Términos y conceptos comunes de Amazon Cognito

Un token web JSON (JWT) que contiene información sobre la autorización de una entidad para acceder a los sistemas de información.

Normalmente, se trata de una aplicación móvil. En esta guía, app suele ser la forma abreviada de una aplicación web o móvil que se conecta a Amazon Cognito.

Modelo en el que una aplicación determina el acceso a los recursos en función de las propiedades de un usuario, como su cargo o departamento. Las herramientas de Amazon Cognito para aplicar el ABAC incluyen los tokens de identificación en los grupos de usuarios y las etiquetas de entidades principales en los grupos de identidades.

El proceso de establecer una identidad auténtica con el fin de acceder a un sistema de información. Amazon Cognito acepta pruebas de autenticación de proveedores de identidad externos y también actúa como proveedor de autenticación para aplicaciones de software.

El proceso de conceder permisos a un recurso. Los identificadores de acceso al grupo de usuarios contienen información que las aplicaciones pueden usar para permitir que los usuarios y los sistemas accedan a los recursos.

Un sistema OAuth o OpenID Connect (OIDC) que genera tokens web JSON. El servidor de autorización gestionado por grupos de usuarios de Amazon Cognito es el componente del servidor de autorizaciones de los dos métodos de autenticación y autorización de los grupos de usuarios. Los grupos de usuarios también admiten los flujos de cuestionamiento-respuesta de la API en la autenticación del SDK.

Aplicación a la que los usuarios se conectan de forma remota, con el código en un servidor de aplicaciones y acceso a secretos. Por lo general, se trata de una aplicación web.

Servicio que almacena y verifica las identidades de los usuarios. Amazon Cognito puede solicitar la autenticación a proveedores externos y ser un IdP para las aplicaciones.

Documento con formato JSON que contiene notificaciones sobre un usuario autenticado. Los tokens de ID autentican a los usuarios, los de acceso los autorizan y los de actualización actualizan las credenciales. Amazon Cognito recibe tokens de proveedores externos y los envía a aplicaciones o. AWS STS

El proceso de autorización de las solicitudes a los puntos finales de la API para entidades de non-user-interactive máquinas, como el nivel de una aplicación de servidor web. Los grupos de usuarios permiten la autorización M2M en la concesión de credenciales de cliente con OAuth un alcance 2.0 en los tokens de acceso.

Requisito por el que se exige a los usuarios que proporcionen una autenticación adicional después de proporcionar su nombre de usuario y contraseña. Los grupos de usuarios de Amazon Cognito cuentan con características de MFA para los usuarios locales.

Un IdP para un grupo de usuarios o un grupo de identidades que proporciona acceso a JWT y actualiza los tokens. Los grupos de usuarios de Amazon Cognito automatizan las interacciones con los proveedores de redes sociales una vez que los usuarios se autentican.

Un IdP para un grupo de usuarios o un grupo de identidades que amplía la OAuthespecificación para proporcionar tokens de identificación. Los grupos de usuarios de Amazon Cognito automatizan las interacciones con los proveedores de OIDC una vez que los usuarios se autentican.

Forma de autenticación en la que las claves criptográficas, o claves de paso, del dispositivo de un usuario proporcionan su prueba de autenticación. Los usuarios verifican que están presentes con mecanismos biométricos o de código PIN en un autenticador de hardware o software. Las claves de acceso son resistentes a la suplantación de identidad y están vinculadas a sitios web o aplicaciones específicos, lo que ofrece una experiencia segura sin contraseñas. Los grupos de usuarios de Amazon Cognito admiten el inicio de sesión con claves de paso.

Forma de autenticación en la que el usuario no tiene que introducir una contraseña. Los métodos de inicio de sesión sin contraseña incluyen las contraseñas de un solo uso (OTPs) que se envían a direcciones de correo electrónico y números de teléfono y las claves de paso. Los grupos de usuarios de Amazon Cognito admiten el inicio de sesión con OTPs claves de paso.

Aplicación autónoma en un dispositivo, con el código almacenado localmente y sin acceso a datos secretos. Por lo general, se trata de una aplicación móvil.

API con control de acceso. Los grupos de usuarios de Amazon Cognito también utilizan el servidor de recursos para describir el componente que define la configuración para interactuar con una API.

Modelo que concede el acceso en función de la designación funcional de un usuario. Los grupos de identidades de Amazon Cognito implementan el RBAC diferenciando entre los roles de IAM.

Aplicación que se basa en un IdP para afirmar que los usuarios son fiables. Amazon Cognito actúa como un SP para las aplicaciones externas IdPs y como un IdP para las aplicaciones. SPs

IdP para un grupo de usuarios o un grupo de identidades que genera documentos de aserción firmados digitalmente y que el usuario pasa a Amazon Cognito.

Etiqueta de 128 bits que se aplica a un objeto. Amazon Cognito UUIDs es único por grupo de usuarios o grupo de identidades, pero no se ajusta a un formato de UUID específico.

Conjunto de usuarios y sus atributos que proporciona esa información a otros sistemas. Los grupos de usuarios de Amazon Cognito son directorios de usuarios y también herramientas para consolidar usuarios de directorios de usuarios externos.

Característica de seguridad avanzada que detecta posibles actividades maliciosas y aplica medidas de seguridad adicionales a los perfiles de usuario.

Componente opcional que añade herramientas para la seguridad de los usuarios.

Componente que define la configuración de un grupo de usuarios como un IdP de una aplicación.

Una configuración en un cliente de aplicaciones y un parámetro en las solicitudes al servidor de autorización del grupo de usuarios. La URL de devolución de llamada es el destino inicial de los usuarios autenticados de su aplicación.

Una forma de autenticación mediante API con grupos de usuarios en los que cada usuario tiene a su disposición un conjunto de opciones de inicio de sesión. Sus opciones pueden incluir el nombre de usuario y la contraseña con o sin MFA, el inicio de sesión con clave de paso o el inicio de sesión sin contraseña con contraseñas de un solo uso para correo electrónico o mensaje SMS. Su aplicación puede configurar el proceso de elección de los usuarios solicitando una lista de opciones de autenticación o declarando una opción preferida.

Compárelo con la autenticación basada en el cliente.

Una forma de autenticación con la API de los grupos de usuarios y los backends de aplicaciones integrados. AWS SDKs En la autenticación declarativa, la aplicación determina de forma independiente el tipo de inicio de sesión que debe realizar un usuario y lo solicita por adelantado.

Compárelo con la autenticación basada en elecciones.

Característica de seguridad avanzada que detecta las contraseñas de los usuarios que los atacantes podrían conocer y aplica medidas de seguridad adicionales a los perfiles de usuario.

Proceso que determina que se han cumplido los requisitos previos para permitir que un nuevo usuario inicie sesión. Por lo general, la confirmación se realiza mediante la verificación de la dirección de correo electrónico o el número de teléfono.

Extensión de los procesos de autenticación con desencadenadores de Lambda que definen desafíos y respuestas adicionales para los usuarios.

Proceso de autenticación que reemplaza la MFA por un inicio de sesión que usa el ID de un dispositivo de confianza.

Un dominio web que aloja tus páginas de inicio de sesión gestionadas AWS. Puedes configurar el DNS en un dominio de tu propiedad o usar un prefijo de subdominio de identificación en un dominio que sea AWS propietario.

El plan de funciones con las últimas novedades en grupos de usuarios. El plan Essentials no incluye las funciones de seguridad de aprendizaje automático del plan Plus.

IdP que tiene una relación de confianza con un grupo de usuarios. Los grupos de usuarios actúan como una entidad intermedia entre los proveedores externos y tu aplicación, y gestionan los procesos de autenticación con SAML 2.0, OIDC y los proveedores sociales. Los grupos de usuarios consolidan los resultados de autenticación de proveedores externos en un único IdP para que sus aplicaciones puedan procesar a muchos usuarios con una única biblioteca de OIDC que depende de ellos.

El grupo de funciones que puede seleccionar para un grupo de usuarios. Los planes de prestaciones tienen costos diferentes en la AWS factura. Los grupos de usuarios nuevos están incluidos de forma predeterminada en el plan Essentials.

Usuario de un grupo de usuarios autenticado por un proveedor externo.

La primera versión de los servicios de interfaz de autenticación, parte de confianza y proveedor de identidad del dominio del grupo de usuarios. La interfaz de usuario alojada tiene un conjunto básico de funciones y una apariencia simplificada. Puedes aplicar la imagen de marca de la interfaz de usuario alojada cargando un archivo de imagen con el logotipo y un archivo con un conjunto predeterminado de estilos CSS. Compárese con el inicio de sesión gestionado.

Función AWS Lambda que un grupo de usuarios puede invocar automáticamente en puntos clave de los procesos de autenticación de usuarios. Puede usar desencadenadores de Lambda para personalizar los resultados de la autenticación.

Perfil de usuario en el directorio de usuarios del grupo de usuarios que no se ha creado mediante la autenticación con un proveedor externo.

Usuario de un proveedor externo cuya identidad se combina con la de un usuario local.

El plan de funciones con las funciones que se lanzaron originalmente con los grupos de usuarios. El plan Lite no incluye las nuevas funciones del plan Essentials ni las funciones de seguridad de aprendizaje automático del plan Plus.

Un componente del inicio de sesión gestionado que aloja los servicios de interacción con el dominio del grupo de usuarios IdPs y las aplicaciones en él. La interfaz de usuario alojada se diferencia del inicio de sesión gestionado en cuanto a las funciones interactivas para el usuario que ofrece, pero tiene las mismas capacidades de servidor de autorización.

Conjunto de páginas web en el dominio de su grupo de usuarios que alojan servicios para la autenticación de usuarios. Estos servicios incluyen funciones para operar como un IdP, una parte de confianza para un tercero y un servidor de una IdPs interfaz de usuario de autenticación interactiva para el usuario. Al configurar un dominio para su grupo de usuarios, Amazon Cognito pone en línea todas las páginas de inicio de sesión gestionadas.

Su aplicación importa bibliotecas OIDC que invocan los navegadores de los usuarios y las dirige a la interfaz de usuario de inicio de sesión administrado para realizar las operaciones de registro, inicio de sesión, administración de contraseñas y otras operaciones de autenticación. Tras la autenticación, las bibliotecas OIDC pueden procesar el resultado de la solicitud de autenticación.

Inicie sesión con los servicios del dominio de su grupo de usuarios, mediante páginas del navegador interactivas para el usuario o solicitudes de la API HTTPS. Las aplicaciones gestionan la autenticación de inicio de sesión gestionada con las bibliotecas OpenID Connect (OIDC). Este proceso incluye el inicio de sesión con proveedores externos, el inicio de sesión de usuarios locales con páginas de inicio de sesión gestionadas interactivas y la autorización M2M. La autenticación con la interfaz de usuario alojada clásica también se incluye en este término.

Compárese con la autenticación AWS del SDK.

El plan de funciones con las últimas novedades y funciones de seguridad avanzadas en los grupos de usuarios.

Un conjunto de operaciones de API de autenticación y autorización que puedes añadir al back-end de tu aplicación con un AWS SDK. Este modelo de autenticación requiere tu propio mecanismo de inicio de sesión personalizado. La API puede iniciar sesión tanto en usuarios locales como en usuarios vinculados.

Compare con la autenticación de inicio de sesión gestionada.

En los grupos de usuarios, la protección contra amenazas se refiere a las tecnologías diseñadas para mitigar las amenazas a los mecanismos de autenticación y autorización. La autenticación adaptativa, la detección de credenciales comprometidas y las listas de direcciones IP bloqueadas pertenecen a la categoría de protección contra amenazas.

Resultado de un desencadenador de Lambda previo a la generación del token que modifica el ID de usuario o el token de acceso en tiempo de ejecución.

Un AWS recurso con servicios de autenticación y autorización para aplicaciones que funcionan con el OIDC. IdPs

Proceso de confirmación de que un usuario es propietario de una dirección de correo electrónico o un número de teléfono. Un grupo de usuarios envía un código a un usuario que ha introducido una dirección de correo electrónico o un número de teléfono nuevos. Cuando el usuario envía el código a Amazon Cognito, demuestra que es propietario del destino del mensaje y puede recibir mensajes adicionales del grupo de usuarios. Consulte también confirmación.

Entrada de un usuario en el directorio de usuarios. Todos los usuarios, incluidos los de terceros IdPs, tienen un perfil en su grupo de usuarios.

Implementación del control de acceso basado en atributos en los grupos de identidades. Los grupos de identidades aplican los atributos del usuario como etiquetas a las credenciales de los usuarios.

Proceso de autenticación en el que puede personalizar la solicitud de credenciales de usuario.

Proceso de autenticación que autoriza las credenciales de usuario del grupo de identidades con las credenciales de desarrollador.

Claves de la API de IAM de un administrador de grupos de identidades.

Flujo de autenticación que selecciona un rol de IAM y aplica las etiquetas de entidades principales de acuerdo con la lógica que defina en su grupo de identidades.

UUID que vincula a un usuario de la aplicación y sus credenciales de usuario a su perfil en un directorio de usuarios externo que tiene una relación de confianza con un grupo de identidades.

Un AWS recurso con servicios de autenticación y autorización para aplicaciones que utilizan AWS credenciales temporales.

Usuario que no ha iniciado sesión con un IdP de grupo de identidades. Puede permitir que los usuarios generen credenciales de usuario limitadas para un único rol de IAM antes de autenticarse.

Claves AWS de API temporales que los usuarios reciben tras la autenticación del grupo de identidades.