Características de Amazon Cognito

¿Qué es Amazon Cognito?

Amazon Cognito es un servicio de administración de acceso e identidad del cliente (CIAM) rentable y centrado en el desarrollador. Proporciona un almacén de identidad seguro y opciones de federación que pueden escalar a millones de usuarios. Amazon Cognito admite el inicio de sesión con proveedores de identidades sociales y proveedores de identidades basados en SAML u OIDC para disfrutar de experiencias de cliente agradables. Además, ofrece funciones de seguridad avanzadas para proteger a sus clientes y empresas. Admite varios estándares de cumplimiento, opera con estándares de identidad abierta (OAuth2.0, SAML 2.0 y OpenID Connect) y se integra con un ecosistema extendido de recursos de desarrollo front-end y back-end y bibliotecas SDK.

Autenticación de usuarios

Amazon Cognito proporciona una interfaz de usuario integrada y personalizable para la inscripción y el inicio de sesión de los usuarios. Puede utilizar SDK de Android, iOS y JavaScript con Amazon Cognito para añadir páginas de registro e inicio de sesión de usuarios en sus aplicaciones.

Habilite la autenticación multifactor (MFA) en un grupo de usuarios de Amazon Cognito para agregar una capa adicional de seguridad al servicio de sus clientes. Los usuarios pueden verificar sus identidades mediante SMS o un generador de contraseña única basada en tiempo (TOTP), como Google Authenticator. Amazon Cognito también permite la configuración de diferentes reglas de contraseña en diferentes grupos de usuarios.

Como centro de federación, Amazon Cognito permite a los usuarios iniciar sesión a través de proveedores de identidad social, como Apple, Facebook, Google y Amazon, y proveedores de identidad empresarial a través de SAML y OIDC. Amazon Cognito es un proveedor de identidad basado en estándares. Una vez que sus usuarios inician sesión en Amazon Cognito (mediante autenticación local o federación externa), pueden usar OAuth/OIDC para acceder a los recursos federados.

Los grupos de usuarios de Amazon Cognito permiten crear un flujo de autenticación personalizado que utiliza funciones de Lambda para autenticar usuarios en función de uno o varios ciclos de desafío-respuesta. Puede utilizar este flujo para implementar la autenticación sin contraseña basada en desafíos personalizados o utilizar desafíos personalizados como factores adicionales.

Utilice desencadenadores Lambda para personalizar el comportamiento de Cognito, incluidas las etapas del ciclo de vida del usuario, como antes y después de la autenticación y el registro, o antes de la emisión de tokens. También puede utilizar desencadenadores Lambda para personalizar los mensajes que se envían a los usuarios en diferentes etapas o para integrarse con proveedores externos de correo electrónico y SMS.

Administración de identidades

Con frecuencia, la primera experiencia de un cliente en un sitio web es a través del proceso de autorregistro. Amazon Cognito proporciona una interfaz de usuario alojada, preempaquetada y personalizable para llegar rápidamente al mercado y un sólido conjunto de API para crear una solución de autorregistro completamente personalizada. Los usuarios pueden registrarse con un correo electrónico, número de teléfono o nombre de usuario para su aplicación. El proceso de autorregistro permite a los usuarios ver y actualizar sus datos de perfil, incluidos los atributos personalizados. Reduzca las llamadas al servicio de asistencia con opciones de autoservicio, como el restablecimiento de la contraseña con un mensaje SMS o un correo electrónico.

Amazon Cognito proporciona un almacén de identidad seguro (grupos de usuarios) que se adapta a millones de usuarios. Los grupos de usuarios almacenan de forma segura los datos del perfil de usuario para los usuarios que se registran directamente y para los usuarios federados que inician sesión con proveedores de identidad externos.
El almacén de identidades de Amazon Cognito es un repositorio de usuarios basado en API. El repositorio y las API admiten el almacenamiento de hasta 50 atributos personalizados por usuario, admiten diferentes tipos de datos y aplican restricciones de longitud y mutabilidad. Seleccione los atributos que debe proporcionar el usuario antes de completar el proceso de registro.

Los usuarios pueden migrar a Amazon Cognito mediante una importación por lotes o una migración justo a tiempo (JIT). La migración de usuarios por lotes aprovecha un proceso de importación de archivos CSV. Con el proceso de migración de JIT, un desencadenador de AWS Lambda integra el proceso de migración en el flujo de trabajo de inicio de sesión y puede retener las contraseñas de los usuarios.

Amazon Cognito permite interacciones B2B con compatibilidad con el modelo de tenencia múltiple. Puede optar por volver a utilizar las integraciones de aplicaciones, las políticas de acceso y contraseñas, o aplicar un aislamiento completo de los usuarios.

Control de acceso

Amazon Cognito asegura la última milla de integración con una aplicación. Equilibrador de carga de aplicación de Amazon y Amazon API Gateway tienen puntos de cumplimiento de políticas integrados que brindan acceso basado en tokens y alcances de Amazon Cognito.

El agente de credenciales de Amazon Cognito, también conocido como grupo de identidades de Amazon Cognito, proporciona acceso de inicio de sesión único a los recursos de AWS, como Amazon DynamoDB, los buckets de Amazon S3, los componentes sin servidor de Lambda y otros servicios de Amazon. Los usuarios pueden asignarse dinámicamente a diferentes roles para admitir el acceso con privilegios mínimos a un servicio.

Al utilizar el flujo de credenciales de cliente OAuth, Amazon Cognito proporciona autenticación de máquina a máquina, lo que garantiza una experiencia segura entre los componentes de la aplicación.

Enriquezca los tokens de acceso con atributos personalizados en forma de alcances y afirmaciones de OAuth 2.0. Puede tomar decisiones de autorización avanzadas específicas de la aplicación mediante atributos personalizados en el token de acceso. Esta característica también le permite personalizar las experiencias de los usuarios finales y mejorar la participación de los clientes. 

Experiencia del cliente

Usar un enfoque basado en datos para impulsar la adquisición y retención de clientes. Lance campañas de captación de clientes y realice un seguimiento de la interacción con Amazon Pinpoint. Amazon Pinpoint proporciona análisis para las actividades de los usuarios basadas en Amazon Cognito, y este enriquece los datos de los usuarios para las campañas de Pinpoint.

AWS Amplify es un conjunto de herramientas y características creadas específicamente para que los desarrolladores web y móviles de frontend puedan crear aplicaciones de pila completa en AWS de forma rápida y sencilla, con la flexibilidad de aprovechar la amplitud de los servicios de AWS a medida que sus casos de uso evolucionan. Con Amplify, puede configurar un backend de aplicación web o móvil con Amazon Cognito, conectar su aplicación en minutos, crear visualmente una interfaz de usuario web y administrar fácilmente el contenido de la aplicación fuera de la consola de AWS. Envíe de manera más rápida y escale sin esfuerzo. No es necesario contar con experiencia en la nube.

Las soluciones CIAM son soluciones personalizadas. Amazon Cognito proporciona un sólido conjunto de enlaces y extensiones para personalizar completamente los flujos de autenticación, registro y migración de usuarios. Por ejemplo, el flujo de registro automático se puede aumentar con pruebas de identidad personalizadas y controles de verificación de cuenta, y el proceso de inicio de sesión se puede ampliar para crear flujos de autenticación personalizados o modificar un token antes de que se genere.

El SDK de Amazon Cognito está disponible con Java, C++, PHP, Python, Golang, Ruby, .NET y JavaScript.

Seguridad avanzada

Gracias a su integración nativa con Amazon Web Application Firewall (AWS WAF), Amazon Cognito ofrece características avanzadas de detección de bots que pueden ayudar a evitar que la organización tenga que pagar por cuentas automatizadas.

Amazon Cognito puede detectar y evitar, en tiempo real, la reutilización de credenciales comprometidas cuando los usuarios se registran, inician sesión o cambian su contraseña. Cuando Amazon Cognito detecta que el usuario ha especificado unas credenciales que se han visto comprometidas en otro sitio, le solicita que cambie la contraseña.

Proteja las cuentas de los usuarios y mejore la experiencia de inicio de sesión por medio de la autenticación adaptativa. Cuando Amazon Cognito detecta una actividad de inicio de sesión inusual, como intentos desde nuevas ubicaciones y dispositivos, asigna una puntuación de riesgo a la actividad y le permite elegir solicitar a los usuarios una verificación adicional o bloquear la solicitud de inicio de sesión.

Auditoría y cumplimiento

Amazon Cognito se alinea con múltiples requisitos de seguridad y cumplimiento, incluidos los de organizaciones altamente reguladas, como empresas de atención médica y comerciantes. Amazon Cognito cumple los requisitos de HIPAA, PCI DSS, SOC, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 e ISO 9001.

Amazon Cognito admite la supervisión con AWS CloudTrail, Métricas de Amazon CloudWatch e Información de registros de Amazon CloudWatch. CloudTrail permite capturar las llamadas a la API desde la consola de Amazon Cognito y desde las llamadas de código a las operaciones de la API de Amazon Cognito. Las métricas de CloudWatch permiten supervisar, elaborar informes y tomar medidas automáticas casi en tiempo real en caso de que se produzca un evento. La Información de registros de CloudWatch permite configurar CloudTrail de modo que envíe eventos a CloudWatch para supervisar los archivos de registro de Amazon Cognito CloudTrail.