reciben el comando NEW_PASSWORD_REQUIRED al iniciar sesión por primera vez. A continuación, pueden proporcionar un valor para los atributos obligatorios que faltan en el parámetro requiredAttributes. Solo puede crear usuarios con contraseñas y sin los atributos necesarios si todos los atributos necesarios son mutables. Los usuarios solo pueden completar el inicio de sesión con desafíos NEW_PASSWORD_REQUIRED y valores de atributos obligatorios si los atributos necesarios se pueden escribir desde el cliente de aplicación con el que inician sesión.

Cuando establece una contraseña permanente para un usuario creado por el administrador, su estado cambia a CONFIRMED y su grupo de usuarios no les pide una nueva contraseña ni los atributos obligatorios la primera vez que inician sesión.

Creación de un usuario nuevo en la Consola de administración de AWS

Puede establecer requisitos de contraseña de usuario, configurar los mensajes de invitación y verificación enviados a los usuarios y agregar nuevos usuarios con la consola de Amazon Cognito.

Establecer una política de contraseñas y habilitar el autorregistro

Puede configurar los ajustes para que la complejidad de las contraseñas sea mínima y para que los usuarios puedan registrarse mediante API públicas en su grupo de usuarios.

Configurar una política de contraseñas

  1. Vaya a la consola de Amazon Cognito y elija User Pools (Grupos de usuarios).

  2. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  3. Seleccione el menú Métodos de autenticación y busque la Política de contraseñas. Elija Edit (Editar).

  4. Elija un Password policy mode (Modo de política de contraseñas) de Custom (Personalizado).

  5. Elija una Password minimum length (Longitud mínima de la contraseña). Para conocer los límites del requisito de longitud de la contraseña, consulte Cuotas de recursos de grupos de usuarios.

  6. Elija un requisito de Password complexity (Complejidad de la contraseña).

  7. Elija durante cuánto tiempo debe ser válida la contraseña establecida por los administradores.

  8. Elija Save changes (Guardar cambios).

Permitir registro de autoservicio

  1. Vaya a la consola de Amazon Cognito y elija User Pools (Grupos de usuarios).

  2. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  3. Elija el menú Registro y busque Registro automático. Seleccione Edit (Editar).

  4. Elija si desea activar la opción Enable self-registration (Habilitar el autorregistro). El autorregistro se utiliza normalmente con clientes de aplicaciones públicas que necesitan registrar nuevos usuarios en el grupo de usuarios sin distribuir un secreto de cliente o credenciales de API AWS Identity and Access Management (IAM).

    Desactivación del autorregistro

    Si no se habilita el autorregistro, se deben crear nuevos usuarios mediante acciones de API administrativas con credenciales API de AMI o iniciando sesión con proveedores federados.

  5. Seleccione Save changes (Guardar cambios).

Personalizar mensajes de correo electrónico y SMS

Personalizar mensajes de usuario

Puede personalizar los mensajes que Amazon Cognito envía a los usuarios cuando los invita a iniciar sesión, cuando se registran para obtener una cuenta de usuario o cuando inician sesión y se les solicita autenticación multifactor (MFA).

nota

Se envía un Invitation message (Mensaje de invitación) al crear un usuario en el grupo de usuarios e invitarlo a iniciar sesión. Amazon Cognito envía información de inicio de sesión inicial a la dirección de correo electrónico o el número de teléfono del usuario.

Se envía un Verification message (Mensaje de verificación) cuando un usuario se registra para obtener una cuenta de usuario en el grupo de usuarios. Amazon Cognito envía un código al usuario. Cuando el usuario proporciona el código a Amazon Cognito, verifica su información de contacto y confirma la cuenta para iniciar sesión. Los códigos de verificación son válidos durante 24 horas.

Se envía un MFA message (Mensaje de MFA) cuando se habilita la MFA por SMS en el grupo de usuarios, y un usuario que ha configurado MFA por SMS inicia sesión y se le solicita MFA.

  1. Vaya a la consola de Amazon Cognito y elija User pools (Grupos de usuarios).

  2. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  3. Elija el menú Plantillas de mensajes y seleccione Mensaje de verificación, Mensaje de invitación o Mensaje de MFA y seleccione Editar.

  4. Personalice los mensajes en función del tipo de mensaje elegido.

    nota

    Todas las variables de las plantillas de mensajes deben incluirse al personalizar el mensaje. Si, por ejemplo, no se incluye la variable {####}, el usuario no tendrá información suficiente para completar la acción de mensaje.

    Para obtener más información, consulte Plantillas de mensaje.

    1. Verification messages (Mensajes de verificación

      1. Elija un Verification type (Tipo de verificación) para mensajes de Email (Correo electrónico). Una verificación de Code (Código) envía un código numérico que el usuario debe ingresar. Una verificación por Link (Enlace) envía un enlace en el que el usuario puede hacer clic para verificar su información de contacto. El texto de la variable de un mensaje de Link (Enlace) se muestra como texto de hipervínculo. Por ejemplo, una plantilla de mensaje que utiliza la variable {##Click here##} se mostrará como Click here (Haga clic aquí) en el mensaje de correo electrónico.

      2. Ingrese un Email subject (Asunto del correo electrónico) para los mensajes de Email (Correo electrónico).

      3. Ingrese una plantilla personalizada de Email message (Mensaje de correo electrónico) para los mensajes de Email (Correo electrónico). Puede personalizar esta plantilla con HTML.

      4. Ingrese una plantilla personalizada de SMS message (Mensaje SMS) para los SMS.

      5. Seleccione Save changes (Guardar cambios).

    2. Invitation messages (Mensajes de invitación

      1. Ingrese un Email subject (Asunto del correo electrónico) para los mensajes de Email (Correo electrónico).

      2. Ingrese una plantilla personalizada de Email message (Mensaje de correo electrónico) para los mensajes de Email (Correo electrónico). Puede personalizar esta plantilla con HTML.

      3. Ingrese una plantilla personalizada de SMS message (Mensaje SMS) para los SMS.

      4. Seleccione Save changes (Guardar cambios).

    3. MFA messages (Mensajes MFA

      1. Ingrese una plantilla personalizada de SMS message (Mensaje SMS) para los SMS.

      2. Seleccione Save changes (Guardar cambios).

Creación de un usuario

Creación de un usuario

Puede crear nuevos usuarios para su grupo de usuarios desde la consola de Amazon Cognito. Normalmente, los usuarios pueden iniciar sesión después de haber establecido una contraseña. Para iniciar sesión con una dirección de correo electrónico, el usuario debe verificar el atributo email. Para iniciar sesión con un número de teléfono, el usuario debe verificar el atributo phone_number. Para confirmar cuentas como administrador puede usar la AWS CLI o la API, o crear perfiles de usuario con un proveedor de identidades federado. Para obtener más información, consulte la sección de referencia de API de Amazon Cognito.

  1. Vaya a la consola de Amazon Cognito y elija User pools (Grupos de usuarios).

  2. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  3. Seleccione la pestaña Usuarios y, a continuación, elija Crear un usuario.

  4. Revise User pool sign-in and security requirements (Requisitos de seguridad e inicio de sesión del grupo de usuarios) para obtener información sobre los requisitos de contraseña, los métodos de recuperación de cuentas disponibles y los atributos de alias para el grupo de usuarios.

  5. Elija cómo desea enviar un Invitation message (Mensaje de invitación). Elija entre mensaje SMS, mensaje de correo electrónico o ambas opciones. Para suprimir el mensaje de invitación, seleccione No enviar una invitación.

    nota

    Para poder enviar mensajes de invitación debe configurar un remitente y una Región de AWS con Amazon Simple Notification Service y Amazon Simple Email Service en el menú Autenticación de su grupo de usuarios. Se aplican tarifas de mensajes y de datos al destinatario. Amazon SES le factura por los mensajes de correo electrónico por separado, así como Amazon SNS le factura por los mensajes SMS por separado.

  6. Elija un Username (Nombre de usuario) para el nuevo usuario.

  7. Elija Create a password (Crear una contraseña) o bien que lo haga Amazon Cognito seleccionando Generate a password (Generar una contraseña). La opción para generar una contraseña no está disponible si el inicio de sesión sin contraseña está disponible en el grupo de usuarios. Cualquier contraseña temporal debe cumplir con la política de contraseñas del grupo de usuarios.

  8. Seleccione Crear.

  9. Elija el menú Usuarios y la entrada Nombre de usuario para el usuario. Agregue y edite User attributes (Atributos de usuario) y Group memberships (Miembros de grupos). Consulta User event history (Historial de eventos del usuario).