Termos e conceitos comuns do Amazon Cognito

Um token web JSON (JWT) que contém informações sobre a autorização de uma entidade para acessar sistemas de informação.

Normalmente, um aplicativo móvel. Neste guia, o aplicativo geralmente é uma abreviação de um aplicativo web ou aplicativo móvel que se conecta ao Amazon Cognito.

Modelo em que um aplicativo determina o acesso aos recursos com base nas propriedades de um usuário, como seu cargo ou departamento. As ferramentas do Amazon Cognito para aplicar o ABAC incluem tokens de ID em grupos de usuários e tags de entidades principais em bancos de identidades.

O processo de estabelecer uma identidade autêntica para fins de acesso a um sistema de informação. O Amazon Cognito aceita provas de autenticação de provedores de identidades de terceiros e também serve como provedor de autenticação para aplicações de software.

Um processo de concessão de permissões para um recurso. Os tokens de acesso ao grupo de usuários contêm informações que as aplicações podem usar para permitir que usuários e sistemas acessem recursos.

Um sistema OAuth ou OpenID Connect (OIDC) que gera tokens web JSON. O servidor de autorização gerenciado de grupos de usuários do Amazon Cognito é o componente do servidor de autorização dos dois métodos de autenticação e autorização nos grupos de usuários. Os grupos de usuários também são compatíveis com fluxos de resposta a desafios da API na autenticação do SDK.

Uma aplicação à qual os usuários se conectam remotamente, com código em um servidor de aplicações e acesso a segredos. Normalmente, uma aplicação web.

Serviço que armazena e verifica as identidades dos usuários. O Amazon Cognito pode solicitar autenticação de fornecedores externos e ser um IdP para aplicações.

Um documento formatado em JSON que contém declarações sobre um usuário autenticado. Os tokens de ID autenticam usuários, os tokens de acesso autorizam os usuários e os tokens de atualização atualizam as credenciais. O Amazon Cognito recebe tokens de fornecedores externos e emite tokens para aplicações ou AWS STS.

O processo de autorização de solicitações para endpoints de API para entidades de máquina que não interagem com o usuário, como um nível de aplicação de servidor web. Os grupos de usuários fornecem autorização de M2M em concessões de credenciais de cliente com escopos do OAuth 2.0 em tokens de acesso.

A exigência de que os usuários forneçam autenticação adicional após informarem nome de usuário e senha. Os grupos de usuários do Amazon Cognito têm recursos de MFA para usuários locais.

Um IdP para um grupo de usuários ou banco de identidades que fornece acesso ao JWT e aos tokens de atualização. Os grupos de usuários do Amazon Cognito automatizam as interações com provedores sociais após a autenticação dos usuários.

Um IdP para um grupo de usuários ou banco de identidades que estende à especificação OAuth para fornecer tokens de ID. Os grupos de usuários do Amazon Cognito automatizam as interações com provedores OIDC após a autenticação dos usuários.

Uma forma de autenticação na qual as chaves criptográficas, ou chaves de acesso, no dispositivo de um usuário fornecem sua prova de autenticação. Os usuários verificam sua presença com mecanismos biométricos ou de código PIN em um autenticador de hardware ou software. As chaves de acesso são resistentes ao phishing e estão vinculadas a sites/aplicações específicos, oferecendo uma experiência segura sem senha. Os grupos de usuários do Amazon Cognito oferecem suporte ao login com chaves de acesso.

Uma forma de autenticação na qual o usuário não precisa digitar uma senha. Os métodos de login sem senha incluem senhas de uso único (OTPs) enviadas para endereços de e-mail, números de telefone e chaves de acesso. Os grupos de usuários do Amazon Cognito oferecem suporte ao login com OTPs e chaves de acesso.

Um aplicativo independente em um dispositivo, com código armazenado localmente e sem acesso a segredos. Normalmente, um aplicativo móvel.

Uma API com controle de acesso. Os grupos de usuários do Amazon Cognito também usam o servidor de recursos para descrever o componente que define a configuração para interagir com uma API.

Modelo que concede acesso com base na designação funcional do usuário. Os bancos de identidades do Amazon Cognito implementam o RBAC com diferenciação entre os perfis do IAM.

Aplicação que depende de um IdP para atestar que os usuários são confiáveis. O Amazon Cognito atua como SP para IdPs externos e como IdP para SPs baseados em aplicações.

IdP para um grupo de usuários ou banco de identidades que gera documentos de declaração assinados digitalmente que seu usuário passa para o Amazon Cognito.

Um rótulo de 128 bits aplicado a um objeto. Os UUIDs do Amazon Cognito são exclusivos por grupo de usuários ou banco de identidades, mas não seguem um formato específico de UUID.

Conjunto de usuários e seus atributos que fornece essas informações para outros sistemas. Os grupos de usuários do Amazon Cognito são diretórios e também ferramentas para consolidar usuários a partir de diretórios de usuários externos.

Um recurso de segurança avançada que detecta possíveis atividades mal-intencionadas e aplica segurança adicional aos perfis de usuário.

Componente que define as configurações de um grupo de usuários como um IdP para uma aplicação.

Uma configuração em um cliente de aplicação e um parâmetro nas solicitações ao servidor de autorização do grupo de usuários. O URL de retorno de chamada é o destino inicial dos usuários autenticados na aplicação.

Uma forma de autenticação de API com grupos de usuários em que cada usuário tem um conjunto de opções de login disponíveis. Suas opções podem incluir nome de usuário e senha com ou sem MFA, login com chave de acesso ou login sem senha com senhas de uso único enviadas por e-mail ou SMS. Sua aplicação pode moldar o processo de escolha dos usuários solicitando uma lista de opções de autenticação ou declarando uma opção preferencial.

Compare com a autenticação baseada em clientes.

Uma forma de autenticação com a API de grupos de usuários e os backends de aplicações criados com os SDKs da AWS. Na autenticação declarativa, sua aplicação determina de forma independente o tipo de login que um usuário deve realizar e solicita esse tipo antecipadamente.

Compare com a autenticação baseada em opções.

Um recurso de segurança avançada que detecta senhas de usuários que os invasores possam conhecer e aplica segurança adicional aos perfis de usuário.

Processo que determina que os pré-requisitos foram atendidos para permitir que um novo usuário faça login. A confirmação geralmente é feita por meio da verificação do endereço de e-mail ou número de telefone.

Uma extensão dos processos de autenticação com acionadores do Lambda que definem desafios e respostas adicionais do usuário.

Processo de autenticação que substitui o MFA por um login que usa o ID de um dispositivo confiável.

Um domínio da web que hospeda suas páginas de login gerenciado na AWS. Você pode configurar o DNS em um domínio que possui ou usar um prefixo de subdomínio de identificação em um domínio que pertence à AWS.

O plano de recursos com os últimos desenvolvimentos em grupos de usuários. O plano Essentials não inclui os recursos de segurança de aprendizado automatizado presentes no plano Plus.

IdP que tem uma relação de confiança com um grupo de usuários. Os grupos de usuários servem como uma entidade intermediária entre provedores externos e sua aplicação, gerenciando processos de autenticação com SAML 2.0, OIDC e provedores sociais. Os grupos de usuários consolidam os resultados de autenticação de provedores externos em um único IdP para que suas aplicações possam processar muitos usuários usando uma única biblioteca de cliente OIDC.

O grupo de recursos que você pode selecionar para um grupo de usuários. Os planos de recursos têm custos diferentes em sua fatura da AWS. Novos grupos de usuários usam como padrão o plano Essentials.

Usuário em um grupo de usuários que foi autenticado por um provedor externo.

A versão inicial dos serviços de frontend de autenticação, parte confiável e provedor de identidades no domínio do grupo de usuários. A IU hospedada tem um conjunto básico de recursos e uma aparência simplificada. Você pode aplicar a identidade visual de IU hospedada com o upload de um arquivo de imagem de logotipo e um arquivo com um conjunto predeterminado de estilos CSS. Compare com o login gerenciado.

Função no AWS Lambda que um grupo de usuários pode invocar automaticamente em pontos-chave nos processos de autenticação de usuários. Você pode usar os acionadores do Lambda para personalizar os resultados da autenticação.

Um perfil de usuário no diretório de usuários do grupo de usuários que não foi criado pela autenticação com um provedor externo.

Usuário de um provedor externo cuja identidade é mesclada com a de um usuário local.

O plano de recursos com os recursos lançados originalmente com grupos de usuários. O plano Lite não inclui os novos recursos do plano Essentials nem os recursos de segurança de aprendizado automatizado no plano Plus.

Um componente do login gerenciado que hospeda serviços para interação com IdPs e aplicações no domínio do grupo de usuários. A IU hospedada difere do login gerenciado nos recursos interativos com o usuário que oferece, mas tem os mesmos recursos do servidor de autorização.

Um conjunto de páginas da web no domínio do grupo de usuários que hospeda serviços para autenticação do usuário. Esses serviços incluem funções para operar como um IdP, uma parte confiável para IdPs de terceiros e um servidor de uma IU de autenticação interativa com o usuário. Quando você configura um domínio para o grupo de usuários, o Amazon Cognito coloca todas as páginas de login gerenciado online.

Sua aplicação importa bibliotecas do OIDC que invocam os navegadores dos usuários e os direcionam para a IU de login gerenciado para cadastro, login, gerenciamento de senhas e outras operações de autenticação. Após a autenticação, as bibliotecas do OIDC podem processar o resultado da solicitação de autenticação.

O login com os serviços no domínio do grupo de usuários é feito por meio de páginas do navegador interativas com o usuário ou solicitações de API HTTPS. As aplicações lidam com a autenticação de login gerenciado com bibliotecas do OpenID Connect (OIDC). Esse processo inclui login com provedores externos, login de usuários locais com páginas de login gerenciado interativas e autorização M2M. A autenticação com a IU hospedada clássica também se enquadra nesse termo.

Compare com a autenticação do SDK da AWS.

O plano de recursos com os últimos desenvolvimentos e recursos avançados de segurança em grupos de usuários.

Um conjunto de operações de API de autenticação e autorização que você pode adicionar ao backend da sua aplicação com um SDK da AWS. Esse modelo de autenticação requer um mecanismo de login personalizado. A API pode cadastrar usuários locais usuários vinculados.

Compare com a autenticação de login gerenciado.

Nos grupos de usuários, a proteção contra ameaças se refere às tecnologias projetadas para mitigar ameaças aos seus mecanismos de autenticação e autorização. Autenticação adaptativa, detecção de credenciais comprometidas e listas de bloqueio de endereços IP são exemplos de proteção contra ameaças.

O resultado de um acionador do Lambda que antecede a geração do token e que modifica o ID do usuário ou o token de acesso em tempo de execução.

Um recurso da AWS com serviços de autenticação e autorização para aplicações que funcionam com IdPs do OIDC.

Processo de confirmar que um usuário tem um endereço de e-mail ou número de telefone. Um grupo de usuários envia um código a um usuário que inseriu um novo endereço de e-mail ou número de telefone. Quando ele envia o código para o Amazon Cognito, verifica a propriedade do destino da mensagem e pode receber mensagens adicionais do grupo de usuários. Veja também confirmação.

Uma entrada para um usuário no diretório de usuários. Todos os usuários, incluindo aqueles de IdPs de terceiros, têm um perfil no grupo de usuários.

Uma implementação de controle de acesso por atributo em bancos de identidades. Os bancos de identidades aplicam atributos do usuário como tags às credenciais do usuário.

Processo de autenticação em que você pode personalizar a solicitação de credenciais do usuário.

Processo de autenticação que autoriza as credenciais do usuário do banco de identidades com as credenciais do desenvolvedor.

As chaves de API do IAM de um administrador do banco de identidades.

Um fluxo de autenticação que seleciona um perfil do IAM e aplica as tags de entidade principal de acordo com a lógica que você define no banco de identidades.

Um UUID que vincula um usuário da aplicação e suas credenciais de usuário ao perfil em um diretório de usuários externo que tem uma relação de confiança com um banco de identidades.

Um recurso da AWS com serviços de autenticação e autorização para aplicações que usam credenciais temporárias da AWS.

Um usuário que não fez login com um IdP do banco de identidades. Você pode permitir que os usuários gerem credenciais de usuário limitadas para um único perfil do IAM antes da autenticação.

Chaves de API temporárias da AWS que os usuários recebem após a autenticação no banco de identidades.