기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 사용자 정의 인증 챌린지 Lambda 트리거
<a name="user-pool-lambda-challenge"></a>

Amazon Cognito 사용자 풀에 대한 인증 흐름을 구축할 때 기본 제공 흐름 이상으로 인증 모델을 확장하고 싶을 수 있습니다. 사용자 지정 챌린지 트리거의 일반적인 사용 사례 중 하나는 사용자 이름, 암호 및 다중 인증(MFA) 이외의 추가 보안 검사를 구현하는 것입니다. 사용자 지정 챌린지는 Lambda 지원 프로그래밍 언어로 생성할 수 있는 모든 질문과 응답입니다. 예를 들어 인증이 허용되기 전에 사용자가 CAPTCHA를 해결하거나 보안 질문에 답하도록 요구할 수 있습니다. 또 다른 잠재적 요구 사항은 특수 인증 요소 또는 디바이스와 통합하는 것입니다. 또는 하드웨어 보안 키 또는 생체 인식 장치로 사용자를 인증하는 소프트웨어를 이미 개발했을 수도 있습니다. 사용자 지정 챌린지에 대한 인증 성공의 정의는 Lambda 함수가 올바른 것으로 받아들이는 답변(예: 고정 문자열 또는 외부 API의 만족스러운 응답)입니다.

사용자 지정 챌린지로 인증을 시작하고 인증 프로세스를 완전히 제어하거나 애플리케이션이 사용자 지정 챌린지를 수신하기 전에 사용자 이름 암호 인증을 수행할 수 있습니다.

사용자 지정 인증 챌린지 Lambda 트리거:

**[정의](user-pool-lambda-define-auth-challenge.md)**  
챌린지 시퀀스를 시작합니다. 새 챌린지를 시작할지, 인증을 완료로 표시할지 또는 인증 시도를 중단할지 결정합니다.

**[생성](user-pool-lambda-create-auth-challenge.md)**  
사용자가 답변해야 하는 질문을 애플리케이션에 발급합니다. 이 함수는 애플리케이션이 사용자에게 표시해야 하는 보안 질문 또는 CAPTCHA에 대한 링크를 제공할 수 있습니다.

**[확인](user-pool-lambda-verify-auth-challenge-response.md)**  
예상 응답을 알고 이를 애플리케이션이 챌린지 응답에서 제공하는 응답과 비교합니다. 함수는 CAPTCHA 서비스의 API를 호출하여 사용자가 시도한 솔루션의 예상 결과를 검색할 수 있습니다.

이 세 가지 Lambda 함수는 서로 연결되어 사용자의 제어 범위 내에 있고 자체 설계에 완전히 속하는 인증 메커니즘을 제공합니다. 사용자 지정 인증에는 클라이언트 및 Lambda 함수에 애플리케이션 로직이 필요하므로 관리형 로그인 내에서 사용자 지정 인증을 처리할 수 없습니다. 이 인증 시스템에는 추가 개발자 노력이 필요합니다. 애플리케이션은 사용자 풀 API로 인증 흐름을 수행하고 사용자 지정 인증 문제의 중앙에서 질문을 렌더링하는 맞춤형 로그인 인터페이스로 결과 문제를 처리해야 합니다.

![문제 Lambda 트리거](http://docs.aws.amazon.com/ko_kr/cognito/latest/developerguide/images/lambda-challenges.png)


사용자 지정 인증을 구현하는 방법에 대한 자세한 내용은 [사용자 지정 인증 흐름 및 챌린지](amazon-cognito-user-pools-authentication-flow-methods.md#Custom-authentication-flow-and-challenges) 섹션을 참조하세요.

API 작업 [InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html) 또는 [AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html)와 [RespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_RespondToAuthChallenge.html) 또는 [AdminRespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminRespondToAuthChallenge.html) 간의 인증. 이 흐름에서 인증이 실패하거나 사용자에게 토큰이 발행될 때까지 사용자는 연속 문제에 응답하여 인증합니다. 챌린지 응답은 새로운 챌린지일 수 있습니다. 이 경우 애플리케이션은 새로운 챌린지에 필요한 만큼 응답합니다. 인증 챌린지 정의 함수가 지금까지의 결과를 분석하여 모든 챌린지에 응답했다고 판단하고 `IssueTokens`를 반환하면 인증이 성공합니다.

**Topics**
+ [사용자 지정 문제 흐름의 SRP 인증](#user-pool-lambda-challenge-srp-authentication)
+ [인증 챌린지 정의 Lambda 트리거](user-pool-lambda-define-auth-challenge.md)
+ [인증 챌린지 생성 Lambda 트리거](user-pool-lambda-create-auth-challenge.md)
+ [인증 챌린지 확인 응답 Lambda 트리거](user-pool-lambda-verify-auth-challenge-response.md)

## 사용자 지정 문제 흐름의 SRP 인증
<a name="user-pool-lambda-challenge-srp-authentication"></a>

Amazon Cognito가 사용자 지정 문제를 표시하기 전에 사용자 암호를 확인하도록 할 수 있습니다. [request-rate 할당량](quotas.md#category_operations.title)의 인증 카테고리에 연결된 Lambda 트리거는 사용자 지정 문제 흐름에서 SRP 인증을 수행할 때 실행됩니다. 다음은 이 프로세스의 개요입니다.

1. 앱이 `AuthParameters` 맵으로 `InitiateAuth` 또는 `AdminInitiateAuth`를 호출하여 로그인을 시작합니다. 파라미터에는 `CHALLENGE_NAME: SRP_A,`와, `SRP_A` 및 `USERNAME`에 대한 값이 포함되어야 합니다.

1. Amazon Cognito는 `challengeName: SRP_A` 및 `challengeResult: true`를 포함하는 초기 세션과 함께 인증 문제 정의 Lambda 트리거를 호출합니다.

1. 이러한 입력을 수신한 후 Lambda 함수는 `challengeName: PASSWORD_VERIFIER`, `issueTokens: false`, `failAuthentication: false`로 응답합니다.

1. 암호 확인이 성공하면 Amazon Cognito가 `challengeName: PASSWORD_VERIFIER` 및 `challengeResult: true`가 포함된 새 세션을 사용하여 Lambda 함수를 다시 호출합니다.

1. 사용자 지정 문제를 시작하려면 Lambda 함수가 `challengeName: CUSTOM_CHALLENGE`, `issueTokens: false` 및 `failAuthentication: false`로 응답합니다. 암호 확인을 사용하여 사용자 지정 인증 흐름을 시작하지 않으려면 `CHALLENGE_NAME: CUSTOM_CHALLENGE`를 포함한 `AuthParameters` 맵으로 로그인을 시작하면 됩니다.

1. 모든 챌린지에 응답할 때까지 챌린지 루프가 반복됩니다.

다음은 SRP 흐름을 사용하여 사용자 지정 인증에 앞서 시작되는 `InitiateAuth` 요청의 예입니다.

```
{
    "AuthFlow": "CUSTOM_AUTH",
    "ClientId": "1example23456789",
    "AuthParameters": {
        "CHALLENGE_NAME": "SRP_A",
        "USERNAME": "testuser",
        "SRP_A": "[SRP_A]",
        "SECRET_HASH": "[secret hash]"
    }
}
```

### 사용자 지정 인증 SRP 흐름의 암호 재설정
<a name="user-pool-lambda-challenge-force-password-change"></a>

사용자가 `FORCE_CHANGE_PASSWORD` 상태인 경우 사용자 지정 인증 흐름은 인증 문제의 무결성을 유지하면서 암호 변경 단계를 통합해야 합니다. Amazon Cognito는 `NEW_PASSWORD_REQUIRED` 문제 중에 [인증 문제 정의](user-pool-lambda-define-auth-challenge.md) Lambda 트리거를 호출합니다. 이 시나리오에서는 사용자 지정 문제 흐름 및 SRP 인증으로 로그인하는 사용자가 암호 재설정 상태인 경우 새 암호를 설정할 수 있습니다.

사용자가 `RESET_REQUIRED` 또는 `FORCE_CHANGE_PASSWORD` 상태인 경우 `NEW_PASSWORD`를 사용하여 `NEW_PASSWORD_REQUIRED` 문제에 [응답](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_RespondToAuthChallenge.html#API_RespondToAuthChallenge_RequestParameters)해야 합니다. SRP를 사용한 사용자 지정 인증에서 Amazon Cognito는 사용자가 SRP `NEW_PASSWORD_REQUIRED` 문제를 완료한 후 `PASSWORD_VERIFIER` 문제를 반환합니다. 인증 문제 정의 트리거는 `session` 배열에서 두 문제 결과를 모두 수신하며 사용자가 암호를 성공적으로 변경한 후 추가 사용자 지정 문제를 진행할 수 있습니다.

인증 문제 정의 Lambda 트리거는 SRP 인증, 암호 재설정 및 후속 사용자 지정 문제를 통해 문제 시퀀스를 관리해야 합니다. 트리거는 `PASSWORD_VERIFIER` 및 `NEW_PASSWORD_REQUIRED` 결과를 포함하여 `session` 파라미터에서 완료된 문제 배열을 수신합니다. 구현 예는 [인증 챌린지 정의 예제](user-pool-lambda-define-auth-challenge.md#aws-lambda-triggers-define-auth-challenge-example) 섹션을 참조하세요.

#### 인증 흐름 단계
<a name="user-pool-lambda-challenge-password-flow-steps"></a>

사용자 지정 문제 전에 암호를 확인해야 하는 사용자의 경우 프로세스는 다음 단계를 따릅니다.

1. 앱이 `AuthParameters` 맵으로 `InitiateAuth` 또는 `AdminInitiateAuth`를 호출하여 로그인을 시작합니다. 파라미터에는 `CHALLENGE_NAME: SRP_A`와, `SRP_A` 및 `USERNAME`에 대한 값이 포함되어야 합니다.

1. Amazon Cognito는 `challengeName: SRP_A` 및 `challengeResult: true`를 포함하는 초기 세션과 함께 인증 문제 정의 Lambda 트리거를 호출합니다.

1. 이러한 입력을 수신한 후 Lambda 함수는 `challengeName: PASSWORD_VERIFIER`, `issueTokens: false`, `failAuthentication: false`로 응답합니다.

1. 암호 확인에 성공하면 다음 두 가지 중 하나가 발생합니다.  
**정상 상태인 사용자의 경우:**  
Amazon Cognito가 `challengeName: PASSWORD_VERIFIER` 및 `challengeResult: true`가 포함된 새 세션을 사용하여 Lambda 함수를 다시 호출합니다.  
사용자 지정 문제를 시작하려면 Lambda 함수가 `challengeName: CUSTOM_CHALLENGE`, `issueTokens: false` 및 `failAuthentication: false`로 응답합니다.  
**`RESET_REQUIRED` 또는 `FORCE_CHANGE_PASSWORD` 상태의 사용자의 경우:**  
Amazon Cognito는 `challengeName: PASSWORD_VERIFIER` 및 `challengeResult: true`가 포함된 세션을 사용하여 Lambda 함수를 호출합니다.  
Lambda 함수는 `challengeName: NEW_PASSWORD_REQUIRED`, `issueTokens: false`, `failAuthentication: false`와 함께 응답해야 합니다.  
암호 변경에 성공하면 Amazon Cognito는 `PASSWORD_VERIFIER` 및 `NEW_PASSWORD_REQUIRED` 결과가 모두 포함된 세션으로 Lambda 함수를 호출합니다.  
사용자 지정 문제를 시작하려면 Lambda 함수가 `challengeName: CUSTOM_CHALLENGE`, `issueTokens: false` 및 `failAuthentication: false`로 응답합니다.

1. 모든 챌린지에 응답할 때까지 챌린지 루프가 반복됩니다.

암호 확인을 사용하여 사용자 지정 인증 흐름을 시작하지 않으려면 `CHALLENGE_NAME: CUSTOM_CHALLENGE`를 포함한 `AuthParameters` 맵으로 로그인을 시작하면 됩니다.

#### 세션 관리
<a name="user-pool-lambda-challenge-session-management"></a>

인증 흐름은 일련의 세션 IDs 및 문제 결과를 통해 세션 연속성을 유지합니다. 각 문제 응답은 세션 재사용 오류를 방지하기 위해 새 세션 ID를 생성합니다. 이는 다중 인증 흐름에 특히 중요합니다.

문제 결과는 Lambda 트리거가 수신하는 세션 배열에 시간순으로 저장됩니다. `FORCE_CHANGE_PASSWORD` 상태인 사용자의 경우 세션 배열에는 다음이 포함됩니다.

1. `session[0]` - 초기 `SRP_A` 문제

1. `session[1]` - `PASSWORD_VERIFIER` 결과

1. `session[2]` - `NEW_PASSWORD_REQUIRED` 결과

1. 후속 요소 - 추가 사용자 지정 문제의 결과

#### 인증 흐름 예시
<a name="user-pool-lambda-challenge-example-flow"></a>

다음 예제에서는 암호 변경과 사용자 지정 CAPTCHA 문제를 모두 완료해야 하는 `FORCE_CHANGE_PASSWORD` 상태의 사용자에 대한 전체 사용자 지정 인증 흐름을 보여줍니다.

1. **InitiateAuth 요청**

   ```
   {
       "AuthFlow": "CUSTOM_AUTH",
       "ClientId": "{{1example23456789}}",
       "AuthParameters": {
           "CHALLENGE_NAME": "SRP_A",
           "USERNAME": "{{testuser}}",
           "SRP_A": "{{[SRP_A]}}"
       }
   }
   ```

1. **InitiateAuth 응답**

   ```
   {
       "ChallengeName": "PASSWORD_VERIFIER",
       "ChallengeParameters": {
           "USER_ID_FOR_SRP": "{{testuser}}"
       },
       "Session": "{{[session_id_1]}}"
   }
   ```

1. **`PASSWORD_VERIFIER`를 사용한 RespondToAuthChallenge 요청**

   ```
   {
       "ChallengeName": "PASSWORD_VERIFIER",
       "ClientId": "{{1example23456789}}",
       "ChallengeResponses": {
           "PASSWORD_CLAIM_SIGNATURE": "{{[claim_signature]}}",
           "PASSWORD_CLAIM_SECRET_BLOCK": "{{[secret_block]}}",
           "TIMESTAMP": "{{[timestamp]}}",
           "USERNAME": "{{testuser}}"
       },
       "Session": "{{[session_id_1]}}"
   }
   ```

1. **`NEW_PASSWORD_REQUIRED` 문제가 포함된 RespondToAuthChallenge 응답**

   ```
   {
       "ChallengeName": "NEW_PASSWORD_REQUIRED",
       "ChallengeParameters": {},
       "Session": "{{[session_id_2]}}"
   }
   ```

1. **`NEW_PASSWORD_REQUIRED`를 사용한 RespondToAuthChallenge 요청**

   ```
   {
       "ChallengeName": "NEW_PASSWORD_REQUIRED",
       "ClientId": "{{1example23456789}}",
       "ChallengeResponses": {
           "NEW_PASSWORD": "{{[password]}}",
           "USERNAME": "{{testuser}}"
       },
       "Session": "{{[session_id_2]}}"
   }
   ```

1. **CAPTCHA 사용자 지정 문제를 사용한 RespondToAuthChallenge 응답**

   ```
   {
       "ChallengeName": "CUSTOM_CHALLENGE",
       "ChallengeParameters": {
           "captchaUrl": "url/123.jpg"
       },
       "Session": "{{[session_id_3]}}"
   }
   ```

1. **CAPTCHA 사용자 지정 문제에 대한 답변이 포함된 RespondToAuthChallenge 요청**

   ```
   {
       "ChallengeName": "CUSTOM_CHALLENGE",
       "ClientId": "{{1example23456789}}",
       "ChallengeResponses": {
           "ANSWER": "{{123}}",
           "USERNAME": "{{testuser}}"
       },
       "Session": "{{[session_id_3]}}"
   }
   ```

**6. 최종 성공 응답**

```
{
    "AuthenticationResult": {
        "AccessToken": "{{eyJra456defEXAMPLE}}",
        "ExpiresIn": 3600,
        "IdToken": "{{eyJra789ghiEXAMPLE}}",
        "RefreshToken": "{{eyJjd123abcEXAMPLE}}",
        "TokenType": "Bearer"
    },
    "ChallengeParameters": {}
}
```