Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Flujos de autenticación
<a name="amazon-cognito-user-pools-authentication-flow-methods"></a>

El proceso de autenticación con grupos de usuarios de Amazon Cognito puede describirse mejor como un *flujo* en el que los usuarios toman una decisión inicial, envían credenciales y responden a desafíos adicionales. Cuando implementa la autenticación de inicio de sesión administrado en su aplicación, Amazon Cognito gestiona el flujo de estas solicitudes y desafíos. Al implementar flujos con un AWS SDK en el back-end de la aplicación, debe crear la lógica de las solicitudes, solicitar a los usuarios que aporten información y responder a los desafíos.

Como administrador de aplicaciones, las características de su usuario, sus requisitos de seguridad y su modelo de autorización ayudan a determinar cómo desea permitir que los usuarios inicien sesión. Hágase las siguientes preguntas:
+ ¿Quiero permitir que los usuarios inicien sesión con credenciales de [otros proveedores de identidad (IdPs)](#amazon-cognito-user-pools-authentication-flow-methods-federated)?
+ ¿Un [nombre de usuario y una contraseña](#amazon-cognito-user-pools-authentication-flow-methods-password) son suficiente como prueba de identidad?
+ ¿Podrían interceptarse mis solicitudes de autenticación de nombre de usuario y contraseña? ¿Deseo que mi aplicación transmita contraseñas o que [negocie la autenticación mediante hashes y sales](#amazon-cognito-user-pools-authentication-flow-methods-srp)?
+ ¿Deseo permitir que los usuarios se salten la introducción de contraseñas y [reciban una contraseña de un solo uso](#amazon-cognito-user-pools-authentication-flow-methods-passwordless) que les permita iniciar sesión?
+ ¿Quiero permitir que los usuarios inicien sesión con una [huella digital, el rostro o una clave de seguridad de hardware](#amazon-cognito-user-pools-authentication-flow-methods-passkey)?
+ ¿Cuándo quiero pedir la [autenticación multifactor (MFA](#amazon-cognito-user-pools-authentication-flow-methods-mfa)) si es que querré hacerlo?
+ ¿Deseo que [las sesiones de usuario se mantengan sin tener que volver a solicitar las credenciales?](#amazon-cognito-user-pools-authentication-flow-methods-refresh)
+ ¿Deseo [ampliar mi modelo de autorización](#amazon-cognito-user-pools-authentication-flow-methods-custom) más allá de las funciones integradas de Amazon Cognito?

Cuando tenga las respuestas a estas preguntas, podrá ver cómo activar las características pertinentes e implementarlas en las solicitudes de autenticación que realice su aplicación.

Después de configurar los flujos de inicio de sesión para un usuario, puedes comprobar su estado actual para ver si tiene MFA [y](authentication-flows-selection-sdk.md#authentication-flows-selection-choice) factores de autenticación basados en elecciones con las solicitudes a la operación de la API. [GetUserAuthFactors](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUserAuthFactors.html) Esta operación requiere la autorización con el token de acceso de un usuario que haya iniciado sesión. Devuelve los factores de autenticación del usuario y la configuración de MFA.

**Topics**
+ [Inicia sesión con un tercero IdPs](#amazon-cognito-user-pools-authentication-flow-methods-federated)
+ [Inicio de sesión con contraseñas persistentes](#amazon-cognito-user-pools-authentication-flow-methods-password)
+ [Inicio de sesión con contraseñas persistentes y carga útil segura](#amazon-cognito-user-pools-authentication-flow-methods-srp)
+ [Inicio de sesión sin contraseña con contraseñas de un solo uso](#amazon-cognito-user-pools-authentication-flow-methods-passwordless)
+ [Inicio de sesión sin contraseña con claves de acceso WebAuthn](#amazon-cognito-user-pools-authentication-flow-methods-passkey)
+ [MFA después del inicio de sesión](#amazon-cognito-user-pools-authentication-flow-methods-mfa)
+ [Tokens de actualización](#amazon-cognito-user-pools-authentication-flow-methods-refresh)
+ [Autenticación personalizada](#amazon-cognito-user-pools-authentication-flow-methods-custom)
+ [Flujo de autenticación de migración de usuarios](#amazon-cognito-user-pools-user-migration-authentication-flow)

## Inicia sesión con un tercero IdPs
<a name="amazon-cognito-user-pools-authentication-flow-methods-federated"></a>

Los grupos de usuarios de Amazon Cognito actúan como intermediario de las sesiones de autenticación entre servicios IdPs como Sign in with Apple, Login with Amazon y OpenID Connect (OIDC). Este proceso también se denomina *inicio de sesión federado* o *autenticación federada*. La autenticación federada no utiliza ninguno de los flujos de autenticación que puede crear en el cliente de su aplicación. En su lugar, usted asigna el grupo de usuarios configurado al cliente de IdPs su aplicación. El inicio de sesión federado ocurre cuando los usuarios seleccionan su IdP en el inicio de sesión administrado o cuando la aplicación invoca una sesión con una redirección a su página de inicio de sesión de IdP.

Con el inicio de sesión federado, delega los factores de autenticación principales y de MFA al IdP del usuario. Amazon Cognito no añade los demás flujos avanzados de esta sección a un usuario federado a menos que [los vincule a un usuario local](cognito-user-pools-identity-federation-consolidate-users.md). Los usuarios federados no vinculados tienen nombres de usuario, pero son un almacén de datos de atributos mapeados que normalmente no se utilizan para el inicio de sesión independiente del flujo con navegador.

**Recursos de implementación**
+ [Inicio de sesión en el grupo de usuarios con proveedores de identidad externos](cognito-user-pools-identity-federation.md)

## Inicio de sesión con contraseñas persistentes
<a name="amazon-cognito-user-pools-authentication-flow-methods-password"></a>

En los grupos de usuarios de Amazon Cognito, cada usuario tiene un nombre de usuario. Podría ser un número de teléfono, una dirección de correo electrónico o un identificador elegido o proporcionado por el administrador. Los usuarios de este tipo pueden iniciar sesión con su nombre de usuario y contraseña y, de forma opcional, proporcionar una MFA. Los grupos de usuarios pueden iniciar sesión con nombre de usuario y contraseña con operaciones de API públicas o autorizadas por IAM y métodos del SDK. La aplicación puede enviar directamente la contraseña a su grupo de usuarios para su autenticación. Su grupo de usuarios responde con desafíos adicionales o con los tokens web JSON (JWTs) que son el resultado de una autenticación correcta.

------
#### [ Activate password sign-in ]

Para activar la [autenticación basada en el cliente](authentication-flows-selection-sdk.md#authentication-flows-selection-client) con nombre de usuario y contraseña, configure el cliente de la aplicación para que lo permita. En la consola de Amazon Cognito, navegue hasta el menú de **clientes** de **aplicaciones** en la configuración de su grupo de usuarios. Para permitir el inicio de sesión con una contraseña simple en una aplicación móvil o nativa en el cliente, edite un cliente de aplicación y seleccione **Iniciar sesión con nombre de usuario y contraseña: ALLOW\_USER\_PASSWORD\_AUTH** en **Flujos de autenticación**. Para permitir el inicio de sesión con una contraseña simple en una aplicación del servidor, edite el cliente de aplicación y elija **Iniciar sesión con las credenciales administrativas del servidor: ALLOW\_ADMIN\_USER\_PASSWORD\_AUTH**.

Para activar la [autenticación basada en opciones](authentication-flows-selection-sdk.md#authentication-flows-selection-choice) con nombre de usuario y contraseña, configure el cliente de aplicación para que lo permita. Edite el cliente de aplicación y elija **Inicio de sesión basado en opciones: ALLOW\_USER\_AUTH**.

![Captura de pantalla de la consola de Amazon Cognito, donde se ve la elección de flujos de autenticación con contraseña simple para un cliente de aplicación Se han seleccionado las opciones ALLOW_USER_PASSWORD_AUTH, ALLOW_ADMIN_USER_PASSWORD_AUTH y ALLOW_USER_AUTH.](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/screenshot-choose-password-admin-password-and-user-auth.png)


Para comprobar que la autenticación mediante contraseña esté disponible en los flujos de autenticación basados en opciones, vaya al **menú de inicio de sesión** y consulte la sección **Opciones para el inicio de sesión basado en opciones**. Puede iniciar sesión con una autenticación con contraseña simple si la **contraseña** está visible en **Opciones disponibles**. La opción de **contraseña** incluye las variantes de autenticación simple y SRP con nombre de usuario y contraseña.

![Captura de pantalla de la consola de Amazon Cognito, donde se ve la opción de autenticación por contraseña en la configuración de inicio de sesión basada en opciones USER_AUTH para un grupo de usuarios La opción Contraseña aparece activa.](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/screenshot-password-flow-in-user-auth.png)


Configure `ExplicitAuthFlows` con sus opciones de username-and-password autenticación preferidas en una [UpdateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolClient.html)solicitud [CreateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolClient.html)o.

```
"ExplicitAuthFlows": [ 
   "ALLOW_USER_PASSWORD_AUTH",
   "ALLOW_ADMIN_USER_PASSWORD_AUTH",
   "ALLOW_USER_AUTH"
]
```

En una [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)solicitud [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)o, `Policies` configúrela con los flujos de autenticación basados en opciones que desee admitir. El valor `PASSWORD` en `AllowedFirstAuthFactors` incluye las opciones de flujo de autenticación con contraseña simple y SRP.

```
"Policies": {
   "SignInPolicy": {
      "AllowedFirstAuthFactors": [
         "PASSWORD",
         "EMAIL_OTP",
         "WEB_AUTHN"
      ]
   }
}
```

------
#### [ Choice-based sign-in with a password ]

Para iniciar sesión en una aplicación con la autenticación de nombre de usuario y contraseña, configure el cuerpo de su [AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html)solicitud de la siguiente manera. [InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html) Esta solicitud de inicio de sesión se realiza correctamente o continúa hasta el siguiente desafío si el usuario actual cumple los requisitos para la autenticación con nombre de usuario y contraseña. De lo contrario, responde con una lista de los desafíos de autenticación de factor principal disponibles. Este conjunto de parámetros es el mínimo necesario para iniciar sesión. Hay parámetros adicionales disponibles.

```
{
   "AuthFlow": "USER_AUTH",
   "AuthParameters": { 
      "USERNAME" : "{{testuser}}",
      "PREFERRED_CHALLENGE" : "{{PASSWORD}}",
      "PASSWORD" : "{{[User's password]}}"
   },
   "ClientId": "{{1example23456789}}"
}
```

También puede omitir el valor de `PREFERRED_CHALLENGE` y recibir una respuesta que contenga una lista de los factores de inicio de sesión aptos para el usuario.

```
{
   "AuthFlow": "USER_AUTH",
   "AuthParameters": { 
      "USERNAME" : "{{testuser}}"
   },
   "ClientId": "{{1example23456789}}"
}
```

Si no ha enviado un desafío preferido o el usuario enviado no reúne los requisitos para su desafío preferido, Amazon Cognito devolverá una lista de opciones en `AvailableChallenges`. Si `AvailableChallenges` incluye un `ChallengeName` de`PASSWORD`, puede continuar con la autenticación con una respuesta [RespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_RespondToAuthChallenge.html)o [AdminRespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminRespondToAuthChallenge.html)impugnación en el siguiente formato. Debe pasar un parámetro `Session` que asocie la respuesta al desafío con la respuesta de la API a su solicitud de inicio de sesión inicial. Este conjunto de parámetros es el mínimo necesario para iniciar sesión. Hay parámetros adicionales disponibles.

```
{
   "ChallengeName": "{{PASSWORD}}",
   "ChallengeResponses": { 
      "USERNAME" : "{{testuser}}",
      "PASSWORD" : "{{[User's Password]}}"
   },
   "ClientId": "{{1example23456789}}",
   "Session": "{{[Session ID from the previous response}}"
}
```

Amazon Cognito responde a las solicitudes de desafío preferido aptas y satisfactorias y a las respuestas a desafíos `PASSWORD` con tokens o un desafío adicional obligatorio, como la autenticación multifactor (MFA).

------
#### [ Client-based sign-in with a password ]

Para iniciar sesión en una aplicación del cliente con la autenticación de nombre de usuario y contraseña, configura el cuerpo de la solicitud de la siguiente manera. [InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html) Este conjunto de parámetros es el mínimo necesario para iniciar sesión. Hay parámetros adicionales disponibles.

```
{
   "AuthFlow": "USER_PASSWORD_AUTH",
   "AuthParameters": { 
      "USERNAME" : "{{testuser}}",
      "PASSWORD" : "{{[User's password]}}"
   },
   "ClientId": "{{1example23456789}}"
}
```

Para iniciar sesión en una aplicación del servidor con autenticación de nombre de usuario y contraseña, configura el cuerpo de la solicitud de la siguiente manera. [AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html) La aplicación debe firmar esta solicitud con credenciales. AWS Este conjunto de parámetros es el mínimo necesario para iniciar sesión. Hay parámetros adicionales disponibles.

```
{
   "AuthFlow": "ADMIN_USER_PASSWORD_AUTH",
   "AuthParameters": { 
      "USERNAME" : "{{testuser}}",
      "PASSWORD" : "{{[User's password]}}"
   },
   "ClientId": "{{1example23456789}}"
}
```

Amazon Cognito responde a las solicitudes exitosas con tokens o un desafío adicional requerido, como la autenticación multifactor (MFA).

------

## Inicio de sesión con contraseñas persistentes y carga útil segura
<a name="amazon-cognito-user-pools-authentication-flow-methods-srp"></a>

Otro método de inicio de sesión con nombre de usuario y contraseña en los grupos de usuarios es el uso del protocolo de contraseña remota segura (SRP). Esta opción envía una prueba del conocimiento de la contraseña (sal y hash de contraseña) que el grupo de usuarios puede verificar. Al no contener información secreta legible en la solicitud a Amazon Cognito, su aplicación es la única entidad que procesa las contraseñas que introducen los usuarios. La autenticación con SRP implica cálculos matemáticos que se pueden realizar mejor con un componente existente que pueda importar a su SDK. El SRP se suele implementar en aplicaciones en el cliente, como las aplicaciones móviles. Para obtener más información acerca del protocolo, consulte [The Stanford SRP Homepage](http://srp.stanford.edu/). [Wikipedia](https://en.wikipedia.org/wiki/Secure_Remote_Password_protocol) también tiene recursos y ejemplos. Hay [distintas bibliotecas públicas](https://en.wikipedia.org/wiki/Secure_Remote_Password_protocol#Implementations) disponibles para realizar los cálculos de SRP para sus flujos de autenticación.

La initiate-challenge-respond secuencia de autenticación de Amazon Cognito valida a los usuarios y sus contraseñas con SRP. Debe configurar su grupo de usuarios y el cliente de aplicación para que admitan la autenticación SRP y, a continuación, implementar la lógica de las solicitudes de inicio de sesión y las respuestas a los desafíos en su aplicación. Sus bibliotecas SRP pueden generar números aleatorios y valores calculados que demuestren a su grupo de usuarios que dispone de la contraseña de un usuario. Su aplicación rellena estos valores calculados en los campos con formato JSON `AuthParameters` y `ChallengeParameters` en las operaciones de API para grupos de usuarios de Amazon Cognito y los métodos SDK para la autenticación.

------
#### [ Activate SRP sign-in ]

Para activar la [autenticación basada en el cliente](authentication-flows-selection-sdk.md#authentication-flows-selection-client) con nombre de usuario y SRP, configure el cliente de aplicación para que lo permita. En la consola de Amazon Cognito, navegue hasta el menú de **clientes** de **aplicaciones** en la configuración de su grupo de usuarios. Para permitir el inicio de sesión con SRP en una aplicación móvil o nativa en el cliente, edite un cliente de aplicación y seleccione **Iniciar sesión con contraseña remota segura (SRP): ALLOW\_USER\_SRP\_AUTH** en **Flujos de autenticación**.

**Para activar la [autenticación basada en opciones](authentication-flows-selection-sdk.md#authentication-flows-selection-choice) con nombre de usuario y SRP, edite el cliente de aplicación y elija Inicio de sesión basado en opciones: ALLOW\_USER\_AUTH**.

![Captura de pantalla de la consola de Amazon Cognito, donde se ve la elección de flujos de autenticación con contraseña remota y segura para un cliente de aplicación Se han seleccionado las opciones ALLOW_USER_SRP_AUTH y ALLOW_USER_AUTH.](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/screenshot-choose-SRP-and-user-auth.png)


Para comprobar que la autenticación mediante SRP esté disponible en los flujos de autenticación basados en opciones, vaya al **menú de inicio de sesión** y consulte la sección **Opciones para el inicio de sesión basado en opciones**. Puede iniciar sesión con una autenticación con SRP si la **contraseña** está visible en **Opciones disponibles**. La opción de **contraseña** incluye las variantes de autenticación simple y SRP con nombre de usuario y contraseña.

![Captura de pantalla de la consola de Amazon Cognito, donde se ve la opción de autenticación por contraseña en la configuración de inicio de sesión basada en opciones USER_AUTH para un grupo de usuarios La opción Contraseña aparece como activa.](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/screenshot-password-flow-in-user-auth.png)


Configure `ExplicitAuthFlows` con sus opciones de username-and-password autenticación preferidas en una [UpdateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolClient.html)solicitud [CreateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolClient.html)o.

```
"ExplicitAuthFlows": [ 
   "ALLOW_USER_SRP_AUTH",
   "ALLOW_USER_AUTH"
]
```

En una [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)solicitud [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)o, `Policies` configúrela con los flujos de autenticación basados en opciones que desee admitir. El valor `PASSWORD` en `AllowedFirstAuthFactors` incluye las opciones de flujo de autenticación con contraseña simple y SRP.

```
"Policies": {
   "SignInPolicy": {
      "AllowedFirstAuthFactors": [
         "PASSWORD",
         "EMAIL_OTP",
         "WEB_AUTHN"
      ]
   }
}
```

------
#### [ Choice-based sign-in with SRP ]

Para iniciar sesión en una aplicación mediante la autenticación de nombre de usuario y contraseña con SRP, configure el cuerpo de su solicitud de la siguiente manera. [AdminInitiateAuth[InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html)](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html) Esta solicitud de inicio de sesión se realiza correctamente o continúa hasta el siguiente desafío si el usuario actual cumple los requisitos para la autenticación con nombre de usuario y contraseña. De lo contrario, responde con una lista de los desafíos de autenticación de factor principal disponibles. Este conjunto de parámetros es el mínimo necesario para iniciar sesión. Hay parámetros adicionales disponibles.

```
{
   "AuthFlow": "USER_AUTH",
   "AuthParameters": { 
      "USERNAME" : "{{testuser}}",
      "PREFERRED_CHALLENGE" : "{{PASSWORD_SRP}}",
      "SRP_A" : "{{[g^a % N]}}"
   },
   "ClientId": "{{1example23456789}}"
}
```

También puede omitir el valor de `PREFERRED_CHALLENGE` y recibir una respuesta que contenga una lista de los factores de inicio de sesión aptos para el usuario.

```
{
   "AuthFlow": "USER_AUTH",
   "AuthParameters": { 
      "USERNAME" : "{{testuser}}"
   },
   "ClientId": "{{1example23456789}}"
}
```

Si no ha enviado un desafío preferido o el usuario enviado no reúne los requisitos para su desafío preferido, Amazon Cognito devolverá una lista de opciones en `AvailableChallenges`. Si `AvailableChallenges` incluye un `ChallengeName` de`PASSWORD_SRP`, puede continuar con la autenticación con una respuesta [RespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_RespondToAuthChallenge.html)o [AdminRespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminRespondToAuthChallenge.html)impugnación en el siguiente formato. Debe pasar un parámetro `Session` que asocie la respuesta al desafío con la respuesta de la API a su solicitud de inicio de sesión inicial. Este conjunto de parámetros es el mínimo necesario para iniciar sesión. Hay parámetros adicionales disponibles.

```
{
   "ChallengeName": "{{PASSWORD_SRP}}",
   "ChallengeResponses": { 
      "USERNAME" : "{{testuser}}",
      "SRP_A" : "{{[g^a % N]}}"
   },
   "ClientId": "{{1example23456789}}",
   "Session": "{{[Session ID from the previous response}}"
}
```

Amazon Cognito responde a las solicitudes de desafío preferente y a las respuestas de desafíos de `PASSWORD_SRP` aptas con un desafío `PASSWORD_VERIFIER`. Su cliente debe completar los cálculos de SRP y responder al desafío en una [AdminRespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminRespondToAuthChallenge.html)solicitud [RespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_RespondToAuthChallenge.html)o.

```
{
   "ChallengeName": "PASSWORD_VERIFIER",
   "ChallengeResponses": { 
      "PASSWORD_CLAIM_SIGNATURE" : "{{string}}",
      "PASSWORD_CLAIM_SECRET_BLOCK" : "{{string}}",
      "TIMESTAMP" : "{{string}}"
   },
   "ClientId": "{{1example23456789}}",
   "Session": "{{[Session ID from the previous response]}}"
}
```

Si la respuesta a un desafío `PASSWORD_VERIFIER` es correcta, Amazon Cognito emite tokens u otro desafío obligatorio como la autenticación multifactor (MFA).

------
#### [ Client-based sign-in with SRP ]

La autenticación SRP es más común en la autenticación en el cliente que en el servidor. Sin embargo, puede usar la autenticación SRP con [InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html)y. [AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html) Para que un usuario inicie sesión en una aplicación, configure el cuerpo de su solicitud `InitiateAuth` o `AdminInitiateAuth` de la siguiente manera. Este conjunto de parámetros es el mínimo necesario para iniciar sesión. Hay parámetros adicionales disponibles.

El cliente genera `SRP_A` a partir de un módulo generador N *g* elevado a la potencia de un entero aleatorio secreto *a*.

```
{
   "AuthFlow": "USER_SRP_AUTH",
   "AuthParameters": { 
      "USERNAME" : "{{testuser}}",
      "SRP_A" : "{{[g^a % N]}}"
   },
   "ClientId": "{{1example23456789}}"
}
```

Amazon Cognito responde con un desafío `PASSWORD_VERIFIER`. Su cliente debe completar los cálculos de SRP y responder al desafío en una solicitud [RespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_RespondToAuthChallenge.html)o [AdminRespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminRespondToAuthChallenge.html).

```
{
   "ChallengeName": "PASSWORD_VERIFIER",
   "ChallengeResponses": { 
      "PASSWORD_CLAIM_SIGNATURE" : "{{string}}",
      "PASSWORD_CLAIM_SECRET_BLOCK" : "{{string}}",
      "TIMESTAMP" : "{{string}}"
   },
   "ClientId": "{{1example23456789}}",
   "Session": "{{[Session ID from the previous response]}}"
}
```

Si la respuesta a un desafío `PASSWORD_VERIFIER` es correcta, Amazon Cognito emite tokens u otro desafío obligatorio como la autenticación multifactor (MFA).

------

## Inicio de sesión sin contraseña con contraseñas de un solo uso
<a name="amazon-cognito-user-pools-authentication-flow-methods-passwordless"></a>

Las contraseñas se pueden perder o robar. Es posible que solo desee comprobar si sus usuarios tienen acceso a una dirección de correo electrónico verificada, un número de teléfono o una aplicación de autenticación. La solución a este problema es el inicio de sesión *sin contraseña*. Su aplicación puede solicitar a los usuarios que introduzcan su nombre de usuario, dirección de correo electrónico o número de teléfono. A continuación, Amazon Cognito genera una contraseña de un solo uso (OTP), un código que deben confirmar. Un código correcto completa la autenticación.

Los flujos de autenticación con contraseña de un solo uso (OTP) no son compatibles con la autenticación multifactor (MFA) requerida en su grupo de usuarios. La autenticación por clave de paso con verificación de usuario puede cumplir con los requisitos de MFA cuando se configura`FactorConfiguration`. `MULTI_FACTOR_WITH_USER_VERIFICATION` Si la MFA es opcional en su grupo de usuarios, los usuarios que hayan activado la MFA no podrán iniciar sesión con un factor OTP como primer factor. Los usuarios que no tengan una preferencia de MFA en un grupo de usuarios con MFA opcional pueden iniciar sesión con factores sin contraseña. Para obtener más información, consulte [Cosas que debe saber acerca de la MFA de grupos de usuarios](user-pool-settings-mfa.md#user-pool-settings-mfa-prerequisites).

Cuando un usuario introduce correctamente un código que ha recibido en un mensaje SMS o de correo electrónico como parte de la autenticación sin contraseña, además de autenticar al usuario, el grupo de usuarios marca como verificado el atributo de dirección de correo electrónico o número de teléfono del usuario no verificado. El estado del usuario también cambió de `UNCONFIRMED` a `CONFIRMED`, independientemente de si configuró su grupo de usuarios para [verificar automáticamente](signing-up-users-in-your-app.md) las direcciones de correo electrónico o los números de teléfono.

**Nuevas opciones con inicio de sesión sin contraseña**  
Al activar la autenticación sin contraseña en el grupo de usuarios, se cambia el funcionamiento de algunos flujos de usuarios.

1. Los usuarios pueden registrarse sin contraseña y elegir un factor sin contraseña al iniciar sesión. También puede crear usuarios sin contraseñas como administrador.

1. Los usuarios que [importe con un archivo CSV](cognito-user-pools-using-import-tool.md) pueden iniciar sesión inmediatamente sin necesidad de contraseñas. No es necesario que establezcan una contraseña antes de iniciar sesión.

1. Los usuarios que no tengan una contraseña pueden enviar solicitudes de [ChangePassword](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ChangePassword.html)API sin el parámetro. `PreviousPassword`

**Inicio de sesión automático con OTPs**  
Los usuarios que se registren y confirmen sus cuentas de usuario mediante correo electrónico o mensaje SMS OTPs pueden iniciar sesión automáticamente con el factor de ausencia de contraseña que coincida con su mensaje de confirmación. En la interfaz de usuario con inicio de sesión administrado, los usuarios que confirmen sus cuentas y puedan iniciar sesión con OTP mediante el código de confirmación procederán automáticamente a iniciar sesión por primera vez después de proporcionar el código de confirmación. En tu aplicación personalizada con un AWS SDK, transfiere los siguientes parámetros a una operación o. [InitiateAuth[AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html)](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html)
+ El `Session` parámetro de la respuesta de la [ConfirmSignUp](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmSignUp.html)API como parámetro de `Session` solicitud.
+ Uno [AuthFlow](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html#CognitoUserPools-InitiateAuth-request-AuthFlow)de`USER_AUTH`.

Puede pasar un [PREFERRED\_CHALLENGE](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html#CognitoUserPools-InitiateAuth-request-AuthParameters) de `EMAIL_OTP` o `SMS_OTP`, pero no es obligatorio. El parámetro `Session` proporciona una prueba de autenticación y Amazon Cognito ignora los `AuthParameters` cuando se pasa un código de sesión válido.

La operación de inicio de sesión devuelve la respuesta que indica que la autenticación se ha realizado correctamente [AuthenticationResult](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AuthenticationResultType.html), sin problemas adicionales si se cumplen las siguientes condiciones.
+ El código `Session` es válido y no ha caducado.
+ El usuario es apto para el método de autenticación OTP.

------
#### [ Activate passwordless sign-in ]

**Consola**  
Para activar el inicio de sesión sin contraseña, configure su grupo de usuarios para permitir el inicio de sesión principal con uno o más tipos sin contraseña; luego, configure el cliente de aplicación para permitir el flujo `USER_AUTH`. En la consola de Amazon Cognito, vaya al menú **Inicio de sesión** en **Autenticación**, en la configuración de su grupo de usuarios. Edite las **Opciones para el inicio de sesión basado en opciones** y elija **Contraseña de un solo uso por mensaje de correo electrónico** o **Contraseña de un solo uso por mensaje SMS**. Puede activar ambas opciones. Guarde los cambios.

Vaya al menú **Clientes de aplicación** y elija un cliente de aplicación o cree uno nuevo. Seleccione **Editar** y elija **Seleccionar un tipo de autenticación en el inicio de sesión: ALLOW\_USER\_AUTH**.

**API/SDK**  
En la API de grupos de usuarios, `SignInPolicy` configúrela con las opciones sin contraseña adecuadas en una [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)solicitud o. [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)

```
"SignInPolicy": { 
    "AllowedFirstAuthFactors": [ 
        "EMAIL_OTP",
        "SMS_OTP"
    ]
}
```

Configure el cliente de la aplicación `ExplicitAuthFlows` con la opción requerida en una solicitud [CreateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolClient.html)o [UpdateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolClient.html).

```
"ExplicitAuthFlows": [ 
   "ALLOW_USER_AUTH"
]
```

------
#### [ Sign in with passwordless ]

El inicio de sesión sin contraseña no tiene un [cliente `AuthFlow` que puedas especificar en](authentication-flows-selection-sdk.md#authentication-flows-selection-client) y. [InitiateAuth[AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html)](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html) La autenticación OTP solo está disponible en función de la [elección](authentication-flows-selection-sdk.md#authentication-flows-selection-choice)`USER_AUTH`, donde puedes solicitar una opción `AuthFlow` de inicio de sesión preferida o elegir la opción sin contraseña de la del usuario. [AvailableChallenges](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html#CognitoUserPools-InitiateAuth-response-AvailableChallenges) Para que un usuario inicie sesión en una aplicación, configure el cuerpo de su solicitud `InitiateAuth` o `AdminInitiateAuth` de la siguiente manera. Este conjunto de parámetros es el mínimo necesario para iniciar sesión. Hay parámetros adicionales disponibles.

En este ejemplo, no sabemos de qué forma quiere iniciar sesión el usuario. Si añadimos un parámetro `PREFERRED_CHALLENGE` y el desafío preferido está disponible para el usuario, Amazon Cognito responde con ese desafío.

```
{
   "AuthFlow": "USER_AUTH",
   "AuthParameters": { 
      "USERNAME" : "{{testuser}}"
   },
   "ClientId": "{{1example23456789}}"
}
```

En lugar de eso, puede añadir `"PREFERRED_CHALLENGE": "EMAIL_OTP"` o `"PREFERRED_CHALLENGE": "SMS_OTP"` en `AuthParameters` en este ejemplo. Si el usuario cumple los requisitos para utilizar ese método preferido, el grupo de usuarios envía inmediatamente un código a la dirección de correo electrónico o al número de teléfono del usuario y devuelve `"ChallengeName": "EMAIL_OTP"` o `"ChallengeName": "SMS_OTP"`.

Si no especifica un desafío preferido, Amazon Cognito responde con un parámetro `AvailableChallenges`.

```
{
   "AvailableChallenges": [ 
      "EMAIL_OTP", 
      "SMS_OTP",
      "PASSWORD"
    ],
   "Session": "{{[Session ID]}}"
}
```

Este usuario puede iniciar sesión sin contraseña con la OTP con mensaje de correo electrónico, la OTP con mensaje SMS y la combinación de nombre de usuario y contraseña. La aplicación puede pedirle al usuario su elección o realizar una elección en función de la lógica interna. A continuación, procede con una solicitud [RespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_RespondToAuthChallenge.html)o [AdminRespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminRespondToAuthChallenge.html)solicitud en la que se selecciona el desafío. Supongamos que el usuario desea completar la autenticación sin contraseña con una OTP con mensaje de correo electrónico.

```
{
   "ChallengeName": "SELECT_CHALLENGE",
   "ChallengeResponses": { 
      "USERNAME" : "{{testuser}}",
      "ANSWER" : "EMAIL_OTP" 
   },
   "ClientId": "{{1example23456789}}",
   "Session": "{{[Session ID from the previous response]}}"
}
```

Amazon Cognito responde con un desafío `EMAIL_OTP` y envía un código a la dirección de correo electrónico verificada del usuario. A continuación, su aplicación debe volver a responder a este desafío.

Esta también sería la siguiente respuesta al desafío si ha solicitado `EMAIL_OTP` como `PREFERRED_CHALLENGE`.

```
{
   "ChallengeName": "EMAIL_OTP",
   "ChallengeResponses": {
      "USERNAME" : "{{testuser}}", 
      "EMAIL_OTP_CODE" : "{{123456}}" 
   },
   "ClientId": "{{1example23456789}}",
   "Session": "{{[Session ID from the previous response]}}"
}
```

------

## Inicio de sesión sin contraseña con claves de acceso WebAuthn
<a name="amazon-cognito-user-pools-authentication-flow-methods-passkey"></a>

Las claves de acceso son seguras e imponen un nivel de esfuerzo relativamente bajo a los usuarios. El inicio de sesión con clave de acceso usa *autenticadores*, dispositivos externos que los usuarios pueden usar para la autenticación. Las contraseñas habituales exponen a los usuarios a vulnerabilidades, como la suplantación de identidad, la adivinación de contraseñas y el robo de credenciales. Con las claves de acceso, su aplicación puede beneficiarse de medidas de seguridad avanzadas en los teléfonos móviles y otros dispositivos conectados a los sistemas de información o integrados en ellos. Un flujo de trabajo de inicio de sesión con clave de acceso común comienza con una llamada al dispositivo que invoca al administrador de contraseñas o *credenciales*, por ejemplo, el llavero de iOS o el administrador de contraseñas de Google Chrome. El administrador de credenciales del dispositivo les pide que seleccionen una clave de acceso y la autoricen con una credencial existente o un mecanismo de desbloqueo del dispositivo. Los teléfonos modernos cuentan con escáneres faciales, escáneres de huellas digitales, patrones de desbloqueo y otros mecanismos, algunos de los cuales cumplen al mismo tiempo con los principios de autenticación reforzada del tipo *algo que sabes* y *algo que tienes*. En el caso de la autenticación mediante claves de acceso biométricas, las claves de acceso son un método del tipo *algo que eres*.

Quizá quiera sustituir las contraseñas por la autenticación mediante huella digital, la identificación facial o la clave de seguridad. Se trata de una *clave de paso* o autenticación. *WebAuthn* Es habitual que los desarrolladores de aplicaciones permitan a los usuarios inscribir un dispositivo biométrico después de iniciar sesión por primera vez con una contraseña. Con los grupos de usuarios de Amazon Cognito, su aplicación puede configurar esta opción de inicio de sesión para los usuarios. La autenticación con clave de paso puede cumplir con los requisitos de autenticación multifactor (MFA) cuando su grupo de usuarios se haya establecido en. `FactorConfiguration` `MULTI_FACTOR_WITH_USER_VERIFICATION` En esta configuración, la autenticación con clave de paso con verificación de usuario cuenta como autenticación multifactorial.

Los flujos de autenticación con contraseña de un solo uso (OTP) no son compatibles con la autenticación multifactor (MFA) requerida en su grupo de usuarios. La autenticación por clave de paso con verificación de usuario puede cumplir con los requisitos de MFA cuando se configura`FactorConfiguration`. `MULTI_FACTOR_WITH_USER_VERIFICATION` Si la MFA es opcional en su grupo de usuarios, los usuarios que hayan activado la MFA no podrán iniciar sesión con un factor OTP como primer factor. Los usuarios que no tengan una preferencia de MFA en un grupo de usuarios con MFA opcional pueden iniciar sesión con factores sin contraseña. Para obtener más información, consulte [Cosas que debe saber acerca de la MFA de grupos de usuarios](user-pool-settings-mfa.md#user-pool-settings-mfa-prerequisites).

### ¿Qué son las claves de acceso?
<a name="amazon-cognito-user-pools-authentication-flow-methods-passkey-what-are"></a>

Las claves de paso simplifican la experiencia del usuario al eliminar la necesidad de recordar o introducir contraseñas complejas. OTPs Las claves de acceso se basan en WebAuthn CTAP2 normas elaboradas por el [World Wide Web Consortium](https://www.w3.org/TR/webauthn-3/) (W3C) y la Alianza FIDO (Fast Identity Online). *Los navegadores y las plataformas implementan estos estándares, proporcionan aplicaciones web o móviles APIs para iniciar un proceso de registro o autenticación de claves, y también una interfaz de usuario para que el usuario seleccione un autenticador de clave de paso e interactúe con él.*

Cuando un usuario registra un autenticador en un sitio web o una aplicación, el autenticador crea un key pair público-privado. WebAuthn los navegadores y las plataformas envían la clave pública al back-end de la aplicación, del sitio web o la aplicación. El autenticador conserva la clave privada, la clave IDs y los metadatos sobre el usuario y la aplicación. Cuando el usuario quiere autenticarse en la aplicación registrada con su autenticador registrado, la aplicación genera un desafío aleatorio. La respuesta a este desafío es la firma digital del desafío generada con la clave privada del autenticador para esa aplicación y usuario, así como los metadatos relevantes. El navegador o la plataforma de la aplicación reciben la firma digital y la pasan al backend de la aplicación. A continuación, la aplicación valida la firma con la clave pública almacenada.

**nota**  
La aplicación no recibe ningún secreto de autenticación que los usuarios proporcionen a su autenticador, ni recibe información sobre la clave privada.

A continuación, se muestran algunos ejemplos y capacidades de los autenticadores actualmente en el mercado. Un autenticador puede cumplir con alguna de estas categorías o con todas ellas.
+ Algunos autenticadores *verifican al usuario* con factores como un PIN, una entrada biométrica con un rostro o huella digital o un código de acceso antes de conceder dicho acceso, lo que garantiza que solo el usuario legítimo pueda autorizar las acciones. Otros autenticadores no tienen ninguna función de verificación de usuario y algunos pueden omitir la verificación de usuario cuando una aplicación no la requiere.
+ Algunos autenticadores, como los tokens de YubiKey hardware, son portátiles. Se comunican con los dispositivos a través de conexiones USB, Bluetooth o NFC. Algunos autenticadores son locales y están vinculados a una plataforma, como Windows Hello en un ordenador o Face ID en un iPhone. El usuario puede transportar un autenticador vinculado a un dispositivo si es lo suficientemente pequeño, como un dispositivo móvil. A veces, los usuarios pueden conectar su autenticador de hardware a muchas plataformas diferentes mediante comunicación inalámbrica. Por ejemplo, los usuarios de los navegadores de escritorio pueden usar su teléfono inteligente como autenticador de clave de acceso cuando escanean un código QR.
+ Algunas claves de acceso vinculadas a la plataforma se sincronizan con la nube para poder utilizarlas desde varios lugares. Por ejemplo, las claves de acceso de Face ID de los iPhones sincronizan los metadatos de las claves con las cuentas de Apple de los usuarios en su llavero de iCloud. Estas claves de acceso permiten una autenticación fluida en todos los dispositivos Apple, en lugar de requerir que los usuarios registren cada dispositivo de forma independiente. Las aplicaciones autenticadoras basadas en software, como 1Password, Dashlane y Bitwarden, sincronizan las claves de acceso en todas las plataformas en las que el usuario ha instalado la aplicación.

En WebAuthn términos terminológicos, los sitios web y las aplicaciones son *partes que confían en sí mismas*. Cada clave de acceso está asociada a un identificador de usuario específico, un identificador unificado que representa los sitios web o las aplicaciones que aceptan la autenticación con clave de acceso. Los desarrolladores deben seleccionar cuidadosamente su ID de actor de confianza para tener el alcance de autenticación adecuado. Un identificador de actor de confianza es el nombre de dominio raíz de un servidor web. Una clave de acceso con esta especificación de ID de actor de confianza puede autenticar ese dominio y sus subdominios. Los navegadores y las plataformas deniegan la autenticación con clave de acceso cuando la URL del sitio web al que el usuario quiere acceder no coincide con el ID del actor de confianza. Del mismo modo, en el caso de las aplicaciones móviles, solo se puede usar una clave de acceso si la ruta de la aplicación está presente en los archivos de asociación `.well-known` que la aplicación pone a disposición en la ruta indicada por el ID del actor de confianza.

Las claves de acceso son *reconocibles*. Un navegador o una plataforma pueden reconocerlas y utilizarlas automáticamente sin necesidad de que el usuario introduzca un nombre de usuario. Cuando un usuario visita un sitio web o una aplicación que admite la autenticación con clave de acceso, puede seleccionarlas de una lista de claves que el navegador o la plataforma ya conocen, o puede escanear un código QR.

### ¿Cómo implementa Amazon Cognito la autenticación con clave de acceso?
<a name="amazon-cognito-user-pools-authentication-flow-methods-passkey-cognito"></a>

Las claves de acceso son una característica opcional que está disponible en todos los [planes de características](cognito-sign-in-feature-plans.md), con la excepción de **Lite**. Solo está disponible en el [flujo de autenticación basado en opciones](authentication-flows-selection-sdk.md#authentication-flows-selection-choice). Con el [inicio de sesión administrado](authentication-flows-selection-managedlogin.md), Amazon Cognito gestiona la lógica de la autenticación con clave de acceso. También puede usar la [API de grupos de usuarios de Amazon Cognito AWS SDKs para realizar la autenticación con clave de paso en](#amazon-cognito-user-pools-authentication-flow-methods) el back-end de la aplicación.

Amazon Cognito reconoce las claves de paso creadas con uno de los dos algoritmos criptográficos asimétricos ES256 (-7) y (-257). RS256 La mayoría de los autenticadores admiten ambos algoritmos. De forma predeterminada, los usuarios pueden configurar cualquier tipo de autenticador, por ejemplo, tokens de hardware, teléfonos móviles inteligentes y aplicaciones de autenticación de software. Amazon Cognito no admite actualmente la aplicación de [atestaciones](https://csrc.nist.gov/glossary/term/attestation).

En su grupo de usuarios, puede configurar la verificación de usuario como preferida u obligatoria. Esta configuración se establece de forma predeterminada en las solicitudes de API que no proporcionan un valor, y se selecciona de forma predeterminada en la consola de Amazon Cognito. Al configurar la verificación de usuarios como preferida, los usuarios pueden configurar autenticadores que no tienen la capacidad de verificación de usuarios, y las operaciones de registro y autenticación se pueden realizar correctamente sin la verificación del usuario. Para exigir la verificación de los usuarios en el registro y la autenticación con clave de acceso, cambie esta configuración a obligatoria.

El identificador del actor de confianza (RP) que establezca en la configuración de la clave de acceso es una decisión importante. Si no especifica lo contrario y la [versión de marca del dominio](managed-login-branding.md) es el inicio de sesión administrado, su grupo de usuarios esperará de forma predeterminada que el nombre de su [dominio personalizado](cognito-user-pools-add-custom-domain.md) sea el ID del RP. Si no tiene un dominio personalizado y no especifica lo contrario, su grupo de usuarios utilizará de forma predeterminada un ID de RP de su [dominio de prefijo](cognito-user-pools-assign-domain-prefix.md). También puede configurar su ID de RP para que sea cualquier nombre de dominio que no figure en la lista de sufijos públicos (PSL). La entrada de su ID de RP se aplica al registro y la autenticación con clave de acceso en el inicio de sesión administrado y en la autenticación del SDK. La clave de acceso solo funciona en aplicaciones móviles, ya que Amazon Cognito puede localizar un archivo de asociación `.well-known` con su ID de RP como dominio. Como práctica recomendada, determine y establezca el valor del ID del actor de confianza antes de que su sitio web o aplicación estén disponibles públicamente. Si cambia su ID de RP, los usuarios deberán volver a registrarse con el nuevo ID de RP.

Cada usuario puede registrar hasta 20 claves de acceso. Solo pueden registrar una clave de acceso después de haber iniciado sesión en su grupo de usuarios al menos una vez. El inicio de sesión administrado supone un esfuerzo considerable para el registro de la clave de acceso. Al habilitar la autenticación con clave de acceso para un grupo de usuarios y un cliente de aplicación, el grupo de usuarios con un dominio de inicio de sesión administrado recuerda a los usuarios finales que deben registrar una clave de acceso después de crear una nueva cuenta de usuario. También puede invocar los navegadores de los usuarios en cualquier momento para dirigirlos a una página de inicio de sesión administrado para el registro de la clave de acceso. Los usuarios deben proporcionar un nombre de usuario antes de que Amazon Cognito pueda iniciar la autenticación con clave de acceso. El inicio de sesión administrado lo gestiona automáticamente. La página de inicio de sesión solicita un nombre de usuario, valida que el usuario tenga registrada al menos una clave de acceso y, a continuación, solicita el inicio de sesión con la clave de acceso. Del mismo modo, las aplicaciones basadas en el SDK deben solicitar un nombre de usuario y proporcionarlo en la solicitud de autenticación.

Cuando configura la autenticación de grupos de usuarios con claves de acceso y tiene un dominio personalizado y un dominio de prefijo, el ID del RP toma como valor predeterminado el nombre de dominio completo (FQDN) de su dominio personalizado. Para configurar un dominio de prefijo como ID de RP en la consola de Amazon Cognito, elimine su dominio personalizado o introduzca el FQDN del dominio de prefijo como **dominio de terceros**.

------
#### [ Activate passkey sign-in ]

**Consola**  
Para activar el inicio de sesión con clave de acceso, configure su grupo de usuarios para permitir el inicio de sesión principal con uno o más tipos sin contraseña; luego, configure el cliente de aplicación para permitir el flujo `USER_AUTH`. En la consola de Amazon Cognito, vaya al menú **Inicio de sesión** en **Autenticación**, en la configuración de su grupo de usuarios. Edite las **Opciones para el inicio de sesión basado en opciones** y añada **Clave de acceso** a la lista de **opciones disponibles**.

Vaya al menú **Métodos de autenticación** y edite la **clave de acceso**.
+ La **verificación de usuario** es la configuración que determina si su grupo de usuarios requiere dispositivos con clave de acceso que comprueben además si el usuario actual está autorizado a utilizar una clave de acceso. Para animar a los usuarios a configurar un dispositivo con la verificación de usuario, pero sin exigirla, seleccione **Preferente**. Para admitir únicamente dispositivos con verificación de usuario, seleccione **Obligatorio**. Para obtener más información, consulte la sección [User verification](https://www.w3.org/TR/webauthn-2/#user-verification) en w3.org.
+ El **dominio para el ID de parte de confianza** es el identificador que la aplicación pasará en las solicitudes de registro de clave de acceso de los usuarios. Define el destino de la relación de confianza con el emisor de las claves de acceso de los usuarios. El identificador del actor de confianza puede ser el dominio de su grupo de usuarios si   
**dominio de Cognito**  
El [dominio de prefijo](cognito-user-pools-assign-domain-prefix.md) de Amazon Cognito de su grupo de usuarios.  
**Dominio personalizado**  
El [dominio personalizado](cognito-user-pools-add-custom-domain.md) de su grupo de usuarios.  
**Dominio de terceros**  
El dominio de las aplicaciones que no utilizan las páginas de inicio de sesión administrado para grupos de usuarios. Esta configuración suele estar asociada a grupos de usuarios que no tienen un [dominio](cognito-user-pools-assign-domain.md) y se autentican con un AWS SDK y la API de grupos de usuarios en el backend.

Vaya al menú **Clientes de aplicación** y elija un cliente de aplicación o cree uno nuevo. Seleccione **Editar** y, en **Flujos de autenticación**, elija **Seleccionar un tipo de autenticación en el inicio de sesión: ALLOW\_USER\_AUTH**.

**API/SDK**  
En la API de grupos de usuarios, configúrela `SignInPolicy` con las opciones de clave de paso adecuadas en una solicitud [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)o [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html). La opción `WEB_AUTHN` para la autenticación con clave de acceso debe ir acompañada de al menos otra opción. El registro de la clave de acceso requiere una sesión de autenticación existente.

```
"SignInPolicy": { 
    "AllowedFirstAuthFactors": [ 
        "PASSWORD",
        "WEB_AUTHN"
    ]
}
```

Configure su preferencia de verificación de usuario y su ID de RP en el `WebAuthnConfiguration` parámetro de una solicitud. [SetUserPoolMfaConfig](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUserPoolMfaConfig.html#CognitoUserPools-SetUserPoolMfaConfig-request-WebAuthnConfiguration) El `RelyingPartyId`, el objetivo previsto de los resultados de la autenticación con clave de acceso, puede ser el prefijo de su grupo de usuarios, un dominio personalizado o un dominio que usted elija.

```
"WebAuthnConfiguration": { 
   "RelyingPartyId": "{{example.auth.us-east-1.amazoncognito.com}}",
   "UserVerification": "{{preferred}}",
   "FactorConfiguration": "{{SINGLE_FACTOR}}"
}
```

Configura el cliente de tu aplicación `ExplicitAuthFlows` con la opción requerida en una solicitud [CreateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolClient.html)o [UpdateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolClient.html).

```
"ExplicitAuthFlows": [ 
   "ALLOW_USER_AUTH"
]
```

------
#### [ Register a passkey (managed login) ]

El inicio de sesión administrado gestiona el registro de las claves de acceso por parte de los usuarios. Cuando la autenticación con clave de acceso está activa en su grupo de usuarios, Amazon Cognito les pide a los usuarios que configuren una clave de acceso al registrar una nueva cuenta de usuario.

Amazon Cognito no solicita a los usuarios que configuren una clave de acceso si ya se han registrado y no han configurado una o si usted creó su cuenta como administrador. Los usuarios de este estado deben iniciar sesión con otro factor, como una contraseña o una OTP sin contraseña, antes de poder registrar una clave de acceso.

**Cómo registrar una clave de acceso**

1. Dirija al usuario a su [página de inicio de sesión](authorization-endpoint.md).

   ```
   https://{{auth.example.com}}/oauth2/authorize/?client_id={{1example23456789}}&response_type={{code}}&scope={{email+openid+phone}}&redirect_uri={{https%3A%2F%2Fwww.example.com}}
   ```

1. Procese el resultado de la autenticación del usuario. En este ejemplo, Amazon Cognito los redirige a `www.example.com` con un código de autorización que la aplicación intercambia por tokens.

1. Dirija al usuario a su página de registro y clave de acceso. El usuario dispondrá de una cookie del navegador que mantendrá su sesión de inicio de sesión. La URL de la clave de acceso toma los parámetros `client_id` y `redirect_uri`. Amazon Cognito solo permite el acceso a esta página a los usuarios autenticados. Inicie sesión en su usuario con una contraseña, una OTP con correo electrónico o una OTP con SMS; luego, invoque una URL que coincida con el siguiente patrón.

   También puede añadir otros parámetros [Autorizar punto de conexión](authorization-endpoint.md) a esta solicitud, como `response_type` y `scope`.

   ```
   https://{{auth.example.com}}/passkeys/add?client_id={{1example23456789}}&redirect_uri={{https%3A%2F%2Fwww.example.com}}
   ```

------
#### [ Register a passkey (SDK) ]

Las credenciales de la clave de paso se registran con los metadatos de un [PublicKeyCreationOptions](https://www.w3.org/TR/webauthn-3/#dictdef-publickeycredentialcreationoptions)objeto. Puede generar este objeto con las credenciales de un usuario que haya iniciado sesión y presentarlas en una solicitud de API al emisor de la clave de acceso. El emisor devolverá un objeto [RegistrationResponseJSON](https://www.w3.org/TR/webauthn-3/#dictdef-registrationresponsejson) que confirma el registro de la clave de paso.

Para iniciar el proceso de registro de la clave de acceso, inicie sesión con un usuario que tenga una opción de inicio de sesión existente. Autoriza la solicitud [de [StartWebAuthnRegistration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_StartWebAuthnRegistration.html)API autorizada por el token](authentication-flows-public-server-side.md#user-pool-apis-auth-unauth-token-auth) con el token de acceso del usuario actual. A continuación, se muestra el cuerpo de una solicitud `GetWebAuthnRegistrationOptions` de ejemplo.

```
{
   "AccessToken": "eyJra456defEXAMPLE"
}
```

La respuesta de su grupo de usuarios contiene el objeto `PublicKeyCreationOptions`. Presente este objeto en una solicitud de API al emisor del usuario. Proporciona información como la clave pública y el identificador del actor de confianza. El emisor responderá con un objeto `RegistrationResponseJSON`.

Presente la respuesta de registro en una solicitud de [CompleteWebAuthnRegistration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CompleteWebAuthnRegistration.html)API, nuevamente autorizada con el token de acceso del usuario. Cuando el grupo de usuarios responde con una respuesta HTTP 200 con el cuerpo vacío, se registra la clave de acceso del usuario.

------
#### [ Sign in with a passkey ]

El inicio de sesión sin contraseña no tiene ninguna `AuthFlow` que puedas especificar en y. [InitiateAuth[AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html)](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html) En su lugar, debe declarar un `AuthFlow` de `USER_AUTH` y solicitar una opción de inicio de sesión o elegir la opción sin contraseña en la respuesta de su grupo de usuarios. Para que un usuario inicie sesión en una aplicación, configure el cuerpo de su solicitud `InitiateAuth` o `AdminInitiateAuth` de la siguiente manera. Este conjunto de parámetros es el mínimo necesario para iniciar sesión. Hay parámetros adicionales disponibles.

En este ejemplo, sabemos que el usuario quiere iniciar sesión con una clave de acceso y añadimos un parámetro `PREFERRED_CHALLENGE`.

```
{
   "AuthFlow": "USER_AUTH",
   "AuthParameters": { 
      "USERNAME" : "{{testuser}}",
      "PREFERRED_CHALLENGE" : "WEB_AUTHN"
   },
   "ClientId": "{{1example23456789}}"
}
```

Amazon Cognito responde con un desafío `WEB_AUTHN`. Su aplicación debe responder a este desafío. Inicie una solicitud de inicio de sesión con el proveedor de la clave de acceso del usuario. [Devolverá un AuthenticationResponse objeto JSON.](https://www.w3.org/TR/webauthn-3/#dictdef-authenticationresponsejson)

```
{
   "ChallengeName": "WEB_AUTHN",
   "ChallengeResponses": {
      "USERNAME" : "{{testuser}}", 
      "CREDENTIAL" : "{{{AuthenticationResponseJSON}}}" 
   },
   "ClientId": "{{1example23456789}}",
   "Session": "{{[Session ID from the previous response]}}"
}
```

------

## MFA después del inicio de sesión
<a name="amazon-cognito-user-pools-authentication-flow-methods-mfa"></a>

Puede configurar los usuarios que completen el inicio de sesión con un flujo de nombre de usuario y contraseña para que se les solicite una verificación adicional con una contraseña de un solo uso desde un mensaje de correo electrónico, un mensaje SMS o una aplicación generadora de códigos. La MFA es diferente del inicio de sesión sin contraseña con contraseñas de un solo uso. Sin embargo, las claves de paso con verificación de usuario pueden cumplir los requisitos de MFA cuando se `FactorConfiguration` configura `MULTI_FACTOR_WITH_USER_VERIFICATION` como en su grupo de usuarios. `WebAuthnConfiguration` Para los flujos basados en contraseñas, la MFA en los grupos de usuarios es un modelo de desafío-respuesta en el que el usuario primero demuestra que conoce la contraseña y, a continuación, demuestra que tiene acceso al dispositivo de segundo factor registrado.

**Recursos de implementación**
+ [Adición de MFA a un grupo de usuarios.](user-pool-settings-mfa.md)

## Tokens de actualización
<a name="amazon-cognito-user-pools-authentication-flow-methods-refresh"></a>

Si quiere mantener a los usuarios conectados sin tener que volver a introducir sus credenciales, los *tokens de actualización* son la herramienta de la que dispone su aplicación para conservar la sesión de un usuario. Las aplicaciones pueden presentar tokens de actualización a su grupo de usuarios e intercambiarlos por nuevos tokens de ID y acceso. Con la actualización de los tokens, puede asegurarse de que un usuario que haya iniciado sesión siga activo, obtener información de atributos actualizada y actualizar los derechos de control de acceso sin la intervención del usuario.

**Recursos de implementación**
+ [Tokens de actualización](amazon-cognito-user-pools-using-the-refresh-token.md)

## Autenticación personalizada
<a name="amazon-cognito-user-pools-authentication-flow-methods-custom"></a>

Es posible que desee configurar un método de autenticación para sus usuarios que no aparezca en esta lista. Puede hacerlo con una *autenticación personalizada* con activadores Lambda. En una secuencia de funciones de Lambda, Amazon Cognito genera un desafío, formula una pregunta que los usuarios deban responder, comprueba la precisión de la respuesta y, a continuación, determina si debe emitirse otro desafío. Las preguntas y respuestas pueden incluir preguntas de seguridad, solicitudes a un servicio de CAPTCHA, solicitudes a una API de servicio de MFA externa o todas ellas en secuencia.

**Recursos de implementación**
+ [Desencadenadores de Lambda de desafío de autenticación personalizado](user-pool-lambda-challenge.md)

### Flujo de autenticación personalizado
<a name="amazon-cognito-user-pools-custom-authentication-flow"></a>

Los grupos de usuarios de Amazon Cognito también permiten usar flujos de autenticación personalizados, que pueden servir de ayuda para crear un modelo de autenticación basado en desafío/respuesta mediante desencadenadores de AWS Lambda .

El flujo de autenticación personalizado hace posible los ciclos de desafíos y respuestas personalizados para satisfacer diferentes requisitos. El flujo comienza con una llamada a la operación de la API `InitiateAuth`, que indica el tipo de autenticación que debe utilizarse y proporciona todos los parámetros de autenticación iniciales. Amazon Cognito responde a la llamada `InitiateAuth` con uno de los siguientes tipos de información: 
+ Un desafío para el usuario junto con una sesión y parámetros.
+ Un error si el usuario no se autentica correctamente.
+ Tokens de ID, acceso y actualización, si los parámetros proporcionados en la llamada `InitiateAuth` son suficientes para que el usuario inicie sesión. (Por lo general, el usuario o la aplicación deben responder primero a un desafío, pero el código personalizado debe determinarlo).

 Si Amazon Cognito responde a la llamada `InitiateAuth` con un desafío, la aplicación reunirá más información y llamará a la operación `RespondToAuthChallenge`, lo que proporciona las respuestas al desafío y vuelve a pasar la sesión. Amazon Cognito responde a la llamada `RespondToAuthChallenge` de forma similar a la llamada `InitiateAuth`. Si el usuario ha iniciado sesión, Amazon Cognito proporciona tokens o si el usuario no ha iniciado sesión, Amazon Cognito proporciona otro desafío o un error. Si devuelve otro desafío, la secuencia se repite y la aplicación llama a `RespondToAuthChallenge` hasta que el usuario inicie sesión correctamente o se devuelva un error. Para obtener más información sobre las operaciones de la API `InitiateAuth` and `RespondToAuthChallenge`, consulte la [documentación de la API](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/Welcome.html). 

### Flujo de autenticación personalizado y desafíos
<a name="Custom-authentication-flow-and-challenges"></a>

Una aplicación puede iniciar un flujo de autenticación personalizado llamando a `InitiateAuth` con `CUSTOM_AUTH` como `Authflow`. En el caso de un flujo de autenticación personalizado, tres desencadenadores de Lambda controlan los desafíos y la verificación de las respuestas.
+ El desencadenador de Lambda `DefineAuthChallenge` toma como entrada una matriz de sesiones de desafíos y respuestas anteriores. Luego genera los siguientes nombres de desafíos y valores booleanos que indican si el usuario está autenticado y se le deben otorgar tokens. Este desencadenador de Lambda es una máquina de estado que controla la ruta que sigue el usuario a través de los desafíos.
+ El desencadenador de Lambda `CreateAuthChallenge` toma el nombre de un desafío como entrada y genera el desafío y los parámetros para evaluar la respuesta. Cuando `DefineAuthChallenge` devuelve `CUSTOM_CHALLENGE` como el siguiente desafío, el flujo de autenticación llama a `CreateAuthChallenge`. El desencadenador de Lambda `CreateAuthChallenge` supera el siguiente tipo de desafío del parámetro de metadatos del desafío.
+ La función de Lambda `VerifyAuthChallengeResponse` evalúa la respuesta y devuelve un valor booleano para indicar si la respuesta ha sido válida.

Un flujo de autenticación personalizado también puede utilizar una combinación de desafíos integrados, como la verificación de contraseñas SRP y MFA mediante SMS. Puede usar desafíos personalizados como CAPTCHA o preguntas secretas.

### Usar la verificación de contraseña de SRP en el flujo de autenticación personalizado
<a name="Using-SRP-password-verification-in-custom-authentication-flow"></a>

Si desea incluir SRP en un flujo de autenticación personalizado, debe comenzar con SRP.
+ Para iniciar la verificación por contraseña de SRP en un flujo personalizado, la aplicación llama a `InitiateAuth` con `CUSTOM_AUTH` como `Authflow`. En la asignación de `AuthParameters`, la solicitud de la aplicación incluye `SRP_A:` (el valor de SRP A) y `CHALLENGE_NAME: SRP_A`.
+ El flujo `CUSTOM_AUTH` invoca el desencadenador de Lambda `DefineAuthChallenge` con una sesión inicial de `challengeName: SRP_A` y `challengeResult: true`. La función de Lambda responder con `challengeName: PASSWORD_VERIFIER`, `issueTokens: false` y `failAuthentication: false`.
+  A continuación, la aplicación debe llamar a `RespondToAuthChallenge` con `challengeName: PASSWORD_VERIFIER` y los demás parámetros necesarios para SRP en el mapa `challengeResponses`. 
+ Si Amazon Cognito verifica la contraseña, `RespondToAuthChallenge` llama al desencadenador de Lambda `DefineAuthChallenge` con una segunda sesión de `challengeName: PASSWORD_VERIFIER` y `challengeResult: true`. En ese momento, el desencadenador de Lambda `DefineAuthChallenge` responde con `challengeName: CUSTOM_CHALLENGE` para iniciar el desafío personalizado.
+ Si MFA está habilitado para un usuario, una vez que Amazon Cognito verifique la contraseña, se le pide al usuario que configure o inicie sesión con MFA.

**nota**  
La página web de inicio de sesión alojada de Amazon Cognito no puede activar [Desencadenadores de Lambda de desafío de autenticación personalizado](user-pool-lambda-challenge.md).

Para obtener más información sobre los desencadenadores de Lambda, incluido el código de muestra, consulte [Personalización de flujos de trabajo de grupos de usuarios con desencadenadores de Lambda](cognito-user-pools-working-with-lambda-triggers.md).

## Flujo de autenticación de migración de usuarios
<a name="amazon-cognito-user-pools-user-migration-authentication-flow"></a>

Un desencadenador de Lambda para la migración de usuarios ayuda a migrar usuarios desde un sistema de administración de usuarios heredado a un grupo de usuarios. Si elige el flujo de autenticación `USER_PASSWORD_AUTH`, no es necesario que los usuarios restablezcan sus contraseñas durante la migración de usuarios. Durante la autenticación, este flujo envía las contraseñas de los usuarios al servicio a través de una conexión SSL cifrada.

Cuando haya migrado todos los usuarios, cambie los flujos al flujo SRP más seguro. El flujo SRP no envía ninguna contraseña a través de la red.

Para obtener más información sobre los desencadenadores de Lambda, consulte [Personalización de flujos de trabajo de grupos de usuarios con desencadenadores de Lambda](cognito-user-pools-working-with-lambda-triggers.md).

Para obtener más información acerca de la migración de usuarios con un desencadenador de Lambda, consulte [Importación de usuarios con un desencadenador de Lambda para la migración de usuarios](cognito-user-pools-import-using-lambda.md).