Como criar contas de usuário como administrador - Amazon Cognito
Fluxos de autenticação de usuários e criação de usuáriosCriar usuários sem senhasCriar usuários que fornecerão valores de atributos obrigatórios posteriormenteComo criar um novo usuário no Console de gerenciamento da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como criar contas de usuário como administrador

Os grupos de usuários não são apenas um diretório de usuários do gerenciamento de identidade e acesso do cliente (CIAM), em que qualquer pessoa na Internet pode cadastrar um perfil de usuário na aplicação. Você pode desativar o cadastro por autoatendimento. Talvez você já conheça seus clientes e queira admitir apenas aqueles que foram autorizados com antecedência. Você pode colocar barreiras de proteção na autenticação manual da aplicação com um provedor de identidades SAML 2.0 ou OIDC privado, importando usuários, examinando usuários no momento do cadastro ou criando usuários com operações administrativas de API. Seu fluxo de trabalho para criação administrativa de usuários pode ser programático, provisionando usuários após o registro em outro sistema, ou pode ser baseado em testes case-by-case ou no console do Amazon Cognito.

Quando você cria usuários como administrador, o Amazon Cognito define uma senha temporária para eles e envia uma mensagem de boas-vindas ou convite. Eles podem seguir o link na mensagem de convite e fazer login pela primeira vez, definindo uma senha e confirmando a conta. A página a seguir descreve como criar usuários e configurar a mensagem de boas-vindas. Para obter mais informações sobre a criação de usuários com a API de grupos de usuários e um AWS SDK ou CDK, consulte. AdminCreateUser

Depois de criar seu grupo de usuários, você pode criar usuários usando a Console de gerenciamento da AWS, bem como a API do AWS Command Line Interface Amazon Cognito. Você pode criar um perfil para um novo usuário em um grupo de usuários e enviar uma mensagem de boas-vindas com instruções de cadastro por SMS ou e-mail.

Veja a seguir alguns exemplos de como os administradores podem gerenciar usuários em grupos de usuários.

Os administradores também podem fazer login de usuários com AWS credenciais em um aplicativo do lado do servidor. Para obter mais informações, consulte Modelos de autorização para autenticação de API e SDK.

Fluxos de autenticação de usuários e criação de usuários

A criação administrativa de usuários tem opções que diferem com base na configuração do seu grupo de usuários. Os fluxos de autenticação, ou métodos disponíveis aos usuários para login e MFA, podem alterar a forma como você cria usuários e as mensagens enviadas a eles. Veja a seguir alguns fluxos de autenticação disponíveis em grupos de usuários.

  • Nome de usuário e senha

  • Chaves de acesso

  • Faça login com terceiros IdPs

  • Sem senha com senhas de uso único por e-mail e SMS () OTPs

  • Autenticação multifatorial com e-mail, SMS e aplicativo autenticador OTPs

  • Autenticação personalizada com acionadores do Lambda

Para obter mais informações sobre como configurar esses fatores de login, consulte Autenticação com grupos de usuários do Amazon Cognito.

Criar usuários sem senhas

Se o login sem senha estiver habilitado para seu grupo de usuários, você poderá criar usuários sem senhas. Forneça valores de atributos para um fator de login sem senha disponível para criar um usuário sem uma senha. Por exemplo, se o login sem senha com OTP enviada por e-mail estiver disponível em seu grupo de usuários, você poderá criar um usuário sem senha e com um atributo de endereço de e-mail. Se os únicos fluxos de autenticação disponíveis para novos usuários exigirem uma senha, por exemplo, chave de acesso ou nome de usuário e senha, você deverá criar ou gerar uma senha temporária para cada novo usuário.

Como criar um novo usuário sem uma senha

  • Selecione Não defina uma senha no console do Amazon Cognito

  • Omita ou deixe em branco o parâmetro TemporaryPassword da solicitação de API AdminCreateUser

Usuários sem senhas são confirmados automaticamente

Normalmente, novos usuários recebem uma senha temporária e entram em um status FORCE_CHANGE_PASSWORD ao serem criados. Quando você cria usuários sem senhas, eles imediatamente entram em um estado CONFIRMED. Você não pode reenviar códigos de confirmação para esses usuários no estado CONFIRMED.

As mensagens de convite mudam para usuários sem senhas.

Por padrão, o Amazon Cognito envia uma mensagem de convite para novos usuários que diz: Your username is {userName} and your password is {####}. Quando você cria usuários sem senha, a mensagem diz: Your username is {userName}. Personalize sua mensagem de convite para refletir se você definirá senhas para os usuários. Omita a variável de senha {####} nos modelos de autenticação sem senha.

Não é possível gerar senhas automaticamente quando fatores sem senha estão disponíveis

Se configurou o grupo de usuários para oferecer suporte ao login sem senha com OTP enviada por e-mail ou telefone, você não conseguirá gerar uma senha automaticamente. Para os usuários que terão uma senha, você deverá definir uma senha temporária ao criar os perfis deles.

Os usuários sem senha devem ter valores para todos os atributos obrigatórios

Quando você cria um usuário sem uma senha, sua solicitação só é bem-sucedida se o usuário fornecer valores para todos os atributos que você marcou como obrigatórios em seu grupo de usuários. Isso se aplica a qualquer atributo obrigatório, não somente aos atributos de número de telefone e e-mail obrigatórios para a entrega da OTP.

Criar usuários que fornecerão valores de atributos obrigatórios posteriormente

É recomendável exigir atributos em seu grupo de usuários. No entanto, colete esses atributos após a criação administrativa de usuários, durante a interação do usuário na aplicação. Os administradores podem omitir valores para os atributos obrigatórios ao criar usuários com senhas temporárias. Você não pode omitir valores de atributos obrigatórios para usuários sem senha.

Os usuários com valores ausentes para os atributos obrigatórios e uma senha temporária recebem um desafio NEW_PASSWORD_REQUIRED no primeiro login. Em seguida, eles podem informar um valor para os atributos obrigatórios ausentes no parâmetro requiredAttributes. Você pode criar usuários com senhas e sem atributos obrigatórios somente se todos os atributos obrigatórios forem mutáveis. Os usuários só podem concluir o login com desafios NEW_PASSWORD_REQUIRED e valores de atributos obrigatórios se esses atributos forem graváveis pelo cliente de aplicação que eles usam para fazer login.

Ao definir uma senha permanente para um usuário criado pelo administrador, o status muda para CONFIRMED e seu grupo de usuários não solicita uma nova senha ou atributos obrigatórios no primeiro login.

Como criar um novo usuário no Console de gerenciamento da AWS

É possível definir requisitos de senha de usuário, configurar as mensagens de convite e verificação enviadas aos usuários e adicionar novos usuários com o console do Amazon Cognito.

Definir uma política de senha e habilitar a autoinscrição

Você pode definir as configurações para a complexidade mínima da senha e se os usuários podem se inscrever usando public APIs em seu grupo de usuários.

Configurar uma política de senhas

  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Clique no menu Métodos de autenticação e localize Política de senha. Escolha Editar.

  4. Selecione o Password policy mode (Modo de política de senha) Custom (Personalizado).

  5. Selecione um Password minimum length (Comprimento mínimo da senha). Para os limites do requisito de tamanho da senha, consulte Cotas de recursos de grupos de usuários.

  6. Selecione um requisito de Password complexity (Complexidade de senha).

  7. Escolha por quanto tempo a senha definida pelos administradores deve ser válida.

  8. Escolha Salvar alterações.

Permitir cadastro por autoatendimento

  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Clique no menu Cadastrar-se e localize Cadastro por autoatendimento. Selecione Edit (Editar).

  4. Escolha se deseja Enable self-registration (Habilitar a autoinscrição). O autorregistro geralmente é usado com clientes de aplicativos públicos que precisam registrar novos usuários em seu grupo de usuários sem distribuir um segredo de cliente ou credenciais de API AWS Identity and Access Management (IAM).

    Como desabilitar a autoinscrição

    Se você não habilitar a autoinscrição, os novos usuários deverão ser criados por ações administrativas da API usando credenciais da API do IAM ou mediante login com provedores federados.

  5. Escolha Salvar alterações.

Personalizar mensagens de e-mail e de SMS

Personalizar mensagens de usuário

É possível personalizar as mensagens que o Amazon Cognito envia aos seus usuários quando você os convida para o acesso, eles se cadastram em uma conta de usuário ou acessam e são solicitados a fazer a autenticação multifator (MFA).

nota

Uma Invitation message (Mensagem de convite) é enviada quando você cria um usuário em seu grupo de usuários e o convida a acessar. O Amazon Cognito envia informações iniciais de acesso para o endereço de e-mail ou o número de telefone do usuário.

Uma Verification message (Mensagem de verificação) é enviada quando um usuário se cadastra em uma conta no grupo de usuários. O Amazon Cognito envia um código para o usuário. Quando o usuário fornece o código ao Amazon Cognito, ele verifica suas informações de contato e confirma sua conta para acesso. Códigos de verificação são válidos por 24 horas.

Uma MFA message (Mensagem de MFA) é enviada quando você habilita o SMS de MFA em seu grupo de usuários e um usuário que tenha configurado o SMS de MFA faz o acesso e a MFA é solicitada.

  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Escolha o menu Modelos de mensagens e selecione Mensagem de verificação, Mensagem de convite ou Mensagem de MFA e clique em Editar.

  4. Personalize as mensagens para o tipo de mensagem escolhido.

    nota

    Todas as variáveis nos modelos de mensagens devem ser incluídas quando você personaliza a mensagem. Se a variável, por exemplo {####}, não for incluída, seu usuário não terá informações suficientes para concluir a ação da mensagem.

    Para mais informações, consulte Modelos de mensagens.

    1. Mensagens de verificação

      1. Selecione um Verification type (Tipo de verificação) para mensagens de Email (E-mail). Um verificação por Code (Código) envia um código numérico que o usuário deve inserir. Uma verificação por Link (Link) envia um link no qual o usuário pode clicar para verificar suas informações de contato. O texto na variável para uma mensagem de Link é exibido como texto com hiperlink. Por exemplo, um modelo de mensagem usando a variável {##Clique aqui##} é exibido como Clique aqui na mensagem de e-mail.

      2. Insira um Email subject (Assunto do e-mail) para mensagens de Email (E-mail).

      3. Insira um modelo personalizado de Email message (Mensagem de e-mail) para mensagens de Email (E-mail). Você pode personalizar esse modelo usando código em HTML.

      4. Insira um modelo personalizado de SMS message (Mensagem SMS) para mensagens de SMS (SMS).

      5. Escolha Salvar alterações.

    2. Mensagens de convite

      1. Insira um Email subject (Assunto do e-mail) para mensagens de Email (E-mail).

      2. Insira um modelo personalizado de Email message (Mensagem de e-mail) para mensagens de Email (E-mail). Você pode personalizar esse modelo usando código em HTML.

      3. Insira um modelo personalizado de SMS message (Mensagem SMS) para mensagens de SMS (SMS).

      4. Escolha Salvar alterações.

    3. Mensagens de MFA

      1. Insira um modelo personalizado de SMS message (Mensagem SMS) para mensagens de SMS (SMS).

      2. Escolha Salvar alterações.

Criar um usuário

Criar um usuário

Você pode criar novos usuários para seu grupo de usuários diretamente do console do Amazon Cognito. Normalmente, os usuários podem fazer login depois que eles definem uma senha. Para acesso com um endereço de e-mail, o usuário precisa verificar o atributo email. Para fazer login com um número de telefone, o usuário deve verificar o atributo phone_number. Para confirmar contas como administrador, você também pode usar a API AWS CLI ou ou criar perfis de usuário com um provedor de identidade federado. Para mais informações, consulte a Referência de API do Amazon Cognito.

  1. Acesse o console do Amazon Cognito e escolha User Pools (Grupos de usuários).

  2. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  3. Clique no menu Usuários e, em seguida, selecione Criar um usuário.

  4. Revise os User pool sign-in and security requirements (Requisitos de acesso e segurança do grupo de usuários) para obter orientações sobre requisitos de senha, métodos de recuperação de conta disponíveis e atributos de alias para seu grupo de usuários.

  5. Escolha como você deseja enviar uma Invitation message (Mensagem de convite). Escolha mensagem SMS, mensagem de e-mail ou ambos. Para suprimir a mensagem de convite, clique em Não enviar um convite.

    nota

    Para que você possa enviar mensagens de convite, configure um remetente e uma Região da AWS com o Amazon Simple Notification Service e o Amazon Simple Email Service no menu Métodos de autenticação do grupo de usuários. Aplicam-se tarifas de mensagens e dados do destinatário da mensagem. A cobrança de mensagens de e-mail pelo Amazon SES e de mensagens SMS pelo Amazon SNS é feita separadamente.

  6. Selecione um Username (Nome de usuário) para o novo usuário.

  7. Escolha Create a password (Criar uma senha) ou Generate a password (Gerar uma senha) se desejar que o Amazon Cognito gere uma senha para o usuário. A opção de gerar uma senha não estará disponível se o login sem senha estiver habilitado no grupo de usuários. Qualquer senha temporária deve aderir à política de senha do grupo de usuários.

  8. Escolha Criar.

  9. Clique no menu Usuários e selecione o Nome de usuário correspondente. Adicione e edite User attributes (Atributos do usuário) e Group memberships (Associações de grupo). Examine User event history (Histórico de eventos do usuário).