Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Che cos'è Amazon Cognito?
Amazon Cognito è una piattaforma di identità per app web e per dispositivi mobili. È una directory utente, un server di autenticazione e un servizio di autorizzazione per token e AWS credenziali di accesso OAuth 2.0. Con Amazon Cognito, puoi autenticare e autorizzare gli utenti dalla directory utente integrata, dalla directory aziendale e dai provider di identità utente come Google e Facebook.
**Topics**
+ [Bacini d'utenza](#what-is-amazon-cognito-user-pools)
+ [Pool di identità](#what-is-amazon-cognito-identity-pools)
+ [Caratteristiche di Amazon Cognito](#what-is-amazon-cognito-features)
+ [Confronto tra pool di utenti e pool di identità di Amazon Cognito](#what-is-amazon-cognito-features-comparison)
+ [Nozioni di base su Amazon Cognito](#getting-started-overview)
+ [Disponibilità regionale](#getting-started-regional-availability)
+ [Prezzi di Amazon Cognito](#pricing-for-amazon-cognito)
+ [Termini e concetti comuni di Amazon Cognito](cognito-terms.md)
+ [Guida introduttiva con AWS](cognito-getting-started-account-iam.md)
I due componenti che seguono costituiscono Amazon Cognito. Funzionano in maniera indipendente o in tandem, in base alle esigenze di accesso degli utenti.
## Bacini d'utenza
![\[Amazon Cognito user pool authentication flow with app, identity provider, and API/Database.\]](http://docs.aws.amazon.com/it_it/cognito/latest/developerguide/images/user-pools-overview.png)
Crea un pool di utenti quando desideri autenticare e autorizzare gli utenti per l'app o l'API. I pool di utenti sono una directory di utenti con creazione, gestione e autenticazione degli utenti sia in modalità self-service che gestita dagli amministratori. Il pool di utenti può essere una directory indipendente e gestore dell'identità digitale OIDC e un provider di servizi intermedio (SP) per provider di terze parti di identità della forza lavoro e dei clienti. Puoi fornire il Single Sign-On (SSO) nella tua app per le identità della forza lavoro della tua organizzazione in SAML 2.0 e OIDC con pool di utenti. IdPs Puoi anche fornire l'SSO nella tua app per le identità dei clienti della tua organizzazione negli archivi di identità pubblici OAuth 2.0 Amazon, Google, Apple e Facebook. Per ulteriori informazioni sulla gestione dell'identità e degli accessi dei clienti (CIAM) consulta [Cos'è CIAM?](https://aws.amazon.com/what-is/ciam/).
I pool di utenti non richiedono l'integrazione con un pool di identità. Da un pool di utenti, puoi emettere token web JSON autenticati (JWTs) direttamente a un'app, un server web o un'API.
## Pool di identità
![\[Diagram showing Amazon Cognito federated identities flow between app, identity pool, provider, and STS.\]](http://docs.aws.amazon.com/it_it/cognito/latest/developerguide/images/identity-pools-overview.png)
Configura un pool di identità Amazon Cognito quando desideri autorizzare utenti autenticati o anonimi ad accedere alle tue risorse. AWS Un pool di identità rilascia AWS le credenziali della tua app per fornire risorse agli utenti. Puoi autenticare gli utenti con un provider di identità attendibile, come un pool di utenti o un servizio SAML 2.0. Facoltativamente, puoi anche emettere credenziali per gli utenti guest. I pool di identità utilizzano il controllo degli accessi basato sui ruoli e sugli attributi per gestire l'autorizzazione degli utenti ad accedere alle risorse. AWS
I pool di utenti non richiedono l'integrazione con un pool di identità. Un pool di identità può accettare richieste autenticate direttamente dai provider di identità della forza lavoro e degli utenti.
**Un pool di utenti e un pool di identità di Amazon Cognito utilizzati insieme**
Nel diagramma all'inizio di questo argomento, Amazon Cognito viene utilizzato per autenticare l'utente e quindi concedere l'accesso a un Servizio AWS.
1. L'utente dell'app accede tramite un pool di utenti e riceve 2.0 token. OAuth
1. La tua app scambia un token del pool di utenti con un pool di identità per AWS credenziali temporanee che puoi utilizzare con AWS APIs and the AWS Command Line Interface ()AWS CLI.
1. L'app assegna la sessione delle credenziali all'utente e fornisce l'accesso autorizzato ad Servizi AWS Amazon S3 e Amazon DynamoDB.
Per ulteriori esempi che utilizzano pool di identità e pool di utenti, consulta [Scenari comuni di Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-scenarios.html).
In Amazon Cognito, l'obbligo della *sicurezza del cloud* del [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) è conforme a SOC 1-3, PCI DSS, ISO 27001 ed è idoneo ai fini HIPAA-BAA. Puoi progettare la tua *sicurezza nel cloud in* Amazon Cognito in modo che sia conforme a SOC1 -3, ISO 27001 e HIPAA-BAA, ma non a PCI DSS. Per ulteriori informazioni, consulta [ Servizi AWS coperti](https://aws.amazon.com/compliance/services-in-scope/). Consultare anche [Considerazioni sui dati regionali](https://docs.aws.amazon.com/cognito/latest/developerguide/security-cognito-regional-data-considerations.html).
## Caratteristiche di Amazon Cognito
### Bacini d'utenza
Un pool di utenti Amazon Cognito è una directory di utenti. Con un pool di utenti, gli utenti possono accedere all'app web o per dispositivi mobili tramite Amazon Cognito o eseguire la federazione tramite un IdP di terze parti. Gli utenti federati e locali hanno un profilo utente nel pool di utenti.
Gli utenti locali sono quelli che hanno effettuato al registrazione o che sono stati creati direttamente nel pool di utenti. Puoi gestire e personalizzare questi profili utente in, un SDK o in (). Console di gestione AWS AWS AWS Command Line Interface AWS CLI
I pool di utenti di Amazon Cognito accettano token e asserzioni di terze parti IdPs e raccolgono gli attributi utente in un JWT che invia alla tua app. Puoi standardizzare la tua app su un unico set JWTs mentre Amazon Cognito gestisce le interazioni IdPs con, mappando le relative affermazioni su un formato di token centrale.
Un pool di utenti Amazon Cognito può essere un IdP autonomo. Amazon Cognito si basa sullo standard OpenID Connect (OIDC) per generare autenticazioni e autorizzazioni. JWTs Quando accedi agli utenti locali, il pool di utenti è autorevole per tali utenti. Quando esegui l'autenticazione degli utenti locali, hai accesso alle seguenti funzionalità.
+ Implementa il tuo front-end web che chiama l'API dei pool di utenti Amazon Cognito per autenticare, autorizzare e gestire gli utenti.
+ Configura l'autenticazione a più fattori (MFA) per gli utenti. Amazon Cognito supporta password monouso e l'autenticazione MFA con messaggio SMS.
+ Proteggi dall'accesso da account utente controllati da malintenzionati.
+ Crea i tuoi flussi di autenticazione a più fasi personalizzati.
+ Cerca gli utenti in un'altra directory ed esegui la migrazione ad Amazon Cognito.
Un pool di utenti di Amazon Cognito può anche svolgere un duplice ruolo di fornitore di servizi (SP) per la tua IdPs app e di IdP per la tua app. I pool di utenti di Amazon Cognito possono connettersi a consumatori IdPs come Facebook e Google o a forza lavoro IdPs come Okta e Active Directory Federation Services (ADFS).
Con i token OAuth 2.0 e OpenID Connect (OIDC) emessi da un pool di utenti di Amazon Cognito, puoi
+ Accettare un ID token nell'app che autentica un utente e fornisce le informazioni necessarie per configurare il profilo dell'utente
+ Accettare un token di accesso nell'API con gli ambiti OIDC che autorizzano le chiamate API degli utenti.
+ Recupera AWS le credenziali da un pool di identità di Amazon Cognito.
|
|
| Funzionalità | Description |
| --- |--- |
| Provider di identità OIDC | Emetti token ID per autenticare gli utenti |
| Server di autorizzazione | Emetti token di accesso per autorizzare l'accesso degli utenti a APIs |
| Provider di servizi SAML 2.0 | Trasforma le asserzioni SAML in ID e token di accesso |
| Parte che fa affidamento sull'OIDC | Trasforma i token OIDC in token ID e di accesso |
| Fattore affidatario del fornitore di servizi sociali | Trasforma i token ID di Apple, Facebook, Amazon o Google nel tuo ID e accedi ai token |
| Servizio frontend di autenticazione | Registra, gestisci e autentica gli utenti con accesso gestito |
| Supporto API per la tua interfaccia utente | Crea, gestisci e autentica gli utenti tramite le richieste API di autenticazione nella sezione supportate¹ AWS SDKs |
| Autenticazione a più fattori | Usa i messaggi SMS o TOTPs il dispositivo dell'utente come fattore di autenticazione aggiunto¹ |
| Monitoraggio e risposta della sicurezza | Proteggiti da attività dannose e password non sicure¹ |
| Personalizza i flussi di autenticazione | Crea il tuo meccanismo di autenticazione o aggiungi passaggi personalizzati ai flussi esistenti² |
| Gruppi | Crea raggruppamenti logici di utenti e una gerarchia di richieste di ruolo IAM quando passi i token ai pool di identità |
| Personalizza i token | Personalizza il tuo ID e i token di accesso con reclami nuovi, modificati e soppressi |
| Personalizza gli attributi utente | Assegna valori agli attributi utente e aggiungi i tuoi attributi personalizzati |
¹ La funzionalità non è disponibile per gli utenti federati.
² La funzionalità non è disponibile per gli utenti con accesso federato e gestito.
Per ulteriori informazioni sui bacini d'utenza, consulta [Nozioni di base sui bacini d'utenza](getting-started-user-pools.md) e [Documentazione di riferimento delle API dei bacini d'utenza di Amazon Cognito](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/).
### Pool di identità
Un pool di identità è una raccolta di identificatori univoci, o identità, che assegni ai tuoi utenti o ospiti e autorizzi a ricevere credenziali temporanee. AWS Quando presenti una prova di autenticazione a un pool di identità sotto forma di attestazioni attendibili di un provider di identità social (IdP) SAML 2.0 OAuth , OpenID Connect (OIDC) o 2.0, associ il tuo utente a un'identità nel pool di identità. Il token creato dal pool di identità per l'identità può recuperare le credenziali di sessione temporanee da (). AWS Security Token Service AWS STS
A complemento delle identità autenticate, puoi anche configurare un pool di identità per autorizzare l'accesso AWS senza autenticazione IdP. Puoi offrire una prova di autenticazione personalizzata con. [Identità autenticate dagli sviluppatori](developer-authenticated-identities.md) Puoi anche concedere AWS credenziali temporanee agli utenti ospiti, con identità [non autenticate](identity-pools.md#authenticated-and-unauthenticated-identities).
Con i pool di identità, hai due modi per integrarti con le policy IAM del tuo. Account AWS Puoi utilizzare queste due funzionalità insieme o singolarmente.
**Controllo degli accessi basato sui ruoli**
Quando un utente passa le richieste al pool di identità, Amazon Cognito sceglie il ruolo IAM richiesto. Per personalizzare le autorizzazioni del ruolo in base alle esigenze, le policy IAM vengono applicate a ciascun ruolo. Ad esempio, se un utente dimostra di lavorare nel reparto marketing, riceve le credenziali per un ruolo con policy personalizzate in base alle esigenze di accesso del reparto marketing. Amazon Cognito può richiedere un ruolo predefinito, un ruolo basato su regole che eseguono query delle richieste dell'utente o un ruolo basato sull'appartenenza al gruppo dell'utente in un pool di utenti. Puoi anche configurare la policy di attendibilità del ruolo in modo che IAM consideri attendibile solo il tuo pool di identità per generare sessioni temporanee.
**Attributi per il controllo degli accessi**
Il pool di identità legge gli attributi dalle richieste dell'utente e li associa ai tag principali nella sessione temporanea dell'utente. Puoi quindi configurare le policy basate sulle risorse IAM per consentire o negare l'accesso alle risorse in base ai principali IAM che contengono i tag di sessione del pool di identità. Ad esempio, se l'utente dimostra di lavorare nel reparto marketing, AWS STS tagga la sua sessione`Department: marketing`. Il tuo bucket Amazon S3 consente operazioni di lettura basate su una PrincipalTag condizione [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) che richiede un valore di `marketing` per il tag. `Department`
|
|
| Funzionalità | Description |
| --- |--- |
| Party che si affida al pool di utenti di Amazon Cognito | Scambia un token ID dal tuo pool di utenti con credenziali di identità web provenienti da AWS STS |
| Provider di servizi SAML 2.0 | Scambia asserzioni SAML con credenziali di identità web da AWS STS |
| Parte affidataria OIDC | Scambia token OIDC con credenziali di identità web da AWS STS |
| Fattore affidatario del fornitore di servizi sociali | Scambia OAuth i token di Amazon, Facebook, Google, Apple e Twitter con credenziali di identità web provenienti da AWS STS |
| Relying party personalizzato | Con AWS le credenziali, puoi scambiare le attestazioni in qualsiasi formato con credenziali di identità web provenienti da AWS STS |
| Accesso non autenticato | Emetti credenziali di identità web ad accesso limitato senza autenticazione AWS STS |
| Controllo degli accessi basato sui ruoli | Scegli un ruolo IAM per il tuo utente autenticato in base alle sue dichiarazioni e configura i ruoli in modo che vengano assunti solo nel contesto del tuo pool di identità |
| Controllo dell’accesso basato sugli attributi | Converti le attestazioni in tag principali per la tua sessione AWS STS temporanea e utilizza le policy IAM per filtrare l'accesso alle risorse in base ai tag principali |
Per ulteriori informazioni sui pool di identità, consulta [Guida introduttiva ai pool di identità di Amazon Cognito](getting-started-with-identity-pools.md) e [Documentazione di riferimento delle API dei pool di identità di Amazon Cognito](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/).
## Confronto tra pool di utenti e pool di identità di Amazon Cognito
|
|
| Funzionalità | Description | Bacini d'utenza | Pool di identità |
| --- |--- |--- |--- |
| Provider di identità OIDC | Emetti token ID OIDC per autenticare gli utenti dell'app | ✓ | |
| Elenco utenti | Memorizza i profili utente per l'autenticazione | ✓ | |
| Autorizza l'accesso all'API | Emetti token di accesso per autorizzare l'accesso degli utenti APIs (incluse le operazioni API self-service dei profili utente), database e altre risorse che accettano gli ambiti OAuth | ✓ | |
| Autorizzazione dell'identità web IAM | Genera token con AWS STS cui puoi scambiare credenziali temporanee AWS | | ✓ |
| Provider di servizi SAML 2.0 e provider di identità OIDC | Emetti token OIDC personalizzati in base alle dichiarazioni di un provider di identità SAML 2.0 | ✓ | |
| Relying party OIDC e provider di identità OIDC | Emetti token OIDC personalizzati in base alle dichiarazioni di un provider di identità OIDC | ✓ | |
| OAuth Relying Party 2.0 e provider di identità OIDC | Emetti token OIDC personalizzati in base agli ambiti di provider di social network 2.0 come Apple e Google OAuth | ✓ | |
| Provider di servizi SAML 2.0 e broker di credenziali | Emetti AWS credenziali temporanee basate sulle richieste di un provider di identità SAML 2.0 | | ✓ |
| Relying party e broker di credenziali OIDC | Emetti AWS credenziali temporanee in base alle richieste di un provider di identità OIDC | | ✓ |
| Fornitore di servizi sociali che si affidano a terzi e broker di credenziali | Emetti AWS credenziali temporanee basate su token web JSON provenienti da applicazioni per sviluppatori con provider di social network come Apple e Google | | ✓ |
| Broker di credenziali e relying party per pool di utenti Amazon Cognito | Emetti AWS credenziali temporanee basate su token web JSON provenienti dai pool di utenti di Amazon Cognito | | ✓ |
| Broker personalizzato per relying party e credenziali | Emetti AWS credenziali temporanee a identità arbitrarie, autorizzate dalle credenziali IAM degli sviluppatori | | ✓ |
| Servizio frontend di autenticazione | Registra, gestisci e autentica gli utenti con accesso gestito | ✓ | |
| Supporto API per la tua interfaccia utente di autenticazione | Crea, gestisci e autentica gli utenti tramite le richieste API nella pagina supportata ¹ AWS SDKs | ✓ | |
| MFA | Usa i messaggi SMS o TOTPs il dispositivo dell'utente come fattore di autenticazione aggiunto¹ | ✓ | |
| Monitoraggio e risposta della sicurezza | Proteggiti da attività dannose e password non sicure¹ | ✓ | |
| Personalizza i flussi di autenticazione | Crea il tuo meccanismo di autenticazione o aggiungi passaggi personalizzati ai flussi esistenti¹ | ✓ | |
| Gruppi di utenti | Crea raggruppamenti logici di utenti e una gerarchia di richieste di ruolo IAM quando passi i token ai pool di identità | ✓ | |
| Personalizza i token | Personalizza il tuo ID e i token di accesso con rivendicazioni e ambiti nuovi, modificati e soppressi | ✓ | |
| AWS WAF web ACLs | Monitora e controlla le richieste al tuo front-end di autenticazione con AWS WAF | ✓ | |
| Personalizza gli attributi utente | Assegna valori agli attributi utente e aggiungi i tuoi attributi personalizzati | ✓ | |
| Accesso non autenticato | Emetti credenziali di identità web ad accesso limitato senza autenticazione AWS STS | | ✓ |
| Controllo degli accessi basato sui ruoli | Scegli un ruolo IAM per il tuo utente autenticato in base alle sue dichiarazioni e configura il role trust per limitare l'accesso agli utenti con identità web | | ✓ |
| Controllo dell’accesso basato sugli attributi | Trasforma le affermazioni degli utenti in tag principali per la sessione AWS STS temporanea e utilizza le policy IAM per filtrare l'accesso alle risorse in base ai tag principali | | ✓ |
¹ La funzionalità non è disponibile per gli utenti federati.
## Nozioni di base su Amazon Cognito
Ad esempio, applicazioni con pool di utenti, vedere[Nozioni di base sui bacini d'utenza](getting-started-user-pools.md).
Per un'introduzione ai pool di identità, vedere[Guida introduttiva ai pool di identità di Amazon Cognito](getting-started-with-identity-pools.md).
Per i collegamenti alle esperienze di configurazione guidate con pool di utenti e pool di identità, consulta[Opzioni di configurazione guidate per Amazon Cognito](cognito-guided-setup.md).
Per iniziare a usare un AWS SDK, consulta [AWS Developer Tools](https://aws.amazon.com/products/developer-tools). Per le risorse per sviluppatori specifiche per Amazon Cognito, consulta le risorse per sviluppatori di [Amazon Cognito](https://aws.amazon.com/cognito/dev-resources/).
Per utilizzare Amazon Cognito devi disporre di un Account AWS. Per ulteriori informazioni, consulta [Guida introduttiva con AWS](cognito-getting-started-account-iam.md).
## Disponibilità regionale
Amazon Cognito è disponibile in diverse AWS regioni in tutto il mondo. In ciascuna regione, Amazon Cognito viene distribuito su più zone di disponibilità. Queste zone di disponibilità sono fisicamente isolate l'una dall'altra, ma sono unite da connessioni di rete private a bassa latenza, a velocità effettiva elevata e altamente ridondanti. Queste zone di disponibilità consentono AWS di fornire servizi, tra cui Amazon Cognito, con livelli molto elevati di disponibilità e ridondanza, riducendo al contempo al minimo la latenza.
Per vedere se Amazon Cognito è attualmente disponibile in qualsiasi regione Regione AWS, consulta [AWS Servizi per regione](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Per ulteriori informazioni sugli endpoint dei servizi API regionali, consulta [AWS le regioni e gli endpoint](https://docs.aws.amazon.com/general/latest/gr/rande.html##cognito_identity_region) nel. *Riferimenti generali di Amazon Web Services*
Per ulteriori informazioni sul numero di zone di disponibilità presenti in ciascuna regione, consulta [Infrastruttura globale AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
## Prezzi di Amazon Cognito
Per informazioni sui prezzi di Amazon Cognito, consulta [Prezzi di Amazon Cognito](https://aws.amazon.com/cognito/pricing/).
# Termini e concetti comuni di Amazon Cognito
Amazon Cognito fornisce credenziali per app Web e mobili. Attinge e si basa su termini comuni nella gestione delle *identità e* degli accessi. Sono disponibili molte guide all'identità universale e ai termini di accesso. Alcuni esempi sono:
+ [La terminologia](https://bok.idpro.org/article/id/41/) nel IDPro corpo della conoscenza
+ [AWS Servizi di identità](https://aws.amazon.com/identity/)
+ [Glossario del](https://csrc.nist.gov/glossary) NIST CSRC
Gli elenchi seguenti descrivono termini che sono esclusivi di Amazon Cognito o che hanno un contesto specifico in Amazon Cognito.
**Topics**
+ [Generali](#cognito-terms-general)
+ [Bacini d'utenza](#cognito-terms-user-pools)
+ [Pool di identità](#cognito-terms-identity-pools)
## Generali
I termini in questo elenco non sono specifici di Amazon Cognito e sono ampiamente riconosciuti tra i professionisti della gestione delle identità e degli accessi. Quello che segue non è un elenco esaustivo di termini, ma una guida al contesto specifico di Amazon Cognito contenuto in questa guida.
**Token di accesso**
Un token web JSON (JWT) che contiene informazioni sull'[autorizzazione](#terms-authorization) di un'entità ad accedere ai sistemi informativi.
**App, applicazione**
In genere, un'applicazione mobile. In questa guida, *app* è spesso un'abbreviazione di un'applicazione Web o di un'app mobile che si connette ad Amazon Cognito.
**Controllo degli accessi basato su attributi (ABAC)**
Un modello in cui un'app determina l'accesso alle risorse in base alle proprietà di un utente, come la qualifica o il reparto. Gli strumenti di Amazon Cognito per applicare l'ABAC includono i token ID nei pool di utenti e i tag [principali](#term-afac) nei pool di identità.
**Autenticazione**
Il processo di creazione di un'identità autentica ai fini dell'accesso a un sistema informativo. Amazon Cognito accetta prove di autenticazione da provider di identità di terze parti e funge anche da fornitore di autenticazione per le applicazioni software.
**Autorizzazione**
Il processo di concessione delle autorizzazioni a una risorsa. [I token di accesso al](#terms-accesstoken) pool di utenti contengono informazioni che le applicazioni possono utilizzare per consentire agli utenti e ai sistemi di accedere alle risorse.
**Server di autorizzazione**
[Un sistema OAuth o OpenID Connect (OIDC) che genera token web JSON.](#terms-jwt) Il server di [autorizzazione gestito dei pool di utenti Amazon Cognito è il componente del server di autorizzazione](#terms-managedauthorizationserver) dei due metodi di autenticazione e autorizzazione nei pool di utenti. [I pool di utenti supportano anche i flussi di risposta alle sfide delle API nell'autenticazione SDK.](#terms-upapi)
**App riservata, app lato server**
Un'applicazione a cui gli utenti si connettono in remoto, con codice su un server di applicazioni e accesso ai segreti. Si tratta in genere di un'applicazione Web.
**Identity provider (IdP) (Provider di identità)**
Un servizio che archivia e verifica le identità degli utenti. Amazon Cognito può richiedere l'autenticazione a [provider esterni ed](#terms-externalprovider) essere un IdP delle app.
**Token web JSON (JWT)**
Un documento in formato JSON che contiene affermazioni relative a un utente autenticato. I token ID autenticano gli utenti, i token di accesso autorizzano gli utenti e i token di aggiornamento aggiornano le credenziali. Amazon Cognito riceve token da [fornitori esterni ed](#terms-externalprovider) emette token per app o. AWS STS
**Machine-to-machine Autorizzazione (M2M)**
Il processo di autorizzazione delle richieste agli endpoint API per le entità non-user-interactive macchina, ad esempio un livello di applicazione del server web. [I pool di utenti forniscono l'autorizzazione M2M nelle concessioni di credenziali del client con ambiti 2.0 nei token di accesso. OAuth ](#terms-accesstoken)
**Autenticazione a più fattori (MFA)**
Il requisito che gli utenti forniscano un'autenticazione aggiuntiva dopo aver fornito nome utente e password. [I pool di utenti di Amazon Cognito dispongono di funzionalità MFA per gli utenti locali.](#terms-localuser)
**OAuth Provider 2.0 (social)**
Un IdP verso un pool di utenti o un pool di identità che fornisce token di accesso e [aggiornamento JWT](#terms-jwt). I pool di utenti di Amazon Cognito automatizzano le interazioni con i social provider dopo l'autenticazione degli utenti.
**Provider OpenID Connect (OIDC)**
Un IdP a un pool di utenti o a un pool di identità che estende la [OAuth](#terms-oauth)specifica per fornire token ID. I pool di utenti di Amazon Cognito automatizzano le interazioni con i provider OIDC dopo l'autenticazione degli utenti.
**Chiave di accesso, WebAuthn**
Una forma di autenticazione in cui le chiavi crittografiche, o passkey, sul dispositivo di un utente forniscono la prova dell'autenticazione. Gli utenti verificano la presenza di meccanismi biometrici o di codice PIN in un autenticatore hardware o software. Le passkey sono resistenti al phishing e sono collegate a siti web/app specifici, offrendo un'esperienza sicura senza password. I pool di utenti di Amazon Cognito supportano l'accesso con password.
**Senza password**
Una forma di autenticazione in cui un utente non deve inserire una password. I metodi di accesso senza password includono password monouso (OTPs) inviate a indirizzi e-mail e numeri di telefono e password. I pool di utenti di Amazon Cognito supportano l'accesso e le OTPs password.
**App pubblica**
Un'applicazione autonoma su un dispositivo, con codice archiviato localmente e senza accesso ai segreti. Si tratta in genere di un'app per dispositivi mobili.
**Server di risorse**
Un'API con controllo degli accessi. I pool di utenti di Amazon Cognito utilizzano anche il *server di risorse* per descrivere il componente che definisce la configurazione per l'interazione con un'API.
**Controllo degli accessi basato sui ruoli (RBAC)**
Un modello che concede l'accesso in base alla designazione funzionale di un utente. I pool di identità di Amazon Cognito implementano RBAC con differenziazione tra i ruoli IAM.
**Fornitore di servizi (SP), relying party (RP)**
Un'applicazione che si affida a un IdP per affermare l'affidabilità degli utenti. Amazon Cognito funge da SP verso sistemi esterni IdPs e da IdP verso app. SPs
**Fornitore SAML**
Un IdP verso un pool di utenti o un pool di identità che genera documenti di asserzione con firma digitale che l'utente trasmette ad Amazon Cognito.
**Identificatore univoco universale (UUID)**
Un'etichetta a 128 bit applicata a un oggetto. Amazon Cognito UUIDs è unico per pool di utenti o pool di identità, ma non è conforme a un formato UUID specifico.
**Elenco utenti**
Una raccolta di utenti e relativi attributi che fornisce tali informazioni ad altri sistemi. I pool di utenti di Amazon Cognito sono elenchi di utenti e anche strumenti per il consolidamento degli utenti provenienti da elenchi utenti esterni.
## Bacini d'utenza
Quando vedi i termini nell'elenco seguente di questa guida, si riferiscono a una funzionalità o configurazione specifica dei pool di utenti.
**Autenticazione adattiva**
Una funzionalità di [sicurezza avanzata](#term-advancedsecurity) che rileva potenziali attività dannose e applica una protezione aggiuntiva ai [profili utente](#terms-userprofile).
**Client dell'app**
Un componente che definisce le impostazioni per un pool di utenti come IdP per un'app.
**URL di callback, URI di reindirizzamento, URL di ritorno**
Un'impostazione in un [client di app](#term-appclient) e un parametro nelle richieste al server di [autorizzazione](#terms-managedauthorizationserver) del pool di utenti. [L'URL di callback è la destinazione iniziale per gli utenti autenticati nell'app.](#term-app)
**Autenticazione basata sulla scelta**
Una forma di autenticazione API con pool di utenti in cui ogni utente ha a disposizione una serie di scelte per l'accesso. Le loro scelte potrebbero includere nome utente e password con o senza MFA, accesso tramite passkey o accesso senza password con password monouso tramite e-mail o SMS. L'applicazione può modellare il processo di scelta degli utenti richiedendo un elenco di opzioni di autenticazione o dichiarando un'opzione preferita.
Confronta con l'autenticazione basata su [client](#terms-declarativeauthentication).
**Autenticazione basata su client**
Una forma di autenticazione con l'API dei pool di utenti e i backend delle applicazioni con AWS SDKs cui sono stati creati. Nell'autenticazione dichiarativa, l'applicazione determina in modo indipendente il tipo di accesso che un utente deve eseguire e richiede tale tipo in anticipo.
Confronta con l'[autenticazione basata sulla scelta](#terms-choicebasedauthentication).
**Credenziali compromesse**
[Una funzionalità di [sicurezza avanzata](#term-advancedsecurity) che rileva le password degli utenti che gli aggressori potrebbero conoscere e applica una protezione aggiuntiva ai profili utente.](#terms-userprofile)
**Conferma**
Processo che determina che sono stati soddisfatti i prerequisiti per consentire a un nuovo utente di accedere. La conferma viene in genere effettuata tramite la [verifica](#terms-verification) dell'indirizzo e-mail o del numero di telefono.
**Autenticazione personalizzata**
Un'estensione dei processi di autenticazione con [trigger Lambda](#terms-triggers) che definiscono sfide e risposte aggiuntive per gli utenti.
**Autenticazione del dispositivo**
Un processo di autenticazione che sostituisce la [MFA](#terms-mfa) con l'accesso che utilizza l'ID di un dispositivo affidabile.
**Dominio, dominio del pool di utenti**
Un dominio web che ospita le tue [pagine di accesso gestite](#terms-managedlogin) in AWS. Puoi configurare il DNS in un dominio di tua proprietà o utilizzare un prefisso identificativo di sottodominio in un dominio di tua proprietà. AWS
**Piano Essentials**
Il [piano di funzionalità](#terms-featureplan) con gli ultimi sviluppi nei pool di utenti. [Il piano Essentials non include le funzionalità di sicurezza di apprendimento automatico del piano Plus.](#terms-plusplan)
**Provider esterno, fornitore terzo**
Un IdP che ha una relazione di fiducia con un pool di utenti. I pool di utenti fungono da entità intermedia tra i provider esterni e l'applicazione, gestendo i processi di autenticazione con SAML 2.0, OIDC e i provider social. I pool di utenti consolidano i risultati dell'autenticazione dei provider esterni in un unico IdP in modo che le applicazioni possano elaborare più utenti con un'unica libreria relying-party OIDC.
**Piano delle funzionalità**
Il gruppo di funzionalità che è possibile selezionare per un pool di utenti. I piani di funzionalità prevedono costi diversi nella AWS fattura. Per impostazione predefinita, i nuovi pool di utenti utilizzano il piano [Essentials](#terms-essentialsplan).
**Piani attuali**
+ [Piano Lite](#terms-liteplan)
+ [Piano Essentials](#terms-essentialsplan)
+ [Piano Plus](#terms-plusplan)
**Utente federato, utente esterno**
Un utente in un pool di utenti che è stato autenticato da un provider [esterno](#terms-externalprovider).
**Interfaccia utente ospitata (classica), pagine dell'interfaccia utente ospitate**
La versione iniziale dei servizi di autenticazione front-end, relying party e identity provider sul dominio del pool di utenti. L'interfaccia utente ospitata ha un set di funzionalità di base e un aspetto semplificato. Puoi applicare il branding dell'interfaccia utente ospitata caricando un file di immagine del logo e un file con un set predeterminato di stili CSS. [Confronta con l'accesso gestito.](#terms-managedlogin)
**Trigger Lambda**
Una funzione in AWS Lambda cui un pool di utenti può richiamare automaticamente i punti chiave dei processi di autenticazione degli utenti. Puoi utilizzare i trigger Lambda per personalizzare i risultati dell'autenticazione.
**Utente locale**
Un [profilo utente](#terms-userprofile) nella [directory degli utenti del pool di utenti](#terms-userdirectory) che non è stato creato mediante l'autenticazione con un [provider esterno](#terms-externalprovider).
**Utente collegato**
Un utente di un [provider esterno](#terms-externalprovider) la cui identità viene unita a quella di un [utente locale](#terms-localuser).
**Piano Lite**
Il [piano di funzionalità](#terms-featureplan) con le funzionalità originariamente lanciate con i pool di utenti. [Il piano Lite non include le nuove funzionalità del [piano Essentials](#terms-essentialsplan) o le funzionalità di sicurezza ad apprendimento automatico del piano Plus.](#terms-plusplan)
**Server di autorizzazione gestito, server di autorizzazione dell'interfaccia utente ospitato, server di autorizzazione**
Un componente dell'[accesso gestito](#terms-managedlogin) che ospita servizi di interazione IdPs e app sul [dominio del pool di utenti](#terms-domain). L'[interfaccia utente ospitata](#terms-hostedui) si differenzia dall'accesso gestito per le funzionalità interattive con l'utente che offre, ma ha le stesse funzionalità del server di autorizzazione.
**Accesso gestito, pagine di accesso gestite**
Un insieme di pagine Web sul [dominio del pool di utenti](#terms-domain) che ospitano servizi per l'autenticazione degli utenti. Questi servizi includono funzioni per operare come [IdP](#terms-idp), [relying party](#terms-relyingparty) per terze parti IdPs e server di un'interfaccia utente di autenticazione interattiva per l'utente. Quando configuri un dominio per il tuo pool di utenti, Amazon Cognito mette online tutte le pagine di accesso gestite.
La tua applicazione importa librerie OIDC che richiamano i browser degli utenti e li indirizzano all'interfaccia utente di accesso gestita per la registrazione, l'accesso, la gestione delle password e altre operazioni di autenticazione. Dopo l'autenticazione, le librerie OIDC possono elaborare l'esito della richiesta di autenticazione.
**Autenticazione di accesso gestita**
Accedi con i servizi del [dominio del tuo pool di utenti](#terms-domain), tramite pagine del browser interattive per l'utente o richieste API HTTPS. Le applicazioni gestiscono l'autenticazione di accesso gestita con le librerie OpenID Connect (OIDC). [Questo processo include l'accesso con [provider esterni](#terms-externalprovider), l'accesso per utenti locali con pagine di accesso gestite interattive e l'autorizzazione M2M.](#terms-m2m) Anche l'autenticazione con la classica [interfaccia utente ospitata](#terms-hostedui) rientra in questo termine.
Rispetto all'[autenticazione AWS SDK](#terms-upapi).
**Piano Plus**
Il [piano di funzionalità](#terms-featureplan) con gli ultimi sviluppi e le funzionalità di sicurezza avanzate nei pool di utenti.
**Autenticazione SDK, autenticazione AWS SDK**
Una serie di operazioni API di autenticazione e autorizzazione che puoi aggiungere al backend dell'applicazione con un AWS SDK. Questo modello di autenticazione richiede un meccanismo di accesso personalizzato. L'API può accedere [agli utenti locali e agli utenti](#terms-localuser) [collegati](#terms-linkeduser).
Rispetto all'[autenticazione di accesso gestita](#terms-managedloginauthentication).
**Protezione dalle minacce, funzionalità di sicurezza avanzate**
Nei pool di utenti, la protezione dalle minacce si riferisce a tecnologie progettate per mitigare le minacce ai meccanismi di autenticazione e autorizzazione. L'autenticazione adattiva, il rilevamento delle credenziali compromesse e gli elenchi di indirizzi IP bloccati rientrano nella categoria della protezione dalle minacce.
**Personalizzazione dei token**
Il risultato di un [trigger Lambda](#terms-triggers) precedente alla generazione del token che modifica l'ID o il token di accesso di un utente in fase di esecuzione.
**Pool di utenti, provider di identità Amazon Cognito`cognito-idp`, pool di utenti Amazon Cognito**
Una AWS risorsa con servizi di autenticazione e autorizzazione per applicazioni che funzionano con OIDC. IdPs
**Verifica**
Processo di conferma che un utente possiede un indirizzo e-mail o un numero di telefono. Un pool di utenti invia un codice a un utente che ha inserito un nuovo indirizzo e-mail o numero di telefono. Quando inviano il codice ad Amazon Cognito, verificano la proprietà della destinazione del messaggio e possono ricevere messaggi aggiuntivi dal pool di utenti. Inoltre, vedi [conferma](#terms-confirmation).
**Profilo utente, account utente**
Una voce per un utente nella [rubrica degli utenti](#terms-userdirectory). Tutti gli utenti, compresi quelli di terze parti IdPs, hanno un profilo nel loro pool di utenti.
## Pool di identità
Quando vedi i termini nell'elenco seguente di questa guida, si riferiscono a una funzionalità o configurazione specifica dei pool di identità.
**Attributi per il controllo degli accessi**
Un'implementazione del [controllo degli accessi basato sugli attributi](#terms-abac) nei pool di identità. I pool di identità applicano gli attributi utente come tag alle credenziali utente.
**Autenticazione di base (classica)**
Un processo di autenticazione in cui è possibile personalizzare la richiesta di [credenziali utente](#terms-usercredentials).
**Identità autenticate dagli sviluppatori**
[Un processo di autenticazione che autorizza le [credenziali utente del pool di identità con le credenziali dello](#terms-usercredentials) sviluppatore.](#terms-developercredentials)
**Credenziali dello sviluppatore**
Le chiavi API IAM di un amministratore di pool di identità.
**Autenticazione avanzata**
Un flusso di autenticazione che seleziona un ruolo IAM e applica i tag principali in base alla logica definita nel pool di identità.
**Identità**
Un [UUID](#terms-uuid) che collega un utente dell'app e le relative [credenziali utente al relativo](#terms-usercredentials) profilo in una [directory di utenti](#terms-userdirectory) esterna che ha una relazione di fiducia con un pool di identità.
**Pool di identità, identità federate Amazon Cognito, identità Amazon Cognito, `cognito-identity`**
[Una AWS risorsa con servizi di autenticazione e autorizzazione per applicazioni che utilizzano credenziali temporanee. AWS](#terms-usercredentials)
**Identità non autenticata**
Un utente che non ha effettuato l'accesso con un IdP del pool di identità. Puoi consentire agli utenti di generare credenziali utente limitate per un singolo ruolo IAM prima dell'autenticazione.
**Credenziali utente**
Chiavi AWS API temporanee che gli utenti ricevono dopo l'autenticazione del pool di identità.
# Guida introduttiva con AWS
Prima di iniziare a lavorare con Amazon Cognito, configurati con alcune risorse necessarie. AWS Se riesci già ad accedere a un account Account AWS, puoi saltare questa sezione. Continua a leggere se stai cercando informazioni sulla registrazione e l'accesso con AWS le credenziali. [Dopo aver ottenuto credenziali con autorizzazioni AWS Identity and Access Management (IAM) sufficienti, puoi iniziare a utilizzare i pool di [utenti e i pool](getting-started-user-pools.md) di identità.](getting-started-with-identity-pools.md)
## Registrati per un Account AWS
Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.
**Per iscriverti a un Account AWS**
1. Apri la [https://portal.aws.amazon.com/billing/registrazione.](https://portal.aws.amazon.com/billing/signup)
1. Segui le istruzioni online.
Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono.
Quando ti iscrivi a un Account AWS, *Utente root dell'account AWS*viene creato un. L’utente root dispone dell’accesso a tutte le risorse e tutti i Servizi AWS nell’account. Come best practice di sicurezza, assegna l’accesso amministrativo a un utente e utilizza solo l’utente root per eseguire [attività che richiedono l’accesso di un utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a [https://aws.amazon.com/](https://aws.amazon.com/)e scegliendo **Il mio account**.
## Crea un utente con accesso amministrativo
Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.
**Proteggi i tuoi Utente root dell'account AWS**
1. Accedi [Console di gestione AWS](https://console.aws.amazon.com/)come proprietario dell'account scegliendo **Utente root** e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.
Per informazioni sull’accesso utilizzando un utente root, consulta la pagina [Accedere come utente root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) nella *Guida per l’utente di Accedi ad AWS *.
1. Abilita l’autenticazione a più fattori (MFA) per l’utente root.
Per istruzioni, consulta [Abilitare un dispositivo MFA virtuale per l'utente Account AWS root (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) nella Guida per l'*utente IAM*.
**Crea un utente con accesso amministrativo**
1. Abilita il Centro identità IAM.
Per istruzioni, consulta [Abilitazione del AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) nella *Guida per l’utente di AWS IAM Identity Center *.
1. Nel Centro identità IAM, assegna l’accesso amministrativo a un utente.
Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta [Configurare l'accesso utente con l'impostazione predefinita IAM Identity Center directory](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) nella *Guida per l'AWS IAM Identity Center utente*.
**Accesso come utente amministratore**
+ Per accedere come utente del Centro identità IAM, utilizza l’URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l’utente del Centro identità IAM.
Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta [AWS Accedere al portale di accesso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) nella *Guida per l'Accedi ad AWS utente*.
**Assegnazione dell’accesso ad altri utenti**
1. Nel Centro identità IAM, crea un set di autorizzazioni conforme alla best practice per l’applicazione di autorizzazioni con il privilegio minimo.
Segui le istruzioni riportate nella pagina [Creazione di un set di autorizzazioni](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) nella *Guida per l’utente di AWS IAM Identity Center *.
1. Assegna al gruppo prima gli utenti e poi l’accesso con autenticazione unica (Single Sign-On).
Per istruzioni, consulta [Aggiungere gruppi](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) nella *Guida per l’utente di AWS IAM Identity Center *.