As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# O que é o Amazon Cognito?
O Amazon Cognito é uma plataforma de identidade para aplicações web e aplicativos móveis. É um diretório de usuários, um servidor de autenticação e um serviço de autorização para tokens e AWS credenciais de acesso OAuth 2.0. Com o Amazon Cognito, você pode autenticar e autorizar usuários do diretório de usuários integrado, de seu diretório corporativo e de provedores de identidades de consumidores, como Google e Facebook.
**Topics**
+ [Grupos de usuários](#what-is-amazon-cognito-user-pools)
+ [Bancos de identidades](#what-is-amazon-cognito-identity-pools)
+ [Recursos do Amazon Cognito](#what-is-amazon-cognito-features)
+ [Comparação entre grupos de usuários e bancos de identidades do Amazon Cognito](#what-is-amazon-cognito-features-comparison)
+ [Conceitos básicos do Amazon Cognito](#getting-started-overview)
+ [Disponibilidade regional](#getting-started-regional-availability)
+ [Preços do Amazon Cognito](#pricing-for-amazon-cognito)
+ [Termos e conceitos comuns do Amazon Cognito](cognito-terms.md)
+ [Começando com AWS](cognito-getting-started-account-iam.md)
Os dois componentes a seguir formam o Amazon Cognito. Eles operam de maneira independente ou em conjunto, com base nas necessidades de acesso dos usuários.
## Grupos de usuários
![\[Amazon Cognito user pool authentication flow with app, identity provider, and API/Database.\]](http://docs.aws.amazon.com/pt_br/cognito/latest/developerguide/images/user-pools-overview.png)
Crie um grupo de usuários quando quiser autenticar e autorizar usuários em sua aplicação ou API. Os grupos de usuários são um diretório de usuários com criação, gerenciamento e autenticação de usuários por autoatendimento e orientados pelo administrador. O grupo de usuários pode ser um diretório independente e um provedor de identidades (IdP) OIDC e um provedor de serviços (SP) intermediário para provedores de terceiros de identidades de funcionários e clientes. Você pode fornecer login único (SSO) em seu aplicativo para as identidades da força de trabalho da sua organização no SAML 2.0 e no OIDC com grupos de usuários. IdPs Você também pode fornecer SSO em seu aplicativo para as identidades de clientes da sua organização nas lojas públicas de identidade OAuth 2.0 Amazon, Google, Apple e Facebook. Para obter mais informações sobre o gerenciamento de identidade e acesso de cliente (CIAM), consulte [What is CIAM?](https://aws.amazon.com/what-is/ciam/).
Os grupos de usuários não exigem integração com um banco de identidades. Em um grupo de usuários, você pode emitir tokens web JSON autenticados (JWTs) diretamente para um aplicativo, um servidor web ou uma API.
## Bancos de identidades
![\[Diagram showing Amazon Cognito federated identities flow between app, identity pool, provider, and STS.\]](http://docs.aws.amazon.com/pt_br/cognito/latest/developerguide/images/identity-pools-overview.png)
Configure um pool de identidade do Amazon Cognito quando quiser autorizar usuários autenticados ou anônimos a acessar seus recursos. AWS Um grupo de identidades emite AWS credenciais para que seu aplicativo forneça recursos aos usuários. Você pode autenticar usuários com um provedor de identidades confiável, como um grupo de usuários ou um serviço SAML 2.0. Ele também pode emitir credenciais para usuários convidados. Os grupos de identidades usam controle de acesso baseado em funções e atributos para gerenciar a autorização dos usuários para acessar seus recursos. AWS
Os bancos de identidades não exigem integração com um grupo de usuários. Um banco de identidades pode aceitar declarações autenticadas diretamente dos fornecedores de identidade de funcionários e consumidores.
**Um grupo de usuários do Amazon Cognito e um banco de identidades usados juntos**
No diagrama que inicia este tópico, você usa o Amazon Cognito para autenticar o usuário e, depois, conceder a ele acesso a um AWS service (Serviço da AWS).
1. O usuário do seu aplicativo faz login por meio de um grupo de usuários e recebe OAuth 2.0 tokens.
1. Seu aplicativo troca um token de grupo de usuários com um grupo de identidades por AWS credenciais temporárias que você pode usar com AWS APIs e o AWS Command Line Interface (AWS CLI).
1. Seu aplicativo atribui a sessão de credenciais ao seu usuário e fornece acesso autorizado ao Amazon S3 e ao Serviços da AWS Amazon DynamoDB.
Para ter mais exemplos que usam bancos de identidades e grupos de usuários, consulte [Cenários comuns do Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-scenarios.html).
No Amazon Cognito, a obrigação de *segurança da nuvem* do [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) está em conformidade com SOC 1 a 3, PCI DSS e ISO 27001 e é elegível para HIPAA-BAA. Você pode projetar sua *segurança na nuvem no* Amazon Cognito para ser compatível com SOC1 -3, ISO 27001 e HIPAA-BAA, mas não com o PCI DSS. Para mais informações, consulte [Serviços da AWS no escopo](https://aws.amazon.com/compliance/services-in-scope/). Consulta também [Considerações sobre dados regionais](https://docs.aws.amazon.com/cognito/latest/developerguide/security-cognito-regional-data-considerations.html).
## Recursos do Amazon Cognito
### Grupos de usuários
Um grupo de usuários do Amazon Cognito é um diretório de usuários. Com um grupo de usuários, os usuários podem fazer login na aplicação web ou no aplicativo móvel por meio do Amazon Cognito ou federar por meio de um IdP de terceiros. Os usuários federados e locais têm um perfil de usuário no grupo de usuários.
Os usuários locais são aqueles que se inscreveram ou que você criou diretamente no grupo de usuários. Você pode gerenciar e personalizar esses perfis de usuário no Console de gerenciamento da AWS, em um AWS SDK ou no AWS Command Line Interface (AWS CLI).
Os grupos de usuários do Amazon Cognito aceitam tokens e afirmações de terceiros IdPs e coletam os atributos do usuário em um JWT que ele emite para seu aplicativo. Você pode padronizar seu aplicativo em um conjunto de JWTs enquanto o Amazon Cognito lida IdPs com as interações, mapeando suas reivindicações em um formato de token central.
Um grupo de usuários do Amazon Cognito pode ser um IdP independente. O Amazon Cognito usa o padrão OpenID Connect (OIDC) para gerar autenticação e autorização. JWTs Quando você faz login de usuários locais, o grupo de usuários é oficial para esses usuários. Você tem acesso aos recursos a seguir ao autenticar usuários locais.
+ Implemente um front-end web próprio que chama a API de grupos de usuários do Amazon Cognito para autenticar, autorizar e gerenciar os usuários.
+ Configure a autenticação multifator (MFA) para os usuários. O Amazon Cognito aceita senha de uso único com marcação temporal (TOTP) e MFA de mensagens SMS.
+ Proteja-se contra o acesso de contas de usuários mal-intencionados que estão sob controle.
+ Crie seus próprios fluxos personalizados de autenticação em várias etapas.
+ Procure usuários em outro diretório e migre-os para o Amazon Cognito.
Um grupo de usuários do Amazon Cognito também pode desempenhar uma função dupla como provedor de serviços (SP) para o seu IdPs e um IdP para o seu aplicativo. Os grupos de usuários do Amazon Cognito podem se conectar ao consumidor, IdPs como o Facebook e o Google, ou à força de trabalho, IdPs como o Okta e o Active Directory Federation Services (ADFS).
Com os tokens OAuth 2.0 e OpenID Connect (OIDC) emitidos por um grupo de usuários do Amazon Cognito, você pode
+ Aceitar um token de ID em sua aplicação que autentique um usuário e forneça as informações necessárias para configurar o perfil do usuário.
+ Aceitar um token de acesso em sua API com os escopos do OIDC que autorizam chamadas de API dos usuários.
+ Recupere AWS credenciais de um pool de identidade do Amazon Cognito.
|
|
| Recurso | Description |
| --- |--- |
| Provedor de identidade OIDC | Emita tokens de ID para autenticar usuários |
| Servidor de autorização | Emita tokens de acesso para autorizar o acesso do usuário a APIs |
| Provedor de serviços SAML 2.0 | Transforme declarações SAML em tokens de ID e acesso |
| Parte confiável do OIDC | Transforme tokens OIDC em tokens de ID e acesso |
| Parte confiável do provedor social | Transforme tokens de ID da Apple, Facebook, Amazon ou Google em seu próprio ID e tokens de acesso |
| Serviço de front-end de autenticação | Cadastre, gerencie e autentique usuários com login gerenciado |
| Suporte de API para sua própria interface | Crie, gerencie e autentique usuários por meio de solicitações de API de autenticação no suporte ¹ AWS SDKs |
| Autenticação multifator | Use mensagens SMS ou o TOTPs dispositivo do seu usuário como um fator de autenticação adicional¹ |
| Monitoramento e resposta de segurança | Proteja-se contra atividades maliciosas e senhas inseguras¹ |
| Personalize fluxos de autenticação | Crie seu próprio mecanismo de autenticação ou adicione etapas personalizadas aos fluxos existentes² |
| Groups (Grupos) | Crie agrupamentos lógicos de usuários e uma hierarquia de declarações de função do IAM ao passar tokens para grupos de identidades |
| Personalize tokens | Personalize seu ID e tokens de acesso com reivindicações novas, modificadas e suprimidas |
| Personalize os atributos do usuário | Atribua valores aos atributos do usuário e adicione seus próprios atributos personalizados |
¹ O recurso não está disponível para usuários federados.
² O recurso não está disponível para usuários federados e de login gerenciado.
Para mais informações sobre grupos de usuários, consulte [Conceitos básicos dos grupos de usuários](getting-started-user-pools.md) e a [Referências da API de grupos de usuários do Amazon Cognito Sync](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/).
### Bancos de identidades
Um grupo de identidades é uma coleção de identificadores exclusivos, ou identidades, que você atribui aos seus usuários ou convidados e autoriza a receber credenciais temporárias. AWS Quando você apresenta a prova de autenticação para um grupo de identidades na forma de declarações confiáveis de um SAML 2.0, OpenID Connect (OIDC) ou provedor de identidade social (IdP) 2.0 OAuth , você associa seu usuário a uma identidade no grupo de identidades. O token que seu grupo de identidades cria para a identidade pode recuperar credenciais de sessão temporárias de AWS Security Token Service ()AWS STS.
Para complementar as identidades autenticadas, você também pode configurar um grupo de identidades para autorizar o acesso AWS sem a autenticação do IdP. Você pode oferecer uma prova de autenticação personalizada com [Identidades autenticadas pelo desenvolvedor](developer-authenticated-identities.md). Também pode conceder credenciais temporárias da AWS a usuários convidados, com [identidades não autenticadas](identity-pools.md#authenticated-and-unauthenticated-identities).
Com os bancos de identidades, você tem duas maneiras de se integrar às políticas do IAM em sua Conta da AWS. Você pode usar esses dois recursos juntos ou individualmente.
**Controle de acesso com base em função**
Quando o usuário transmite declarações ao banco de identidades, o Amazon Cognito escolhe o perfil do IAM que ele solicita. Para personalizar as permissões do perfil de acordo com suas necessidades, aplique as políticas do IAM a cada perfil. Por exemplo, se o usuário demonstrar que está no departamento de marketing, ele receberá credenciais para um perfil com políticas adaptadas às necessidades de acesso do departamento de marketing. O Amazon Cognito pode solicitar um perfil padrão, um perfil baseado em regras que consultam as declarações do usuário ou um perfil baseado na associação do usuário a um grupo de usuários. Você também pode configurar a política de confiança do perfil para que o IAM confie somente em seu banco de identidades para gerar sessões temporárias.
**Atributos para controle de acesso**
Seu banco de identidades lê os atributos das declarações do usuário e os correlaciona às tags de entidade principal na sessão temporária do usuário. Depois, você pode configurar as políticas baseadas em recursos do IAM para permitir ou negar acesso a recursos com base em entidades principais do IAM que carregam as tags de sessão do banco de identidades. Por exemplo, se seu usuário demonstrar que está no departamento de marketing, marque AWS STS sua sessão`Department: marketing`. Seu bucket do Amazon S3 permite operações de leitura com base em uma PrincipalTag condição [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) que exige um valor de `marketing` para a tag. `Department`
|
|
| Recurso | Description |
| --- |--- |
| Parte confiável do grupo de usuários do Amazon Cognito | Troque um token de ID do seu grupo de usuários por credenciais de identidade da web de AWS STS |
| Provedor de serviços SAML 2.0 | Declarações SAML do Exchange para credenciais de identidade na web de AWS STS |
| Parte confiável do OIDC | Troque tokens OIDC por credenciais de identidade na web de AWS STS |
| Parte confiável do provedor social | Troque OAuth tokens da Amazon, Facebook, Google, Apple e Twitter por credenciais de identidade na web de AWS STS |
| Festa de confiança personalizada | Com AWS credenciais, troque reivindicações em qualquer formato por credenciais de identidade na web de AWS STS |
| Acesso não autenticado | Emita credenciais de identidade na web de acesso limitado sem autenticação AWS STS |
| Controle de acesso com base em função | Escolha uma função do IAM para seu usuário autenticado com base em suas reivindicações e configure suas funções para serem assumidas somente no contexto do seu grupo de identidades |
| Controle de acesso por atributo | Converta declarações em tags principais para sua sessão AWS STS temporária e use políticas do IAM para filtrar o acesso a recursos com base nas tags principais |
Para mais informações sobre grupos de identidades, consulte [Conceitos básicos dos bancos de identidades do Amazon Cognito](getting-started-with-identity-pools.md) e a [Referências da API de grupos de identidades do Amazon Cognito Sync](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/).
## Comparação entre grupos de usuários e bancos de identidades do Amazon Cognito
|
|
| Recurso | Description | Grupos de usuários | Bancos de identidades |
| --- |--- |--- |--- |
| Provedor de identidade OIDC | Emita tokens de ID OIDC para autenticar usuários do aplicativo | ✓ | |
| Diretório de usuários | Armazene perfis de usuário para autenticação | ✓ | |
| Autorizar o acesso à API | Emita tokens de acesso para autorizar o acesso do usuário a APIs (incluindo operações de API de autoatendimento de perfil de usuário), bancos de dados e outros recursos que aceitam escopos OAuth | ✓ | |
| Autorização de identidade na web do IAM | Gere tokens que você pode trocar AWS STS por AWS credenciais temporárias | | ✓ |
| Provedor de serviços SAML 2.0 e provedor de identidade OIDC | Emita tokens OIDC personalizados com base em declarações de um provedor de identidade SAML 2.0 | ✓ | |
| Parte confiável do OIDC e provedor de identidade do OIDC | Emita tokens OIDC personalizados com base em declarações de um provedor de identidade OIDC | ✓ | |
| OAuth 2.0 parte confiável e provedor de identidade OIDC | Emita tokens OIDC personalizados com base nos escopos de provedores sociais OAuth 2.0, como Apple e Google | ✓ | |
| Provedor de serviços SAML 2.0 e corretor de credenciais | Emitir AWS credenciais temporárias com base em declarações de um provedor de identidade SAML 2.0 | | ✓ |
| Parte confiável e corretor de credenciais do OIDC | Emitir AWS credenciais temporárias com base em declarações de um provedor de identidade do OIDC | | ✓ |
| Parte confiável do provedor social e corretor de credenciais | Emita AWS credenciais temporárias com base em tokens web JSON de aplicativos de desenvolvedores com provedores sociais como Apple e Google | | ✓ |
| Parte confiável e agente de credenciais do grupo de usuários do Amazon Cognito | Emita AWS credenciais temporárias com base em tokens web JSON dos grupos de usuários do Amazon Cognito | | ✓ |
| Parceiro confiável e corretor de credenciais personalizados | Emita AWS credenciais temporárias para identidades arbitrárias, autorizadas pelas credenciais do IAM do desenvolvedor | | ✓ |
| Serviço de front-end de autenticação | Cadastre, gerencie e autentique usuários com login gerenciado | ✓ | |
| Suporte de API para sua própria interface de autenticação | Crie, gerencie e autentique usuários por meio de solicitações de API no Supported ¹ AWS SDKs | ✓ | |
| MFA | Use mensagens SMS ou o TOTPs dispositivo do seu usuário como um fator de autenticação adicional¹ | ✓ | |
| Monitoramento e resposta de segurança | Proteja-se contra atividades maliciosas e senhas inseguras¹ | ✓ | |
| Personalize fluxos de autenticação | Crie seu próprio mecanismo de autenticação ou adicione etapas personalizadas aos fluxos existentes¹ | ✓ | |
| User groups (Grupos de usuários) | Crie agrupamentos lógicos de usuários e uma hierarquia de declarações de função do IAM ao passar tokens para grupos de identidades | ✓ | |
| Personalize tokens | Personalize seu ID e tokens de acesso com reivindicações e escopos novos, modificados e suprimidos | ✓ | |
| AWS WAF web ACLs | Monitore e controle as solicitações para seu front-end de autenticação com AWS WAF | ✓ | |
| Personalize os atributos do usuário | Atribua valores aos atributos do usuário e adicione seus próprios atributos personalizados | ✓ | |
| Acesso não autenticado | Emita credenciais de identidade na web de acesso limitado sem autenticação AWS STS | | ✓ |
| Controle de acesso com base em função | Escolha uma função do IAM para seu usuário autenticado com base em suas reivindicações e configure a confiança de sua função para limitar o acesso aos usuários de identidade da web | | ✓ |
| Controle de acesso por atributo | Transforme as declarações do usuário em tags principais para sua sessão AWS STS temporária e use as políticas do IAM para filtrar o acesso aos recursos com base nas tags principais | | ✓ |
¹ O recurso não está disponível para usuários federados.
## Conceitos básicos do Amazon Cognito
Veja exemplos de aplicações de grupos de usuários em [Conceitos básicos dos grupos de usuários](getting-started-user-pools.md).
Para obter uma introdução aos bancos de identidades, consulte [Conceitos básicos dos bancos de identidades do Amazon Cognito](getting-started-with-identity-pools.md).
Para obter links para experiências de configuração guiada com grupos de usuários e bancos de identidades, consulte [Opções de configuração guiada para o Amazon Cognito](cognito-guided-setup.md).
Para começar a usar um AWS SDK, consulte [Ferramentas para AWS desenvolvedores](https://aws.amazon.com/products/developer-tools). Para obter recursos para desenvolvedores específicos do Amazon Cognito, consulte os [Recursos para desenvolvedores do Amazon Cognito](https://aws.amazon.com/cognito/dev-resources/).
Para usar o Amazon Cognito, você precisa de uma Conta da AWS. Para obter mais informações, consulte [Começando com AWS](cognito-getting-started-account-iam.md).
## Disponibilidade regional
O Amazon Cognito está disponível em várias AWS regiões em todo o mundo. Em cada região, o Amazon Cognito é distribuído em várias zonas de disponibilidade. Essas zonas de disponibilidade são fisicamente isoladas umas das outras, mas são unidas por conexões de rede privadas, de baixa latência, de alta taxa de transferência e altamente redundantes. Essas zonas de disponibilidade permitem AWS fornecer serviços, incluindo o Amazon Cognito, com níveis muito altos de disponibilidade e redundância, além de minimizar a latência.
Para ver se o Amazon Cognito está disponível atualmente em algum Região da AWS, consulte [AWS Serviços por região](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Para saber mais sobre endpoints de serviços de API regionais, consulte [Endpoints de serviço da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html##cognito_identity_region) no *Referência geral da Amazon Web Services*.
Para saber mais sobre quantas zonas de disponibilidade estão disponíveis em cada região, consulte [Infraestrutura global da AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
## Preços do Amazon Cognito
Para informações sobre preços do Amazon Cognito, consulte [preços do Amazon Cognito](https://aws.amazon.com/cognito/pricing/).
# Termos e conceitos comuns do Amazon Cognito
O Amazon Cognito fornece credenciais para aplicações web e aplicativos móveis. Ele se baseia em termos que são comuns no *gerenciamento de identidade e acesso*. Há muitos guias disponíveis sobre termos universais de identidade e acesso. Alguns exemplos são:
+ [Terminologia](https://bok.idpro.org/article/id/41/) no IDPro Body of Knowledge
+ [Serviços de identidade da AWS](https://aws.amazon.com/identity/)
+ [Glossário](https://csrc.nist.gov/glossary) do NIST CSRC
As listas a seguir descrevem termos que são exclusivos do Amazon Cognito ou que têm um contexto específico no Amazon Cognito.
**Topics**
+ [Geral](#cognito-terms-general)
+ [Grupos de usuários](#cognito-terms-user-pools)
+ [Bancos de identidades](#cognito-terms-identity-pools)
## Geral
Os termos desta lista não são específicos do Amazon Cognito. Eles são amplamente reconhecidos entre os profissionais de gerenciamento de identidade e acesso. A lista de termos a seguir não é completa, mas serve como guia para o contexto específico do Amazon Cognito aqui.
**Token de acesso**
Um token web JSON (JWT) que contém informações sobre a [autorização](#terms-authorization) de uma entidade para acessar sistemas de informação.
**App, aplicação**
Normalmente, um aplicativo móvel. Neste guia, o *aplicativo* geralmente é uma abreviação de um aplicativo web ou aplicativo móvel que se conecta ao Amazon Cognito.
**Controle de acesso baseado em atributos (ABAC)**
Modelo em que um aplicativo determina o acesso aos recursos com base nas propriedades de um usuário, como seu cargo ou departamento. As ferramentas do Amazon Cognito para aplicar o ABAC incluem tokens de ID em grupos de usuários e [tags de entidades principais](#term-afac) em bancos de identidades.
**Autenticação**
O processo de estabelecer uma identidade autêntica para fins de acesso a um sistema de informação. O Amazon Cognito aceita provas de autenticação de provedores de identidades de terceiros e também serve como provedor de autenticação para aplicações de software.
**Autorização**
Um processo de concessão de permissões para um recurso. Os [tokens de acesso](#terms-accesstoken) ao grupo de usuários contêm informações que as aplicações podem usar para permitir que usuários e sistemas acessem recursos.
**Servidor de autorização**
Um sistema OAuth ou OpenID Connect (OIDC) que gera [tokens web JSON](#terms-jwt). O [servidor de autorização gerenciado](#terms-managedauthorizationserver) de grupos de usuários do Amazon Cognito é o componente do servidor de autorização dos dois métodos de autenticação e autorização nos grupos de usuários. Os grupos de usuários também são compatíveis com fluxos de resposta a desafios da API na [autenticação do SDK](#terms-upapi).
**Aplicação confidencial, aplicação do lado do servidor**
Uma aplicação à qual os usuários se conectam remotamente, com código em um servidor de aplicações e acesso a segredos. Normalmente, uma aplicação web.
**Identity provider (IdP) (Provedor de identidade (IdP))**
Serviço que armazena e verifica as identidades dos usuários. O Amazon Cognito pode solicitar autenticação de [fornecedores externos](#terms-externalprovider) e ser um IdP para aplicações.
**JSON web token (JWT)**
Um documento formatado em JSON que contém declarações sobre um usuário autenticado. Os tokens de ID autenticam usuários, os tokens de acesso autorizam os usuários e os tokens de atualização atualizam as credenciais. O Amazon Cognito recebe tokens de [fornecedores externos](#terms-externalprovider) e emite tokens para aplicações ou AWS STS.
**Autorização de máquina a máquina (M2M)**
O processo de autorização de solicitações para endpoints de API para entidades de máquina que não interagem com o usuário, como um nível de aplicação de servidor web. Os grupos de usuários fornecem autorização de M2M em concessões de credenciais de cliente com escopos do OAuth 2.0 em [tokens de acesso](#terms-accesstoken).
**Autenticação multifator (MFA)**
A exigência de que os usuários forneçam autenticação adicional após informarem nome de usuário e senha. Os grupos de usuários do Amazon Cognito têm recursos de MFA para [usuários locais](#terms-localuser).
**Provedor OAuth 2.0 (social)**
Um IdP para um grupo de usuários ou banco de identidades que fornece acesso ao [JWT](#terms-jwt) e aos tokens de atualização. Os grupos de usuários do Amazon Cognito automatizam as interações com provedores sociais após a autenticação dos usuários.
**Provedor OpenID Connect (OIDC)**
Um IdP para um grupo de usuários ou banco de identidades que estende à especificação [OAuth](#terms-oauth) para fornecer tokens de ID. Os grupos de usuários do Amazon Cognito automatizam as interações com provedores OIDC após a autenticação dos usuários.
**Chave de acesso, WebAuthn**
Uma forma de autenticação na qual as chaves criptográficas, ou chaves de acesso, no dispositivo de um usuário fornecem sua prova de autenticação. Os usuários verificam sua presença com mecanismos biométricos ou de código PIN em um autenticador de hardware ou software. As chaves de acesso são resistentes ao phishing e estão vinculadas a sites/aplicações específicos, oferecendo uma experiência segura sem senha. Os grupos de usuários do Amazon Cognito oferecem suporte ao login com chaves de acesso.
**Sem senha**
Uma forma de autenticação na qual o usuário não precisa digitar uma senha. Os métodos de login sem senha incluem senhas de uso único (OTPs) enviadas para endereços de e-mail, números de telefone e chaves de acesso. Os grupos de usuários do Amazon Cognito oferecem suporte ao login com OTPs e chaves de acesso.
**Aplicativo público**
Um aplicativo independente em um dispositivo, com código armazenado localmente e sem acesso a segredos. Normalmente, um aplicativo móvel.
**Servidor de recursos**
Uma API com controle de acesso. Os grupos de usuários do Amazon Cognito também usam o *servidor de recursos* para descrever o componente que define a configuração para interagir com uma API.
**Regras de controle de acesso com base em função (RBAC)**
Modelo que concede acesso com base na designação funcional do usuário. Os bancos de identidades do Amazon Cognito implementam o RBAC com diferenciação entre os perfis do IAM.
**Provedor de serviço (SP), parte confiável (RP)**
Aplicação que depende de um IdP para atestar que os usuários são confiáveis. O Amazon Cognito atua como SP para IdPs externos e como IdP para SPs baseados em aplicações.
**Provedor SAML**
IdP para um grupo de usuários ou banco de identidades que gera documentos de declaração assinados digitalmente que seu usuário passa para o Amazon Cognito.
**Identificador exclusivo universal (UUID)**
Um rótulo de 128 bits aplicado a um objeto. Os UUIDs do Amazon Cognito são exclusivos por grupo de usuários ou banco de identidades, mas não seguem um formato específico de UUID.
**Diretório de usuários**
Conjunto de usuários e seus atributos que fornece essas informações para outros sistemas. Os grupos de usuários do Amazon Cognito são diretórios e também ferramentas para consolidar usuários a partir de diretórios de usuários externos.
## Grupos de usuários
Quando você encontrar os termos na lista a seguir deste guia, saiba que eles se referem a um recurso ou configuração específica dos grupos de usuários.
**Autenticação adaptável**
Um recurso de [segurança avançada](#term-advancedsecurity) que detecta possíveis atividades mal-intencionadas e aplica segurança adicional aos [perfis de usuário](#terms-userprofile).
**Cliente da aplicação**
Componente que define as configurações de um grupo de usuários como um IdP para uma aplicação.
**URL de retorno de chamada, URI de redirecionamento, URL de retorno**
Uma configuração em um [cliente de aplicação](#term-appclient) e um parâmetro nas solicitações ao [servidor de autorização](#terms-managedauthorizationserver) do grupo de usuários. O URL de retorno de chamada é o destino inicial dos usuários autenticados na [aplicação](#term-app).
**Autenticação baseada em opções**
Uma forma de autenticação de API com grupos de usuários em que cada usuário tem um conjunto de opções de login disponíveis. Suas opções podem incluir nome de usuário e senha com ou sem MFA, login com chave de acesso ou login sem senha com senhas de uso único enviadas por e-mail ou SMS. Sua aplicação pode moldar o processo de escolha dos usuários solicitando uma lista de opções de autenticação ou declarando uma opção preferencial.
Compare com a [autenticação baseada em clientes](#terms-declarativeauthentication).
**Autenticação baseada em clientes**
Uma forma de autenticação com a API de grupos de usuários e os backends de aplicações criados com os SDKs da AWS. Na autenticação declarativa, sua aplicação determina de forma independente o tipo de login que um usuário deve realizar e solicita esse tipo antecipadamente.
Compare com a [autenticação baseada em opções](#terms-choicebasedauthentication).
**Credenciais comprometidas**
Um recurso de [segurança avançada](#term-advancedsecurity) que detecta senhas de usuários que os invasores possam conhecer e aplica segurança adicional aos [perfis de usuário](#terms-userprofile).
**Confirmação**
Processo que determina que os pré-requisitos foram atendidos para permitir que um novo usuário faça login. A confirmação geralmente é feita por meio da [verificação](#terms-verification) do endereço de e-mail ou número de telefone.
**Autenticação personalizada**
Uma extensão dos processos de autenticação com [acionadores do Lambda](#terms-triggers) que definem desafios e respostas adicionais do usuário.
**Autenticação do dispositivo**
Processo de autenticação que substitui o [MFA](#terms-mfa) por um login que usa o ID de um dispositivo confiável.
**Domínio, domínio do grupo de usuários**
Um domínio da web que hospeda suas [páginas de login gerenciado](#terms-managedlogin) na AWS. Você pode configurar o DNS em um domínio que possui ou usar um prefixo de subdomínio de identificação em um domínio que pertence à AWS.
**Plano Essentials**
O [plano de recursos](#terms-featureplan) com os últimos desenvolvimentos em grupos de usuários. O plano Essentials não inclui os recursos de segurança de aprendizado automatizado presentes no [plano Plus](#terms-plusplan).
**Fornecedor externo, fornecedor de terceiros**
IdP que tem uma relação de confiança com um grupo de usuários. Os grupos de usuários servem como uma entidade intermediária entre provedores externos e sua aplicação, gerenciando processos de autenticação com SAML 2.0, OIDC e provedores sociais. Os grupos de usuários consolidam os resultados de autenticação de provedores externos em um único IdP para que suas aplicações possam processar muitos usuários usando uma única biblioteca de cliente OIDC.
**Plano de recursos**
O grupo de recursos que você pode selecionar para um grupo de usuários. Os planos de recursos têm custos diferentes em sua fatura da AWS. Novos grupos de usuários usam como padrão o [plano Essentials](#terms-essentialsplan).
**Planos atuais**
+ [Plano Lite](#terms-liteplan)
+ [Plano Essentials](#terms-essentialsplan)
+ [Plano Plus](#terms-plusplan)
**Usuário federado, usuário externo**
Usuário em um grupo de usuários que foi autenticado por um [provedor externo](#terms-externalprovider).
**IU hospedada (clássica), páginas de IU hospedada**
A versão inicial dos serviços de frontend de autenticação, parte confiável e provedor de identidades no domínio do grupo de usuários. A IU hospedada tem um conjunto básico de recursos e uma aparência simplificada. Você pode aplicar a identidade visual de IU hospedada com o upload de um arquivo de imagem de logotipo e um arquivo com um conjunto predeterminado de estilos CSS. Compare com o [login gerenciado](#terms-managedlogin).
**Gatilho do Lambda**
Função no AWS Lambda que um grupo de usuários pode invocar automaticamente em pontos-chave nos processos de autenticação de usuários. Você pode usar os acionadores do Lambda para personalizar os resultados da autenticação.
**Usuário local**
Um [perfil de usuário](#terms-userprofile) no [diretório de usuários](#terms-userdirectory) do grupo de usuários que não foi criado pela autenticação com um [provedor externo](#terms-externalprovider).
**Usuário vinculado**
Usuário de um [provedor externo](#terms-externalprovider) cuja identidade é mesclada com a de um [usuário local](#terms-localuser).
**Plano Lite**
O [plano de recursos](#terms-featureplan) com os recursos lançados originalmente com grupos de usuários. O plano Lite não inclui os novos recursos do [plano Essentials](#terms-essentialsplan) nem os recursos de segurança de aprendizado automatizado no [plano Plus](#terms-plusplan).
**Servidor de autorização gerenciado, servidor de autorização de IU hospedada, servidor de autorização**
Um componente do [login gerenciado](#terms-managedlogin) que hospeda serviços para interação com IdPs e aplicações no [domínio do grupo de usuários](#terms-domain). A [IU hospedada](#terms-hostedui) difere do login gerenciado nos recursos interativos com o usuário que oferece, mas tem os mesmos recursos do servidor de autorização.
**Login gerenciado, páginas de login gerenciado**
Um conjunto de páginas da web no [domínio do grupo de usuários](#terms-domain) que hospeda serviços para autenticação do usuário. Esses serviços incluem funções para operar como um [IdP](#terms-idp), uma [parte confiável](#terms-relyingparty) para IdPs de terceiros e um servidor de uma IU de autenticação interativa com o usuário. Quando você configura um domínio para o grupo de usuários, o Amazon Cognito coloca todas as páginas de login gerenciado online.
Sua aplicação importa bibliotecas do OIDC que invocam os navegadores dos usuários e os direcionam para a IU de login gerenciado para cadastro, login, gerenciamento de senhas e outras operações de autenticação. Após a autenticação, as bibliotecas do OIDC podem processar o resultado da solicitação de autenticação.
**Autenticação de login gerenciado**
O login com os serviços no [domínio do grupo de usuários](#terms-domain) é feito por meio de páginas do navegador interativas com o usuário ou solicitações de API HTTPS. As aplicações lidam com a autenticação de login gerenciado com bibliotecas do OpenID Connect (OIDC). Esse processo inclui login com [provedores externos](#terms-externalprovider), login de usuários locais com páginas de login gerenciado interativas e [autorização M2M](#terms-m2m). A autenticação com a [IU hospedada](#terms-hostedui) clássica também se enquadra nesse termo.
Compare com a [autenticação do SDK da AWS](#terms-upapi).
**Plano Plus**
O [plano de recursos](#terms-featureplan) com os últimos desenvolvimentos e recursos avançados de segurança em grupos de usuários.
**Autenticação do SDK, autenticação do SDK da AWS**
Um conjunto de operações de API de autenticação e autorização que você pode adicionar ao backend da sua aplicação com um SDK da AWS. Esse modelo de autenticação requer um mecanismo de login personalizado. A API pode cadastrar [usuários locais](#terms-localuser) [usuários vinculados](#terms-linkeduser).
Compare com a [autenticação de login gerenciado](#terms-managedloginauthentication).
**Proteção contra ameaças, recursos avançados de segurança**
Nos grupos de usuários, a proteção contra ameaças se refere às tecnologias projetadas para mitigar ameaças aos seus mecanismos de autenticação e autorização. Autenticação adaptativa, detecção de credenciais comprometidas e listas de bloqueio de endereços IP são exemplos de proteção contra ameaças.
**Personalização do token**
O resultado de um [acionador do Lambda](#terms-triggers) que antecede a geração do token e que modifica o ID do usuário ou o token de acesso em tempo de execução.
**Grupo de usuários, provedor de identidades do Amazon Cognito`cognito-idp`, grupos de usuários do Amazon Cognito**
Um recurso da AWS com serviços de autenticação e autorização para aplicações que funcionam com IdPs do OIDC.
**Verificação**
Processo de confirmar que um usuário tem um endereço de e-mail ou número de telefone. Um grupo de usuários envia um código a um usuário que inseriu um novo endereço de e-mail ou número de telefone. Quando ele envia o código para o Amazon Cognito, verifica a propriedade do destino da mensagem e pode receber mensagens adicionais do grupo de usuários. Veja também [confirmação](#terms-confirmation).
**Perfil de usuário, conta de usuário**
Uma entrada para um usuário no [diretório de usuários](#terms-userdirectory). Todos os usuários, incluindo aqueles de IdPs de terceiros, têm um perfil no grupo de usuários.
## Bancos de identidades
Quando você encontrar os termos na lista a seguir deste guia, saiba que eles se referem a um recurso ou configuração específica dos bancos de identidades.
**Atributos para controle de acesso**
Uma implementação de [controle de acesso por atributo](#terms-abac) em bancos de identidades. Os bancos de identidades aplicam atributos do usuário como tags às credenciais do usuário.
**Autenticação básica (clássica)**
Processo de autenticação em que você pode personalizar a solicitação de [credenciais do usuário](#terms-usercredentials).
**Identidades autenticadas pelo desenvolvedor**
Processo de autenticação que autoriza as [credenciais do usuário](#terms-usercredentials) do banco de identidades com as [credenciais do desenvolvedor](#terms-developercredentials).
**Credenciais do desenvolvedor**
As chaves de API do IAM de um administrador do banco de identidades.
**Autenticação aprimorada**
Um fluxo de autenticação que seleciona um perfil do IAM e aplica as tags de entidade principal de acordo com a lógica que você define no banco de identidades.
**Identidade**
Um [UUID](#terms-uuid) que vincula um usuário da aplicação e suas [credenciais de usuário](#terms-usercredentials) ao perfil em um [diretório de usuários](#terms-userdirectory) externo que tem uma relação de confiança com um banco de identidades.
**Banco de identidades, identidades federadas do Amazon Cognito, identidade do Amazon Cognito, `cognito-identity`**
Um recurso da AWS com serviços de autenticação e autorização para aplicações que usam [credenciais temporárias da AWS](#terms-usercredentials).
**Identidade não autenticada do **
Um usuário que não fez login com um IdP do banco de identidades. Você pode permitir que os usuários gerem credenciais de usuário limitadas para um único perfil do IAM antes da autenticação.
**Credenciais do usuário**
Chaves de API temporárias da AWS que os usuários recebem após a autenticação no banco de identidades.
# Começando com AWS
Antes de começar a trabalhar com o Amazon Cognito, prepare-se com alguns recursos necessários AWS . Se você já consegue fazer login em um Conta da AWS, você pode pular esta seção. Continue lendo se estiver procurando informações sobre como se inscrever e fazer login com AWS credenciais. Depois de ter credenciais com permissões suficientes AWS Identity and Access Management (IAM), você pode começar a usar grupos de [usuários e grupos](getting-started-user-pools.md) de [identidades](getting-started-with-identity-pools.md).
## Inscreva-se para um Conta da AWS
Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.
**Para se inscrever em um Conta da AWS**
1. Abra a [https://portal.aws.amazon.com/billing/inscrição.](https://portal.aws.amazon.com/billing/signup)
1. Siga as instruções online.
Parte do procedimento de inscrição envolve receber uma chamada telefônica ou uma mensagem de texto e inserir um código de verificação pelo teclado do telefone.
Quando você se inscreve em um Conta da AWS, um *Usuário raiz da conta da AWS*é criado. O usuário-raiz tem acesso a todos os Serviços da AWS e recursos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar [tarefas que exigem acesso de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS envia um e-mail de confirmação após a conclusão do processo de inscrição. A qualquer momento, você pode visualizar a atividade atual da sua conta e gerenciar sua conta acessando [https://aws.amazon.com/e](https://aws.amazon.com/) escolhendo **Minha conta**.
## Criar um usuário com acesso administrativo
Depois de se inscrever em um Conta da AWS, proteja seu Usuário raiz da conta da AWS Centro de Identidade do AWS IAM, habilite e crie um usuário administrativo para que você não use o usuário root nas tarefas diárias.
**Proteja seu Usuário raiz da conta da AWS**
1. Faça login [Console de gerenciamento da AWS](https://console.aws.amazon.com/)como proprietário da conta escolhendo **Usuário raiz** e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira a senha.
Para obter ajuda ao fazer login usando o usuário-raiz, consulte [Fazer login como usuário-raiz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) no *Guia do usuário do Início de Sessão da AWS *.
1. Habilite a autenticação multifator (MFA) para o usuário-raiz.
Para obter instruções, consulte [Habilitar um dispositivo de MFA virtual para seu usuário Conta da AWS raiz (console) no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) do *usuário do IAM*.
**Criar um usuário com acesso administrativo**
1. Habilita o Centro de Identidade do IAM.
Para obter instruções, consulte [Habilitar o Centro de Identidade do AWS IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
1. No Centro de Identidade do IAM, conceda o acesso administrativo a um usuário.
Para ver um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte [Configurar o acesso do usuário com o padrão Diretório do Centro de Identidade do IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) no *Guia Centro de Identidade do AWS IAM do usuário*.
**Iniciar sessão como o usuário com acesso administrativo**
+ Para fazer login com o seu usuário do Centro de Identidade do IAM, use o URL de login enviado ao seu endereço de e-mail quando o usuário do Centro de Identidade do IAM foi criado.
Para obter ajuda para fazer login usando um usuário do IAM Identity Center, consulte Como [fazer login no portal de AWS acesso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) no *Guia Início de Sessão da AWS do usuário*.
**Atribuir acesso a usuários adicionais**
1. No Centro de Identidade do IAM, crie um conjunto de permissões que siga as práticas recomendadas de aplicação de permissões com privilégio mínimo.
Para obter instruções, consulte [Criar um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
1. Atribua usuários a um grupo e, em seguida, atribua o acesso de logon único ao grupo.
Para obter instruções, consulte [Adicionar grupos](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.