Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Inscription et confirmation des comptes d’utilisateur
<a name="signing-up-users-in-your-app"></a>

Des comptes d’utilisateur sont ajoutés à votre groupe d’utilisateurs suite aux opérations suivantes :
+ L’utilisateur s’inscrit dans l’application client de votre groupe d’utilisateurs. Il peut s’agir d’une application web ou mobile.
+ Vous pouvez importer le compte d’utilisateur dans votre groupe d’utilisateurs. Pour de plus amples informations, veuillez consulter [Importation d'utilisateurs dans des groupes d'utilisateurs depuis un fichier CSV](cognito-user-pools-using-import-tool.md).
+ Vous pouvez créer un compte d’utilisateur dans votre groupe d’utilisateurs et inviter cet utilisateur à se connecter. Pour de plus amples informations, veuillez consulter [Création de comptes d’utilisateur en tant qu’administrateur](how-to-create-user-accounts.md).

Les utilisateurs qui s’inscrivent eux-mêmes doivent être confirmés afin de pouvoir se connecter. Les utilisateurs importés et créés sont déjà confirmés, mais ils doivent créer leur mot de passe la première fois qu’ils se connectent. Les sections suivantes expliquent la procédure de confirmation, ainsi que le mode de vérification par téléphone et par e-mail.

**Mots de passe lors de l'inscription**  
Amazon Cognito exige un mot de passe de la part de tous les utilisateurs lors de leur inscription, sauf dans les conditions suivantes. Si *toutes* ces conditions sont remplies, vous pouvez omettre les mots de passe lors des opérations d'inscription.

1. La [connexion sans mot de](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passwordless) passe est active dans votre groupe d'utilisateurs et dans votre client d'application.

1. Votre application est conçue sur mesure avec des modules d'authentification dans un AWS SDK. La connexion gérée et l'interface utilisateur hébergée nécessitent toujours des mots de passe.

1. Les utilisateurs fournissent des valeurs d'attribut pour les méthodes de connexion sans mot de passe (mots de passe à usage unique par e-mail ou SMS ()) que vous autorisez. OTPs Par exemple, si vous autorisez la connexion par e-mail et par téléphone OTP, les utilisateurs peuvent fournir un numéro de téléphone ou une adresse e-mail, mais si vous n'autorisez la connexion que par e-mail, ils doivent fournir une adresse e-mail.

1. Votre groupe d'utilisateurs [vérifie automatiquement](#allowing-users-to-sign-up-and-confirm-themselves) les attributs que les utilisateurs peuvent utiliser avec une connexion sans mot de passe.

1. Pour une [SignUp](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SignUp.html)demande donnée, l'utilisateur ne fournit aucune valeur pour le paramètre [Password](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SignUp.html#CognitoUserPools-SignUp-request-Password).

## Présentation de la procédure de confirmation d’un compte d’utilisateur
<a name="signup-confirmation-verification-overview"></a>

Le schéma suivant illustre la procédure de confirmation :

![\[Lorsque les utilisateurs entrent le code de confirmation, ils vérifient automatiquement leur e-mail ou numéro de téléphone.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/amazon-cognito-sign-in-confirm-user.png)


Voici les différents états possibles pour un compte d’utilisateur :

**Inscrit (non confirmé)**  
L’utilisateur a réussi à s’inscrire, mais il ne peut pas se connecter tant que son compte n’a pas été confirmé. L’utilisateur est activé, mais il n’est pas confirmé dans cet état.  
Au départ, les nouveaux utilisateurs qui s’inscrivent eux-mêmes se voient attribuer cet état.

**Confirmé**  
Le compte d’utilisateur est confirmé et l’utilisateur peut se connecter. Lorsqu’un utilisateur saisit un code ou suit un lien de messagerie pour confirmer son compte d’utilisateur, l’adresse e-mail ou le numéro de téléphone sont automatiquement vérifiés. Le code ou lien est valide pendant 24 heures.  
Si le compte d’utilisateur a été confirmé par l’administrateur ou un déclencheur Lambda avant l’inscription, il se peut qu’aucune adresse e-mail ni aucun numéro de téléphone vérifiés ne soient associés au compte.

**Réinitialisation du mot de passe requise**  
Le compte d’utilisateur est confirmé, mais l’utilisateur doit demander un code et réinitialiser son mot de passe afin de pouvoir se connecter.  
Au départ, les comptes d’utilisateur qui sont importés par un administrateur ou un développeur affichent cet état.

**Modification forcée du mot de passe**  
Le compte d’utilisateur est confirmé et l’utilisateur peut se connecter à l’aide d’un mot de passe temporaire. Toutefois, à la première connexion et avant toute autre opération, l’utilisateur doit changer son mot de passe en indiquant une nouvelle valeur.  
Au départ, les comptes d’utilisateur créés par un administrateur ou un développeur affichent cet état.

**Désactivé**  
Avant de pouvoir supprimer un compte d’utilisateur, vous devez désactiver l’accès à la connexion pour cet utilisateur.

**Ressources supplémentaires**
+ [Détection et correction des comptes utilisateurs inactifs avec Amazon Cognito](https://aws.amazon.com/blogs/security/detecting-and-remediating-inactive-user-accounts-with-amazon-cognito/)

## Vérification des coordonnées à l’inscription
<a name="allowing-users-to-sign-up-and-confirm-themselves"></a>

Lorsque de nouveaux utilisateurs s’inscrivent à votre application, il est probable que vous voudrez qu’ils fournissent au moins une méthode de contact. Par exemple, avec les coordonnées de vos utilisateurs, vous pouvez :
+ Envoyer un mot de passe temporaire lorsqu’un utilisateur choisit de réinitialiser son mot de passe.
+ Informer les utilisateurs lorsque leurs informations personnelles ou financières sont mises à jour.
+ Envoyer des messages promotionnels, tels que des offres spéciales ou des remises.
+ Envoyer des récapitulatifs de compte ou de rappels de facturation.

Pour de tels cas d’utilisation, il est important que vous adressiez vos messages à une destination vérifiée. Sinon, vous risquez d’envoyer vos messages à une adresse e-mail ou un numéro de téléphone non valide qui a été saisi de façon incorrecte. Ou pire, vous risquez d’envoyer des informations sensibles à des personnes malveillantes qui se font passer pour vos utilisateurs.

Pour vous assurer d’envoyer les messages uniquement aux bonnes personnes, configurez votre groupe d’utilisateurs Amazon Cognito afin que les utilisateurs fournissent les informations suivantes lors de l’inscription :

1. Adresse e-mail ou numéro de téléphone.

1. Code de vérification envoyé par Amazon Cognito à l’adresse e-mail ou au numéro de téléphone. Si 24 heures se sont écoulées et que le code ou le lien de votre utilisateur n'est plus valide, appelez l'opération [ResendConfirmationCode](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ResendConfirmationCode.html)API pour générer et envoyer un nouveau code ou lien.

En fournissant le code de vérification, un utilisateur prouve qu’il a accès à la boîte aux lettres ou au téléphone qui a reçu le code. Une fois que l’utilisateur a fourni le code, Amazon Cognito met à jour les informations relatives à l’utilisateur dans votre groupe d’utilisateurs en :
+ Définissant le statut de l’utilisateur sur `CONFIRMED`.
+ Mettant à jour les attributs de l’utilisateur pour indiquer que l’adresse e-mail ou le numéro de téléphone est vérifié(e).

Pour afficher ces informations, vous pouvez utiliser la console Amazon Cognito. Vous pouvez également utiliser l'opération `AdminGetUser` API, la `admin-get-user` commande associée au AWS CLI, ou une action correspondante dans l'un des AWS SDKs.

Si un utilisateur dispose d’une méthode de contact vérifiée, Amazon Cognito envoie automatiquement un message à l’utilisateur lorsque l’utilisateur demande la réinitialisation du mot de passe.

### Autres actions permettant de confirmer et de vérifier les attributs de l'utilisateur
<a name="allowing-users-to-sign-up-and-confirm-themselves-other-actions"></a>

L'activité utilisateur suivante permet de vérifier les attributs de l'utilisateur. Vous n'êtes pas obligé de configurer ces attributs pour qu'ils soient automatiquement vérifiés : les actions répertoriées les marquent comme vérifiés dans tous les cas.

**Adresse e-mail**  

1. [Authentification sans mot de passe réussie à l'aide d'](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passwordless)un mot de passe à usage unique (OTP) envoyé par e-mail.

1. Réussite de [l'authentification multifactorielle (MFA](user-pool-settings-mfa.md)) avec un e-mail OTP.

**Numéro de téléphone**  

1. [Authentification sans mot](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passwordless) de passe réussie avec un SMS OTP.

1. Terminez avec succès le [MFA](user-pool-settings-mfa.md) avec un SMS OTP.

### Pour configurer votre groupe d’utilisateurs pour exiger une vérification par téléphone ou par e-mail
<a name="verification-configure"></a>

Pensez à vérifier les adresses e-mail et les numéros de téléphone de vos utilisateurs afin de pouvoir les contacter. Procédez comme suit AWS Management Console pour configurer votre groupe d'utilisateurs afin de demander à vos utilisateurs de confirmer leur adresse e-mail ou leur numéro de téléphone.

**Note**  
Si vous n’avez pas encore de groupe d’utilisateurs dans votre compte, consultez [Démarrage avec les groupes d'utilisateurs](getting-started-user-pools.md).

**Pour configurer votre groupe d’utilisateurs**

1. Allez dans la [console Amazon Cognito](https://console.aws.amazon.com/cognito/home). Si vous y êtes invité, entrez vos AWS informations d'identification.

1. Dans le volet de navigation, choisissez **Groupes d’utilisateurs**. Choisissez un groupe d’utilisateurs existant dans la liste ou [créez-en un](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Choisissez le menu **d'inscription** et recherchez la **vérification des attributs et la confirmation du compte utilisateur**. Choisissez **Modifier**.

1. Sous **Vérification et confirmation assistées par Cognito**, indiquez si vous allez **Autoriser Cognito à envoyer automatiquement des messages pour vérifier et confirmer**. Lorsque ce paramètre est activé, Amazon Cognito envoie des messages aux attributs de contact utilisateur que vous choisissez lorsqu’un utilisateur s’inscrit ou que vous créez un profil utilisateur. Pour vérifier les attributs et confirmer les profils utilisateur pour la connexion, Amazon Cognito envoie un code ou un lien dans des messages aux utilisateurs. Les utilisateurs doivent ensuite saisir le code dans votre interface utilisateur afin que votre application puisse le confirmer dans une demande d’API `ConfirmSignUp` ou `AdminConfirmSignUp`.
**Note**  
Vous pouvez aussi désactiver **Vérification et confirmation assistées par Cognito** et utilisez des actions API authentifiées ou des déclencheurs Lambda pour vérifier les attributs et confirmer les utilisateurs.  
Si vous choisissez cette option, Amazon Cognito n’envoie pas de code de vérification quand l’utilisateur s’inscrit. Choisissez cette option si vous utilisez un flux d’authentification personnalisé qui vérifie au moins une méthode de contact sans utiliser les codes de vérification en provenance d’Amazon Cognito. Par exemple, vous pouvez utiliser un déclencheur Lambda avant inscription qui vérifie automatiquement les adresses électroniques qui appartiennent à un domaine spécifique.  
Si vous ne vérifiez pas les coordonnées de vos utilisateurs, ils risquent de ne pas pouvoir utiliser votre application. N’oubliez pas que les utilisateurs nécessitent des informations de contact vérifiées pour :  
**Réinitialiser leurs mots de passe** – Lorsqu’un utilisateur choisit une option dans votre application qui appelle l’action API `ForgotPassword`, Amazon Cognito envoie un mot de passe temporaire à l’adresse e-mail ou au numéro de téléphone de l’utilisateur. Amazon Cognito envoie ce mot de passe uniquement si l’utilisateur a vérifié au moins une méthode de contact.
**Se connecter en utilisant une adresse e-mail ou un numéro de téléphone comme alias** – Si vous configurez votre groupe d’utilisateurs pour autoriser ces alias, un utilisateur peut se connecter avec un alias uniquement si celui-ci est vérifié. Pour de plus amples informations, veuillez consulter [Personnalisation des attributs de connexion](user-pool-settings-attributes.md#user-pool-settings-aliases).

1. Choisissez votre **Attributs à vérifier** :  
**Envoyer un message SMS, vérifier le numéro de téléphone**  
Amazon Cognito envoie par SMS un code de vérification lorsque l’utilisateur se connecte. Choisissez cette option si vous communiquez généralement avec vos utilisateurs par SMS. Par exemple, vous voudrez utiliser des numéros de téléphone vérifiés si vous envoyez des notifications de livraison, des confirmations de rendez-vous ou des alertes. Les numéros de téléphone des utilisateurs seront l’attribut vérifié lorsque les comptes sont confirmés. Vous devez prendre des mesures supplémentaires pour vérifier et communiquer avec les adresses e-mail des utilisateurs.  
**Envoyer un message électronique, vérifier l’adresse e-mail**  
Amazon Cognito envoie par e-mail un code de vérification lorsque l’utilisateur se connecte. Choisissez cette option si vous communiquez généralement avec vos utilisateurs par e-mail. Par exemple, vous souhaitez utiliser des adresses e-mail vérifiées si vous envoyez des relevés de facturation, des récapitulatifs de commande ou des offres spéciales. Les adresses e-mail des utilisateurs seront l’attribut vérifié lorsque les comptes sont confirmés. Vous devez prendre des mesures supplémentaires pour vérifier et communiquer avec les numéros de téléphone des utilisateurs.  
**Envoyer un message SMS si le numéro de téléphone est disponible, sinon envoyer un message électronique**  
Choisissez cette option si vous n’exigez pas que tous les utilisateurs aient la même méthode de contact vérifié. Dans ce cas, la page d’inscription de votre application peut demander aux utilisateurs de vérifier seulement leur mode de contact préféré. Quand Amazon Cognito envoie un code de vérification, il envoie le code à la méthode de contact fournie dans la demande `SignUp` de votre application. Si un utilisateur fournit une adresse e-mail et un numéro de téléphone, et que votre application fournit les deux méthodes de contact dans la demande `SignUp`, Amazon Cognito envoie un code de vérification uniquement au numéro de téléphone.  
Si vous exigez que les utilisateurs soient vérifiés tant à l’aide de leur adresse e-mail qu’à l’aide de leur numéro de téléphone, choisissez cette option. Amazon Cognito vérifie une méthode de contact lorsque l’utilisateur s’inscrit, et votre application doit vérifier l’autre méthode de contact une fois l’utilisateur connecté. Pour de plus amples informations, veuillez consulter [Si vous exigez que les utilisateurs confirment leurs adresses e-mail et numéros de téléphone](#verification-email-plus-phone).

1. Sélectionnez **Save Changes (Enregistrer les modifications)**.

### Flux d’authentification avec vérification par e-mail ou par téléphone
<a name="verification-flow"></a>

Si votre groupe d’utilisateurs requiert que les utilisateurs vérifient leurs informations de contact, votre application doit faciliter le flux suivant quand un utilisateur se connecte :

1. Un utilisateur s'inscrit dans votre application en saisissant un nom d'utilisateur, un numéro de téléphone, une adresse and/or e-mail et éventuellement d'autres attributs.

1. Le service Amazon Cognito reçoit la demande d’inscription de l’application. Après avoir vérifié que la demande contient tous les attributs nécessaires pour l’inscription, le service termine le processus d’inscription et envoie un code de confirmation à l’utilisateur par téléphone (via SMS) ou par e-mail. Le code est valide pendant 24 heures.

1. Le service indique à l’application que l’inscription est terminée et que le compte d’utilisateur est en attente de confirmation. La réponse précise où le code de confirmation a été envoyé. A ce stade, le compte d’utilisateur a l’état Non confirmé, et l’adresse e-mail de l’utilisateur ainsi que son numéro de téléphone affichent l’état Non vérifié.

1. L’application peut maintenant inviter l’utilisateur à entrer le code de confirmation. Il n’est pas nécessaire que l’utilisateur entre ce code immédiatement. Toutefois, il ne pourra pas se connecter tant qu’il n’aura pas saisi le code de confirmation.

1. L’utilisateur entre le code de confirmation dans l’application.

1. L’application appelle l’API [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmSignUp.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmSignUp.html) pour envoyer le code au service Amazon Cognito qui le vérifie et, si le code est correct, affecte au compte d’utilisateur l’état Confirmed (Confirmé). Une fois le compte d’utilisateur effectivement confirmé, le service Amazon Cognito marque automatiquement l’attribut utilisé pour la confirmation (adresse e-mail ou numéro de téléphone) comme vérifié. Sauf modification de la valeur de cet attribut, l’utilisateur n’aura pas à le vérifier à nouveau.

1. A ce stade, le compte d’utilisateur a l’état Confirmé et l’utilisateur peut se connecter.

### Si vous exigez que les utilisateurs confirment leurs adresses e-mail et numéros de téléphone
<a name="verification-email-plus-phone"></a>

Amazon Cognito ne vérifie qu’une seule méthode de contact lorsqu’un utilisateur se connecte. Dans les cas où Amazon Cognito doit choisir entre une vérification par adresse e-mail et par numéro de téléphone, le service choisit de vérifier le numéro de téléphone en envoyant un code de vérification par SMS. Par exemple, si vous configurez votre groupe d’utilisateurs pour permettre aux utilisateurs de vérifier l’adresse e-mail ou le numéro de téléphone, et si votre application fournit ces deux attributs au moment de la connexion, Amazon Cognito vérifie uniquement le numéro de téléphone. Une fois qu’un utilisateur a vérifié son numéro de téléphone, Amazon Cognito définit le statut de l’utilisateur sur `CONFIRMED` et l’utilisateur est autorisé à se connecter à votre application.

Une fois que l’utilisateur s’est connecté, votre application peut fournir la possibilité de vérifier la méthode de contact qui n’a pas été vérifiée au cours de la connexion. Pour vérifier cette deuxième méthode, votre application appelle l’action d’API `VerifyUserAttribute`. Notez que cette action requiert un paramètre `AccessToken` et qu’Amazon Cognito fournit uniquement les jetons d’accès pour les utilisateurs authentifiés. Par conséquent, vous pouvez vérifier la deuxième méthode de contact uniquement une fois que l’utilisateur s’est connecté.

Si vous avez besoin que vos utilisateurs vérifient leur adresse électronique et leur numéro de téléphone, procédez comme suit :

1. Configurez votre groupe d’utilisateurs afin d’autoriser les utilisateurs à vérifier l’adresse e-mail ou le numéro de téléphone.

1. Dans le flux de connexion de l’application, exigez que les utilisateurs fournissent à la fois une adresse e-mail et un numéro de téléphone. Appelez l’action d’API [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SignUp.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SignUp.html) et fournissez l’adresse e-mail et le numéro de téléphone pour le paramètre `UserAttributes`. À ce stade, Amazon Cognito envoie un code de vérification au téléphone de l’utilisateur.

1. Dans l’interface de votre application, présentez une page de confirmation sur laquelle l’utilisateur entre le code de vérification. Confirmez l’utilisateur en appelant l’action d’API [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmSignUp.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmSignUp.html). À ce stade, le statut de l’utilisateur est `CONFIRMED` et le numéro de téléphone de l’utilisateur est vérifié, mais l’adresse e-mail, elle, ne l’est pas.

1. Affichez la page de connexion et authentifiez l’utilisateur en appelant l’action d’API [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html). Une fois l’utilisateur authentifié, Amazon Cognito renvoie un jeton d’accès à votre application.

1. Appelez l’action d’API [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUserAttributeVerificationCode.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUserAttributeVerificationCode.html). Spécifiez les paramètres suivants dans la demande :
   + `AccessToken` – Jeton d’accès renvoyé par Amazon Cognito lorsque l’utilisateur s’est connecté.
   + `AttributeName` – Spécifiez `"email"` comme valeur d’attribut.

   Amazon Cognito envoie un code de vérification à l’adresse e-mail de l’utilisateur.

1. Affichez une page de confirmation sur laquelle l’utilisateur entre le code de vérification. Lorsque l’utilisateur envoie le code, appelez l’action d’API [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_VerifyUserAttribute.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_VerifyUserAttribute.html). Spécifiez les paramètres suivants dans la demande :
   + `AccessToken` – Jeton d’accès renvoyé par Amazon Cognito lorsque l’utilisateur s’est connecté.
   + `AttributeName` – Spécifiez `"email"` comme valeur d’attribut.
   + `Code` – Code de vérification que l’utilisateur a fourni.

   À ce stade, l’adresse e-mail est vérifiée.

## Autorisation des utilisateurs à s’inscrire dans votre application, mais en les confirmant en tant qu’administrateur du groupe d’utilisateurs
<a name="signing-up-users-in-your-app-and-confirming-them-as-admin"></a>

Vous ne voulez peut-être pas que votre groupe d’utilisateurs envoie automatiquement des messages de vérification dans votre groupe d’utilisateurs, mais vous souhaitez tout de même autoriser tout le monde à s’inscrire à un compte. Ce modèle permet, par exemple, une vérification humaine des nouvelles demandes d’inscription, ainsi que la validation et le traitement par lots des inscriptions. Vous pouvez confirmer les nouveaux comptes utilisateurs dans la console Amazon Cognito ou à l'aide de l'API authentifiée par IAM. [AdminConfirmSignUp](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminConfirmSignUp.html) Vous pouvez confirmer les comptes d’utilisateur en tant qu’administrateur, que votre groupe d’utilisateurs envoie ou non des messages de vérification.

Vous ne pouvez confirmer l’inscription en libre-service d’un utilisateur qu’à l’aide de cette technique. Pour confirmer un utilisateur que vous créez en tant qu'administrateur, créez une demande d'[AdminSetUserPassword](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminSetUserPassword.html)API avec `Permanent` set to`True`.

1. Un utilisateur s'inscrit dans votre application en saisissant un nom d'utilisateur, un numéro de téléphone, une adresse and/or e-mail et éventuellement d'autres attributs.

1. Le service Amazon Cognito reçoit la demande d’inscription de l’application. Après avoir vérifié que la demande contient tous les attributs nécessaires pour l’inscription, le service termine la procédure d’inscription et indique à l’application que l’inscription est faite, en attente de confirmation. A ce stade, le compte d’utilisateur affiche l’état Non confirmé. L’utilisateur ne peut pas se connecter tant que son compte n’a pas été confirmé.

1. Confirmez le compte de l’utilisateur. Vous devez vous connecter AWS Management Console ou signer votre demande d'API avec des AWS informations d'identification pour confirmer le compte. 

   1. **Pour confirmer un utilisateur dans la console Amazon Cognito, accédez au menu **Utilisateurs**, choisissez l'utilisateur que vous souhaitez confirmer, puis dans le menu **Actions**, sélectionnez Confirmer.**

   1. Pour confirmer un utilisateur dans l' AWS API ou la CLI, créez une demande d'[AdminConfirmSignUp](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminConfirmSignUp.html)API ou [admin-confirm-sign-up](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/admin-confirm-sign-up.html)dans le AWS CLI.

1. A ce stade, le compte d’utilisateur a l’état Confirmé et l’utilisateur peut se connecter.

## Calcul des valeurs de hachage secret
<a name="cognito-user-pools-computing-secret-hash"></a>

Attribuez un secret client à votre client d’application confidentiel en guise de bonne pratique. Lorsque vous attribuez un secret client à votre client d’application, vos demandes d’API de groupes d’utilisateurs Amazon Cognito doivent comporter un hachage qui inclut le secret client dans le corps de la demande. Pour valider votre connaissance du secret client pour les opérations d’API figurant dans les listes suivantes, concaténez le secret client avec l’ID de votre client d’application et le nom d’utilisateur de votre utilisateur, puis codez cette chaîne en base64.

Lorsque votre application connecte des utilisateurs à un client doté d’un hachage secret, vous pouvez utiliser la valeur de n’importe quel attribut de connexion au groupe d’utilisateurs comme élément de nom d’utilisateur du hachage secret. Lorsque votre application demande de nouveaux jetons lors d’une opération d’authentification avec `REFRESH_TOKEN_AUTH`, la valeur de l’élément username dépend de vos attributs de connexion. Lorsque votre groupe d’utilisateurs n’a pas d’attribut de connexion `username`, définissez la valeur du nom d’utilisateur de hachage secret de la demande `sub` de l’utilisateur à partir de son jeton d’accès ou d’identification. Lorsque `username` est un attribut de connexion, définissez la valeur du nom d’utilisateur de hachage secret indiquée dans la demande `username`.

Les groupes d'utilisateurs Amazon Cognito suivants APIs acceptent une valeur de hachage client-secret dans un paramètre. `SecretHash`
+ [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmForgotPassword.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmForgotPassword.html)
+ [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmSignUp.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmSignUp.html)
+ [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ForgotPassword.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ForgotPassword.html)
+ [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ResendConfirmationCode.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ResendConfirmationCode.html)
+ [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SignUp.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SignUp.html)

En outre, les éléments suivants APIs acceptent une valeur de hachage client-secret dans un `SECRET_HASH` paramètre, soit dans les paramètres d'authentification, soit dans une réponse à un défi.


| Opération API | Paramètre parent pour SECRET\$1HASH | 
| --- |--- |
| InitiateAuth | AuthParameters | 
| AdminInitiateAuth | AuthParameters | 
| RespondToAuthChallenge | ChallengeResponses | 
| AdminRespondToAuthChallenge | ChallengeResponses | 

La valeur de hachage secret est un code d’authentification de message de hachage (HMAC) à clé codé en Base 64 qui est calculé à partir de la clé secrète du client et du nom d’utilisateur d’un groupe d’utilisateurs et de l’ID client contenu dans le message. L’exemple de pseudo-code suivant montre comment cette valeur est calculée. Dans ce pseudocode, `+` indique la concaténation, `HMAC_SHA256` représente une fonction qui produit une valeur HMAC à l'aide de Hmac et `Base64` représente une fonction qui produit une version codée en SHA256 Base-64 de la sortie de hachage.

```
Base64 ( HMAC_SHA256 ( "Client Secret Key", "Username" + "Client Id" ) )
```

Pour une présentation détaillée du calcul et de l'utilisation du `SecretHash` paramètre, consultez [Comment résoudre les erreurs « Impossible de vérifier le hachage secret pour le client » dans l'API de mon groupe d'utilisateurs Amazon Cognito](https://aws.amazon.com/premiumsupport/knowledge-center/cognito-unable-to-verify-secret-hash/) <client-id>? dans le AWS Knowledge Center.

Vous pouvez utiliser les exemples de code suivants dans votre code d’application côté serveur.

------
#### [ Shell ]

```
echo -n "[username][app client ID]" | openssl dgst -sha256 -hmac [app client secret] -binary | openssl enc -base64
```

------
#### [ Java ]

```
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
 
public static String calculateSecretHash(String userPoolClientId, String userPoolClientSecret, String userName) {
    final String HMAC_SHA256_ALGORITHM = "HmacSHA256";
    
    SecretKeySpec signingKey = new SecretKeySpec(
            userPoolClientSecret.getBytes(StandardCharsets.UTF_8),
            HMAC_SHA256_ALGORITHM);
    try {
        Mac mac = Mac.getInstance(HMAC_SHA256_ALGORITHM);
        mac.init(signingKey);
        mac.update(userName.getBytes(StandardCharsets.UTF_8));
        byte[] rawHmac = mac.doFinal(userPoolClientId.getBytes(StandardCharsets.UTF_8));
        return Base64.getEncoder().encodeToString(rawHmac);
    } catch (Exception e) {
        throw new RuntimeException("Error while calculating ");
    }
}
```

------
#### [ Python ]

```
import sys
import hmac, hashlib, base64 
username = sys.argv[1] 
app_client_id = sys.argv[2] 
key = sys.argv[3] 
message = bytes(sys.argv[1]+sys.argv[2],'utf-8') 
key = bytes(sys.argv[3],'utf-8') 
secret_hash = base64.b64encode(hmac.new(key, message, digestmod=hashlib.sha256).digest()).decode() 
print("SECRET HASH:",secret_hash)
```

------

## Confirmation des comptes d’utilisateur sans vérification de l’e-mail ou du numéro de téléphone
<a name="confirming-user-without-verification-of-email-or-phone-number"></a>

Le déclencheur Lambda avant l’inscription peut servir à valider automatiquement les comptes d’utilisateur au moment de l’inscription, sans exiger de code de confirmation ni vérifier l’adresse e-mail ou le numéro de téléphone. Les utilisateurs qui sont confirmés de cette façon peuvent immédiatement se connecter, sans avoir besoin d’un code.

Vous pouvez également marquer un e-mail ou le numéro de téléphone de l’utilisateur comme étant vérifié grâce à ce déclencheur. 

**Note**  
Bien que cette méthode soit pratique pour les utilisateurs qui débutent, nous recommandons de vérifier au moins l’e-mail ou le numéro de téléphone. Dans le cas contraire, l’utilisateur peut se trouver dans l’incapacité de récupérer son mot de passe en cas d’oubli.

Si vous n’exigez pas que l’utilisateur reçoive et saisisse un code de confirmation au moment de l’inscription et que vous ne vérifiez pas automatiquement l’adresse e-mail ni le numéro de téléphone dans le déclencheur Lambda avant l’inscription, vous risquez de ne pas avoir de numéro de téléphone ni d’adresse e-mail vérifiés pour ce compte d’utilisateur. L’utilisateur peut vérifier son numéro de téléphone ou son adresse e-mail ultérieurement. Toutefois, si l’utilisateur oublie son mot de passe et n’a pas de numéro de téléphone ni d’adresse e-mail vérifiés, il n’a plus aucun moyen d’accéder à son compte, puisque le flux d’oubli du mot de passe exige une adresse e-mail ou un numéro de téléphone vérifié pour envoyer un code de vérification à l’utilisateur.

## Vérification en cas de modification de l’adresse e-mail ou du numéro de téléphone par l’utilisateur
<a name="verifying-when-users-change-their-email-or-phone-number"></a>

Dans les groupes d'utilisateurs que vous configurez avec plusieurs noms de connexion, les utilisateurs peuvent saisir un numéro de téléphone ou une adresse e-mail comme nom d'utilisateur lors de la connexion. Lorsqu'ils mettent à jour leur adresse e-mail ou leur numéro de téléphone dans votre application, Amazon Cognito peut immédiatement leur envoyer un message contenant un code attestant qu'ils sont propriétaires de la nouvelle valeur d'attribut. Pour activer l'envoi automatique de ces codes de vérification, consultez[Configuration de la vérification par e-mail ou par téléphone](user-pool-settings-email-phone-verification.md).

Les utilisateurs qui reçoivent un code de vérification doivent le renvoyer à Amazon Cognito dans le cadre d'une [VerifyUserAttribute](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_VerifyUserAttribute.html)demande. Une fois qu'ils ont fourni le code, leur attribut est marqué comme vérifié. Généralement, lorsque les utilisateurs mettent à jour leur adresse e-mail ou leur numéro de téléphone, vous devez vérifier qu'ils possèdent bien la nouvelle valeur avant de pouvoir l'utiliser pour se connecter et recevoir des messages. Les groupes d'utilisateurs disposent d'une option configurable qui détermine si les utilisateurs doivent vérifier les mises à jour de leur adresse e-mail ou de leur numéro de téléphone.

Cette option est la propriété du groupe d'utilisateurs`AttributesRequireVerificationBeforeUpdate`. Configurez-le dans une [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html#CognitoUserPools-UpdateUserPool-request-UserAttributeUpdateSettings)demande [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#CognitoUserPools-CreateUserPool-request-UserAttributeUpdateSettings)ou avec le paramètre **Conserver la valeur d'attribut d'origine active lorsqu'une mise à jour est en attente** dans le menu d'**inscription** de la console Amazon Cognito.

La façon dont votre groupe d'utilisateurs traite les mises à jour des adresses e-mail et des numéros de téléphone est liée à la configuration du nom d'utilisateur de votre groupe d'utilisateurs. Les noms d'utilisateur du groupe d'utilisateurs peuvent se trouver dans une configuration *d'attributs de nom d'utilisateur* dans laquelle les noms de connexion sont l'adresse e-mail, le numéro de téléphone ou les deux. Ils peuvent également se trouver dans une configuration d'*attributs d'alias* dans laquelle l'`username`attribut est un nom de connexion accompagné d'une adresse e-mail, d'un numéro de téléphone ou d'un nom d'utilisateur préféré comme noms de connexion alternatifs. Pour de plus amples informations, veuillez consulter [Personnalisation des attributs de connexion](user-pool-settings-attributes.md#user-pool-settings-aliases).

 Vous pouvez également utiliser un déclencheur Lambda de message personnalisé pour personnaliser le message de vérification. Pour de plus amples informations, veuillez consulter [Déclencheur Lambda message personnalisé](user-pool-lambda-custom-message.md). Lorsque l'adresse e-mail ou le numéro de téléphone d'un utilisateur ne sont pas vérifiés, votre application doit informer l'utilisateur qu'il doit vérifier l'attribut et fournir un bouton ou un lien permettant aux utilisateurs de saisir leur code de vérification.

Le tableau suivant décrit comment `AttributesRequireVerificationBeforeUpdate` et les paramètres d'alias déterminent le résultat lorsque les utilisateurs modifient la valeur de leurs attributs de connexion.


| Configuration du nom d'utilisateur | Comportement lorsque les utilisateurs doivent vérifier de nouveaux attributs | Comportement lorsque les utilisateurs ne sont pas tenus de vérifier les nouveaux attributs | 
| --- | --- | --- | 
| Attributs de nom d'utilisateur | L'attribut d'origine reste vérifié, éligible à la connexion et à sa valeur d'origine. Lorsque l'utilisateur vérifie une nouvelle valeur, Amazon Cognito met à jour la valeur de l'attribut, la marque comme vérifiée et la rend éligible à la connexion. | Amazon Cognito met à jour l'attribut avec une nouvelle valeur. La nouvelle valeur est éligible à la connexion. Lorsque l'utilisateur vérifie une nouvelle valeur, Amazon Cognito la marque comme vérifiée. | 
| Attributs d'alias | L'attribut d'origine reste vérifié, éligible à la connexion et à sa valeur d'origine. Lorsque l'utilisateur vérifie une nouvelle valeur, Amazon Cognito met à jour la valeur de l'attribut, la marque comme vérifiée et la rend éligible à la connexion. | Amazon Cognito met à jour l'attribut avec une nouvelle valeur. Ni la valeur d'attribut d'origine ni la nouvelle valeur d'attribut ne sont éligibles à la connexion. Lorsque l'utilisateur vérifie une nouvelle valeur, Amazon Cognito met à jour la valeur de l'attribut, la marque comme vérifiée et la rend éligible à la connexion. | 

**Exemple 1**  
L'utilisateur 1 se connecte à votre application avec l'adresse e-mail `user1@example.com` et possède le nom d'utilisateur `user1` (attributs d'alias). Votre groupe d'utilisateurs est configuré pour vérifier les mises à jour des attributs de connexion et pour envoyer automatiquement des messages de vérification. Ils demandent à mettre à jour leur adresse e-mail en`user1+foo@example.com`. Ils reçoivent un e-mail de vérification à l'adresse `user1+foo@example.com` et *peuvent se reconnecter* uniquement avec l'adresse e-mail`user1@example.com`. Plus tard, ils saisissent leur code de vérification et peuvent se reconnecter uniquement avec leur adresse e-mail`user1+foo@example.com`.

**Exemple 2**  
L'utilisateur 2 se connecte à votre application à l'aide de son adresse e-mail `user2@example.com` et possède un nom d'utilisateur (attributs d'alias). Votre groupe d'utilisateurs est configuré pour *ne pas* vérifier les mises à jour des attributs de connexion et pour envoyer automatiquement des messages de vérification. Ils demandent à mettre à jour leur adresse e-mail en`user2+bar@example.com`. Ils reçoivent un e-mail de vérification à l'adresse `user2+bar@example.com` et *ne peuvent pas se reconnecter*. Plus tard, ils saisissent leur code de vérification et peuvent se reconnecter uniquement avec leur adresse e-mail`user2+bar@example.com`.

**Exemple 3**  
L'utilisateur 3 se connecte à votre application avec son adresse e-mail `user3@example.com` et n'a pas de nom d'utilisateur (attributs du nom d'utilisateur). Votre groupe d'utilisateurs est configuré pour *ne pas* vérifier les mises à jour des attributs de connexion et pour envoyer automatiquement des messages de vérification. Ils demandent à mettre à jour leur adresse e-mail en`user3+baz@example.com`. Ils reçoivent un e-mail de vérification à l'adresse`user3+baz@example.com`, mais ils *peuvent se connecter immédiatement* sans qu'aucune action supplémentaire ne soit effectuée avec le code de vérification.

## Procédures de confirmation et de vérification pour les comptes d’utilisateur créés par des administrateurs ou des développeurs
<a name="confirmation-and-verification-of-users-whose-accounts-youve-created"></a>

Les comptes d’utilisateur créés par un administrateur ou un développeur affichent déjà l’état Confirmé, et les utilisateurs n’ont pas à saisir de code de confirmation. Le message d’invitation que le service Amazon Cognito envoie à ces utilisateurs inclut leur nom d’utilisateur et un mot de passe temporaire. L’utilisateur doit modifier le mot de passe avant de se connecter. Pour plus d’informations, consultez la section [Personnalisation des e-mails et SMS](how-to-create-user-accounts.md#creating-a-new-user-customize-messages) dans [Création de comptes d’utilisateur en tant qu’administrateur](how-to-create-user-accounts.md) et celle relative au déclencheur de message personnalisé dans [Personnalisation des flux de travail de groupe d'utilisateurs avec des déclencheurs Lambda](cognito-user-pools-working-with-lambda-triggers.md).

## Procédures de vérification et de confirmation pour les comptes d’utilisateur importés
<a name="confirmation-and-verification-of-users-whose-accounts-youve-imported"></a>

Les comptes utilisateur créés à l'aide de la fonctionnalité d'importation d'utilisateurs de la AWS Management Console CLI ou de l'API (voir[Importation d'utilisateurs dans des groupes d'utilisateurs depuis un fichier CSV](cognito-user-pools-using-import-tool.md)) sont déjà confirmés. Les utilisateurs ne sont donc pas tenus de saisir un code de confirmation. Aucun message d’invitation n’est envoyé. Cependant, les comptes d’utilisateur importés nécessitent que les utilisateurs demandent d’abord un code en appelant l’API `ForgotPassword`, puis en créant un mot de passe avec le code reçu après l’appel de l’API `ConfirmForgotPassword` avant de se connecter. Pour de plus amples informations, veuillez consulter [Obligation pour les utilisateurs importés de réinitialiser leur mot de passe](cognito-user-pools-using-import-tool.md#cognito-user-pools-using-import-tool-password-reset).

L’e-mail de l’utilisateur ou son numéro de téléphone est marqué comme vérifié lorsque le compte d’utilisateur est importé ; aucune vérification n’est donc requise lorsque l’utilisateur se connecte.

## Envoi d’e-mails pendant le test de votre application
<a name="managing-users-accounts-email-testing"></a>

Amazon Cognito envoie un e-mail à vos utilisateurs lorsqu’ils créent et gèrent leurs comptes dans l’application cliente de votre groupe d’utilisateurs. Si vous configurez votre groupe d’utilisateurs afin d’exiger la vérification des e-mails, Amazon Cognito envoie un e-mail dans les cas suivants :
+ Un utilisateur se connecte.
+ Un utilisateur met à jour son adresse e-mail.
+ Un utilisateur exécute une action qui appelle l’action d’API `ForgotPassword`.
+ Vous créez un compte d’utilisateur en tant qu’administrateur.

En fonction de l’action qui déclenche l’e-mail, celui-ci contient un code de vérification ou un mot de passe temporaire. Vos utilisateurs doivent recevoir ces e-mails et comprendre le message. Sinon, ils peuvent ne pas être en mesure de se connecter et d’utiliser votre application.

Pour garantir que les e-mails sont envoyés avec succès et que le message paraît correct, testez les actions de votre application qui initient les remises d’e-mail à partir d’Amazon Cognito. Par exemple, en utilisant la page de connexion de votre application, ou en utilisant l’action d’API `SignUp`, vous pouvez lancer un e-mail en vous connectant avec une adresse e-mail de test. Lorsque vous testez ainsi, n’oubliez pas les points suivants :

**Important**  
Lorsque vous utilisez une adresse e-mail pour tester les actions qui initient des e-mails à partir d’Amazon Cognito, n’utilisez pas d’adresse e-mail fictive (une adresse sans boîte aux lettres). Utilisez une adresse e-mail réelle qui recevra l’e-mail à partir d’Amazon Cognito sans déclencher de *retour à l’expéditeur*.  
Un message d’erreur définitif se produit quand Amazon Cognito ne parvient pas à remettre l’e-mail à la boîte aux lettres du destinataire, ce qui se produit toujours si la boîte aux lettres n’existe pas.  
Amazon Cognito limite le nombre d'e-mails pouvant être envoyés par des AWS comptes régulièrement soumis à des hard bounces.

Lorsque vous testez des actions qui initient des e-mails, utilisez l’une des adresses suivantes pour empêcher les retours à l’expéditeur définitifs :
+ Une adresse pour un compte de messagerie que vous possédez et utilisez à des fins de test. Lorsque vous utilisez votre propre adresse e-mail, vous recevez l’e-mail envoyé par Amazon Cognito. Avec cet e-mail, vous pouvez utiliser le code de vérification pour tester la connexion de votre application. Si vous avez personnalisé le message électronique pour votre groupe d’utilisateurs, vous pouvez vérifier que vos personnalisation est correcte.
+ Adresse du simulateur de boîte aux lettres, *success@simulator.amazonses.com*. Si vous utilisez l’adresse du simulateur, Amazon Cognito envoie l’e-mail avec succès, mais vous n’êtes pas en mesure de l’afficher. Cette option est utile lorsque vous n’avez pas besoin d’utiliser le code de vérification ni de vérifier le message électronique.
+ Adresse du simulateur de boîte aux lettres avec ajout d’une étiquette arbitraire, comme *success\$1user1@simulator.amazonses.com* ou *success\$1user2@simulator.amazonses.com*. Amazon Cognito envoie des e-mails à ces adresses avec succès, mais vous n’êtes pas en mesure de les afficher. Cette option est utile lorsque vous souhaitez tester la procédure de connexion en ajoutant plusieurs utilisateurs de test à votre groupe d’utilisateurs et que chaque utilisateur de test possède une adresse e-mail unique.

# Configuration de la vérification par e-mail ou par téléphone
<a name="user-pool-settings-email-phone-verification"></a>

Vous pouvez choisir les paramètres de vérification par e-mail ou par téléphone dans le menu **Méthodes d'authentification**. Pour plus d'informations sur l'authentification multifacteur (MFA), consultez [MFA par SMS](user-pool-settings-mfa-sms-email-message.md).

Amazon Cognito utilise Amazon SNS pour envoyer des SMS. Si vous n'avez jamais envoyé de SMS depuis Amazon Cognito ou un autre Service AWS service, Amazon SNS peut placer votre compte dans le sandbox SMS. Nous vous recommandons d'envoyer un message de test à un numéro de téléphone vérifié avant de migrer votre compte de l'environnement de test (sandbox) en production. En outre, si vous prévoyez d'envoyer des SMS à des numéros de téléphone de destination aux États-Unis, vous devez obtenir un identifiant d'origine ou d'expéditeur à partir d'Amazon Pinpoint. Pour configurer votre groupe d'utilisateurs Amazon Cognito pour les SMS, consultez [Paramètres des SMS pour les groupes d'utilisateurs Amazon Cognito](user-pool-sms-settings.md).

Amazon Cognito peut vérifier automatiquement les adresses e-mail et les numéros de téléphone. Pour effectuer cette vérification, Amazon Cognito envoie un code de vérification ou un lien de vérification. Pour les adresses e-mail, Amazon Cognito peut envoyer un code ou un lien dans un e-mail. Vous pouvez choisir un **type de **code** ou de **lien** de vérification** lorsque vous modifiez votre modèle de **message de vérification** dans le menu **Modèles de messages** de la console Amazon Cognito. Pour de plus amples informations, veuillez consulter [Personnalisation des messages de vérification d'adresse e-mail](cognito-user-pool-settings-message-customizations.md#cognito-user-pool-settings-email-verification-message-customization).

Pour les numéros de téléphone, Amazon Cognito envoie un code par SMS.

Amazon Cognito doit vérifier un numéro de téléphone ou une adresse e-mail afin de confirmer les utilisateurs et les aider à récupérer les mots de passe oubliés. Vous pouvez également confirmer automatiquement les utilisateurs à l'aide du déclencheur Lambda préalable à l'inscription ou utiliser [AdminConfirmSignUp](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminConfirmSignUp.html)l'opération API. Pour de plus amples informations, veuillez consulter [Inscription et confirmation des comptes d’utilisateur](signing-up-users-in-your-app.md).

Le code ou lien de vérification est valide pendant 24 heures.

Si vous décidez d'exiger une vérification pour une adresse e-mail ou un numéro de téléphone, Amazon Cognito envoie automatiquement le code ou le lien de vérification quand un utilisateur s'inscrit. Si le groupe d'utilisateurs dispose d'un [Déclencheur Lambda de l'expéditeur de SMS personnalisé](user-pool-lambda-custom-sms-sender.md) ou [Déclencheur Lambda expéditeur d'e-mail personnalisé](user-pool-lambda-custom-email-sender.md) configuré, cette fonction est appelée à la place.

**Remarques**  
Amazon SNS facture séparément les SMS utilisés pour la vérification des numéros de téléphone. Aucun frais ne s'applique à l'envoi d'e-mails. Pour plus d'informations sur la tarification Amazon SNS, consultez [Tarification SMS internationaux](https://aws.amazon.com/sns/sms-pricing/). Pour obtenir la liste des pays où la messagerie SMS est disponible, consultez la page [Régions et pays pris en charge](https://docs.aws.amazon.com/sns/latest/dg/sms_supported-countries.html). 
Lorsque vous testez des actions dans votre application qui génèrent des e-mails à partir d'Amazon Cognito, utilisez une adresse e-mail réelle joignable par Amazon Cognito sans messages d'erreur définitifs. Pour de plus amples informations, veuillez consulter [Envoi d’e-mails pendant le test de votre application](signing-up-users-in-your-app.md#managing-users-accounts-email-testing).
Le flux de mot de passe oublié requiert l'adresse e-mail ou le numéro de téléphone de l'utilisateur pour vérifier l'utilisateur.

**Important**  
Si un utilisateur s'inscrit en indiquant à la fois un numéro de téléphone et une adresse e-mail, et que les paramètres du groupe d'utilisateurs nécessitent la vérification des deux attributs, Amazon Cognito envoie un code de vérification par SMS au numéro de téléphone. Amazon Cognito n'a pas encore vérifié l'adresse e-mail. Votre application doit donc appeler [GetUser](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUser.html)pour savoir si une adresse e-mail attend d'être vérifiée. Si une vérification est nécessaire, l'application doit appeler [GetUserAttributeVerificationCode](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUserAttributeVerificationCode.html)pour lancer le flux de vérification par e-mail. Il doit ensuite soumettre le code de vérification en appelant [VerifyUserAttribute](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_VerifyUserAttribute.html).

Vous pouvez ajuster votre quota de dépenses par SMS pour un Compte AWS et pour des messages individuels. Les limites s'appliquent uniquement au coût d'envoi de messages SMS. Pour plus d'informations, voir **Quels sont les quotas de dépenses au niveau du compte et au niveau des messages et comment fonctionnent-ils ?** sur [Amazon SNS FAQs](https://aws.amazon.com/sns/faqs/).

Amazon Cognito envoie des SMS à l'aide des ressources Amazon SNS dans la région où vous avez créé Région AWS le groupe d'utilisateurs ou dans une ancienne région **Amazon SNS, comme indiqué dans le tableau suivant.** L'exception se rapporte aux groupes d'utilisateurs Amazon Cognito dans la région Asie-Pacifique (Séoul). Ces groupes d'utilisateurs utilisent votre configuration Amazon SNS dans la région Asie-Pacifique (Tokyo). Pour de plus amples informations, veuillez consulter [Choisissez le Région AWS pour les messages SMS](user-pool-sms-settings.md#sms-choose-a-region).


| Région Amazon Cognito | Autre région Amazon SNS héritée | 
| --- | --- | 
| USA Est (Ohio) | USA Est (Virginie du Nord) | 
| Asie-Pacifique (Mumbai) | Asie-Pacifique (Singapour) | 
| Asie-Pacifique (Séoul) | Asie-Pacifique (Tokyo) | 
| Canada (Centre) | USA Est (Virginie du Nord) | 
| Europe (Francfort) | Europe (Irlande) | 
| Europe (Londres) | Europe (Irlande) | 

**Exemple :** Si votre groupe d'utilisateurs Amazon Cognito se trouve en Asie-Pacifique (Mumbai) et que vous avez augmenté votre limite de dépenses dans ap-southeast-1, vous ne voudrez peut-être pas demander une augmentation distincte dans ap-south-1. Au lieu de cela, vous pouvez utiliser vos ressources Amazon SNS en Asie-Pacifique (Singapour). 

## Vérification des mises à jour des adresses e-mail et des numéros de téléphone
<a name="user-pool-settings-verifications-verify-attribute-updates"></a>

Un attribut d'adresse e-mail ou de numéro de téléphone peut devenir actif et non vérifié immédiatement après modification de sa valeur par l'utilisateur. Amazon Cognito peut également exiger que votre utilisateur vérifie la nouvelle valeur avant qu'Amazon Cognito mette à jour l'attribut. Quand vous exigez que vos utilisateurs vérifient d'abord la nouvelle valeur, ils peuvent utiliser la valeur d'origine pour se connecter et recevoir des messages jusqu'à ce qu'ils vérifient la nouvelle valeur.

Quand vos utilisateurs peuvent utiliser leur adresse e-mail ou leur numéro de téléphone comme alias de connexion dans votre groupe d'utilisateurs, leur nom de connexion pour un attribut mis à jour dépend des exigences de vérification éventuellement définies pour les attributs mis à jour. Quand vous exigez que les utilisateurs vérifient un attribut mis à jour, un utilisateur peut se connecter avec la valeur d'attribut d'origine jusqu'à ce qu'il vérifie la nouvelle valeur. Quand vous n'exigez pas que les utilisateurs vérifient un attribut mis à jour, un utilisateur ne peut pas se connecter ni recevoir de messages à la nouvelle valeur d'attribut ou à la valeur d'origine tant qu'il n'a pas vérifié la nouvelle valeur. 

Par exemple, votre groupe d'utilisateurs autorise la connexion avec un alias d'adresse e-mail et exige que les utilisateurs vérifient leur adresse e-mail lors de la mise à jour. Sue, qui se connecte avec `sue@example.com`, souhaite remplacer son adresse e-mail par `sue2@example.com`, mais saisit accidentellement `ssue2@example.com`. Sue ne reçoit pas l'e-mail de vérification et ne peut donc pas vérifier `ssue2@example.com`. Sue se connecte avec `sue@example.com` et soumet à nouveau le formulaire dans votre application pour mettre à jour son adresse e-mail en spécifiant `sue2@example.com`. Elle reçoit cet e-mail, fournit le code de vérification à votre application et commence à se connecter avec `sue2@example.com`. 

**Quand un utilisateur met à jour un attribut et que votre groupe d'utilisateurs vérifie les nouvelles valeurs d'attribut**
+ Ils peuvent se connecter avec la valeur d'attribut d'origine avant d'avoir confirmé le code pour vérifier la nouvelle valeur.
+ Ils peuvent se connecter uniquement avec la nouvelle valeur d'attribut après avoir confirmé le code pour vérifier cette nouvelle valeur.
+ Si vous avez défini `email_verified` ou `phone_number_verified` envoyé `true` une demande d'[AdminUpdateUserAttributes](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUpdateUserAttributes.html)API, ils peuvent se connecter avant d'avoir confirmé le code qu'Amazon Cognito leur a envoyé.

**Quand un utilisateur met à jour un attribut et que votre groupe d'utilisateurs ne vérifie pas les nouvelles valeurs d'attribut**
+ Ils ne peuvent pas se connecter, ni recevoir de messages, avec la valeur d'attribut d'origine.
+ Ils ne peuvent pas se connecter, ni recevoir de messages autres qu'un code de confirmation, avec la nouvelle valeur d'attribut avant d'avoir confirmé le code pour vérifier cette nouvelle valeur.
+ Si vous avez défini `email_verified` ou `phone_number_verified` envoyé `true` une demande d'[AdminUpdateUserAttributes](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUpdateUserAttributes.html)API, ils peuvent se connecter avant d'avoir confirmé le code qu'Amazon Cognito leur a envoyé.

## Pour exiger une vérification des attributs lorsque les utilisateurs mettent à jour leur adresse e-mail ou leur numéro de téléphone


1. Connectez-vous à la [console Amazon Cognito](https://console.aws.amazon.com/cognito/home). Si vous y êtes invité, entrez vos AWS informations d'identification.

1. Dans le volet de navigation, choisissez **Groupes d’utilisateurs**, puis choisissez le groupe d’utilisateurs que vous souhaitez modifier.

1. Dans le menu **d'inscription**, choisissez **Modifier** sous **Vérification des attributs et confirmation du compte utilisateur**.

1. Choisissez **Keep original attribute value active when an update is pending** (Conserver la valeur d'attribut d'origine active lorsqu'une mise à jour est en attente).

1. Sous **Active attribute values when an update is pending** (Valeurs d'attribut actives lorsqu'une mise à jour est en attente), choisissez les attributs que vos utilisateurs devront vérifier avant qu'Amazon Cognito mette à jour la valeur.

1. Sélectionnez **Enregistrer les modifications**.

Pour demander la vérification de la mise à jour des attributs avec l'API Amazon Cognito, vous pouvez définir le `AttributesRequireVerificationBeforeUpdate` paramètre dans une [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)demande.

## Autoriser Amazon Cognito à envoyer des SMS en votre nom.
<a name="user-pool-settings-verifications-iam-role-for-sms"></a>

Pour envoyer des SMS à vos utilisateurs en votre nom, Amazon Cognito a besoin de votre autorisation. Pour accorder cette autorisation, vous pouvez créer un rôle Gestion des identités et des accès AWS (IAM). Dans le menu **Méthodes d'authentification** de la console Amazon Cognito, sous SMS, choisissez **Modifier** pour définir un rôle.

# Configuration des messages MFA, d'authentification, de vérification et d'invitation
<a name="cognito-user-pool-settings-message-customizations"></a>

Avec Amazon Cognito, vous pouvez personnaliser l'authentification par SMS et par e-mail, la vérification et les messages d'invitation des utilisateurs afin d'améliorer la sécurité et l'expérience utilisateur de votre application. Vous pouvez choisir entre une vérification des liens basée sur le code ou une vérification des liens en un clic pour certains messages. Cette rubrique explique comment personnaliser les communications d'authentification et de vérification dans la console Amazon Cognito. 

Dans le menu **Modèles de messages**, vous pouvez personnaliser :
+ Vos modèles d'e-mails et de SMS pour l'authentification par mot de passe à usage unique (OTP) et multifactorielle (MFA)
+ Vos messages de vérification par SMS et e-mail
+ Le type de vérification pour l'e-mail : code ou lien
**Note**  
Amazon Cognito envoie des liens avec votre modèle basé sur des liens dans les messages de vérification lorsque les utilisateurs s'inscrivent ou renvoient un code de confirmation. Les e-mails issus des opérations de mise à jour des attributs et de réinitialisation du mot de passe utilisent le modèle de code.
+ Vos messages d'invitation d'utilisateur
+ Adresses DE et de RÉPONDRE À pour les e-mails transitant par votre groupe d'utilisateurs

**Note**  
Les modèles de message de vérification par SMS et e-mail n'apparaissent que si vous avez choisi d'exiger la vérification du numéro de téléphone et de l'e-mail. De la même façon, le modèle de message MFA SMS s'affiche uniquement si le paramètre MFA est **obligatoire** ou **facultatif**.

**Topics**
+ [Modèles de messages](#cognito-user-pool-settings-message-templates)
+ [Personnalisation des e-mails et des SMS MFA](#cognito-user-pool-settings-SMS-message-customization)
+ [Personnalisation des messages de vérification d'adresse e-mail](#cognito-user-pool-settings-email-verification-message-customization)
+ [Personnalisation des messages d'invitation des utilisateurs](#cognito-user-pool-settings-user-invitation-message-customization)
+ [Personnalisation de votre adresse e-mail](#cognito-user-pool-settings-email-address-customization)
+ [Autoriser Amazon Cognito à envoyer des e-mails Amazon SES en votre nom (à partir d'une adresse DE personnalisée)](#cognito-user-pool-settings-ses-authorization-to-send-email)

## Modèles de messages
<a name="cognito-user-pool-settings-message-templates"></a>

Vous pouvez utiliser des modèles de message pour insérer des espaces réservés dans vos messages. Amazon Cognito remplace les espaces réservés par les valeurs correspondantes. Vous pouvez faire référence *aux espaces réservés aux modèles universels dans les* modèles de messages de tout type, bien que ces valeurs ne soient pas présentes dans tous les types de messages.


**Espaces réservés aux modèles universels**  

|  Description  |  Jeton  | Type de message | 
| --- | --- | --- | 
| Code de vérification | \$1\$1\$1\$1\$1\$1 | Messages de vérification, de confirmation et MFA | 
| Mot de passe temporaire | \$1\$1\$1\$1\$1\$1 | Mot de passe oublié et messages d'invitation | 
| Nom utilisateur | \$1username\$1 | Invitation et messages de sécurité avancés | 

L'une des réponses automatisées disponibles en matière de [protection contre les menaces](cognito-user-pool-settings-threat-protection.md) consiste à informer l'utilisateur qu'Amazon Cognito a détecté une activité potentiellement malveillante. Vous pouvez utiliser des espaces réservés de modèle avec sécurité avancée pour effectuer les opérations suivantes :
+ Inclure des détails spécifiques sur un événement, comme l'adresse IP, la ville, le pays, l'heure de connexion et le nom de l'appareil. La protection contre les menaces Amazon Cognito peut analyser ces informations.
+ Vérifier si un lien en 1 clic est valide.
+ Utiliser un ID d'événement, un jeton de commentaire et un nom d'utilisateur pour créer votre propre lien en 1 clic.

**Note**  
Pour générer des liens en un clic et utiliser les espaces réservés `{one-click-link-valid}` et `{one-click-link-invalid}` dans les modèles d'e-mails avec sécurité avancée, vous devez déjà disposer d'un domaine configuré pour votre groupe d'utilisateurs.

La protection contre les menaces ajoute les espaces réservés suivants que vous pouvez insérer dans les modèles de message. Ces espaces réservés s'appliquent aux **messages d'authentification adaptative**, c'est-à-dire aux notifications qu'Amazon Cognito envoie aux utilisateurs dont les sessions ont été évaluées en fonction du niveau de risque. Pour configurer des modèles de messages avec ces variables, mettez à jour la configuration **complète** de votre protection contre les menaces dans la console Amazon Cognito ou soumettez des modèles dans [SetRiskConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetRiskConfiguration.html)une demande.


**Espaces réservés de modèle avec sécurité avancée**  

|  Description  |  Jeton  | 
| --- | --- | 
| Adresse IP | \$1ip-address\$1 | 
| City | \$1city\$1 | 
| Country | \$1country\$1 | 
| Heure de connexion | \$1login-time\$1 | 
| Nom d’appareil | \$1device-name\$1 | 
| Le lien en un clic est valide | \$1one-click-link-valid\$1 | 
| Le lien en un clic est non valide | \$1one-click-link-invalid\$1 | 
| ID de l’événement | \$1event-id\$1 | 
| Jeton de commentaire | \$1feedback-token\$1 | 

## Personnalisation des e-mails et des SMS MFA
<a name="cognito-user-pool-settings-SMS-message-customization"></a>

Pour personnaliser les SMS et les e-mails pour l'[authentification multifactorielle (MFA](user-pool-settings-mfa.md)), modifiez le message **MFA** dans le menu Modèles de messages de **la console des groupes** d'utilisateurs Amazon Cognito.

**Important**  
Votre message personnalisé doit contenir l'espace réservé `{####}`. Cet espace réservé est remplacé par le code d'authentification avant l'envoi.

Amazon Cognito définit une longueur maximale de 140 caractères UTF-8 pour les SMS, y compris le code d'authentification.

### Personnalisation des messages de vérification par SMS
<a name="cognito-user-pool-settings-SMS-verification-message-customization"></a>

Pour personnaliser le message SMS pour la vérification du numéro de téléphone, modifiez le modèle de **message de vérification** dans le menu **Modèles de messages** de votre groupe d'utilisateurs.

**Important**  
Votre message personnalisé doit contenir l'espace réservé `{####}`. Cet espace réservé est remplacé par le code de vérification avant l'envoi.

La longueur maximale du message est de 140 caractères UTF-8, en comptant le code de vérification.

## Personnalisation des messages de vérification d'adresse e-mail
<a name="cognito-user-pool-settings-email-verification-message-customization"></a>

Pour vérifier l'adresse e-mail d'un utilisateur de votre groupe d'utilisateurs avec Amazon Cognito, vous pouvez envoyer à l'utilisateur un message électronique contenant un lien qu'il peut sélectionner ou lui envoyer un code à saisir.

Pour personnaliser l'objet et le contenu des messages de vérification d'adresse e-mail, modifiez le modèle de **message de vérification** dans le menu **Modèles** de messages de votre groupe d'utilisateurs. Vous pouvez choisir un **Type de vérification** par **Code** ou **Lien** lorsque vous modifiez votre modèle **Message de vérification**.

Lorsque vous choisissez **Code** comme type de vérification, votre message personnalisé doit contenir l'espace réservé `{####}`. Quand vous envoyez ce message, le code de vérification remplace cet espace réservé.

Si vous choisissez **Lien** comme type de vérification, votre message personnalisé doit inclure un espace réservé au format `{##Verify Your Email##}`. Vous pouvez modifier la chaîne de texte entre les caractères d'espace réservé, par exemple `{##Click here##}`. Un lien de vérification intitulé *Verify Your Email* (Vérifiez votre adresse e-mail) remplace cet espace réservé.

Le lien vers un message de vérification par e-mail redirige votre utilisateur vers une URL comme dans l'exemple suivant.

```
https://<your user pool domain>/confirmUser/?client_id=abcdefg12345678&user_name=emailtest&confirmation_code=123456
```

La longueur maximale du message est de 20 000 caractères UTF-8, en comptant le code de vérification (le cas échéant). Vous pouvez utiliser des balises HTML dans ce message pour formater le contenu.

## Personnalisation des messages d'invitation des utilisateurs
<a name="cognito-user-pool-settings-user-invitation-message-customization"></a>

Vous pouvez personnaliser le message d'invitation qu'Amazon Cognito envoie aux nouveaux utilisateurs par SMS ou e-mail en modifiant le modèle de **messages d'invitation** dans le menu **Modèles de messages**.

**Important**  
Votre message personnalisé doit contenir les espaces réservés `{username}` et `{####}`. Lors de l'envoi du message d'invitation, Amazon Cognito remplace ces espaces réservés par le nom d'utilisateur et le mot de passe de votre utilisateur.

La longueur maximale d'un message SMS est de 140 caractères UTF-8, code de vérification inclus. La longueur maximale d'un message e-mail est de 20 000 caractères UTF-8, code de vérification inclus. Vous pouvez utiliser des balises HTML dans vos e-mails pour formater le contenu.

## Personnalisation de votre adresse e-mail
<a name="cognito-user-pool-settings-email-address-customization"></a>

Par défaut, les messages e-mail qu'Amazon Cognito envoie aux utilisateurs dans vos groupes d'utilisateurs arrivent par l'adresse **no-reply@verificationemail.com**. Vous pouvez choisir de spécifier des adresses e-mail DE et RÉPONDRE À personnalisées qui remplaceront **no-reply@verificationemail.com**.

**Pour personnaliser les adresses e-mail DE et de RÉPONDRE À**

1. Accédez à la [console Amazon Cognito](https://console.aws.amazon.com/cognito/home), puis choisissez **Groupes d’utilisateurs**.

1. Choisissez un groupe d’utilisateurs existant dans la liste ou [créez-en un](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Choisissez le menu **Méthodes d'authentification**. Sous **E-mail**, choisissez **Modifier**.

1. Choisissez une **région SES**.

1. Choisissez une **adresse e-mail d'expéditeur** dans la liste des adresses e-mail que vous avez vérifiées avec Amazon SES dans la **région SES** que vous avez sélectionnée. Pour utiliser une adresse e-mail provenant d'un domaine vérifié, configurez les paramètres de messagerie dans l'API AWS Command Line Interface ou dans l' AWS API. Pour plus d'informations, consultez la section [Vérification des adresses e-mail et des domaines dans Amazon SES](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/verify-addresses-and-domains.html) dans le *Guide du développeur Amazon Simple Email Service*.

1. Choisissez un **jeu de configurations** dans la liste des jeux de configurations de la **région SES** que vous avez choisie.

1. Saisissez un **nom d'expéditeur DE** convivial pour vos messages électroniques, au format`John Stiles <johnstiles@example.com>`.

1. Pour personnaliser l'adresse e-mail pour RÉPONDRE À, saisissez une adresse e-mail valide dans le champ **Adresse e-mail pour RÉPONDRE À**.

## Autoriser Amazon Cognito à envoyer des e-mails Amazon SES en votre nom (à partir d'une adresse DE personnalisée)
<a name="cognito-user-pool-settings-ses-authorization-to-send-email"></a>

Vous pouvez configurer Amazon Cognito pour qu'il envoie des e-mails à partir d'une adresse e-mail DE personnalisée au lieu de son adresse par défaut. Pour utiliser une adresse personnalisée, vous devez autoriser Amazon Cognito à envoyer un e-mail à partir d'une identité vérifiée Amazon SES. Dans la plupart des cas, vous pouvez accorder une autorisation en créant une politique d'autorisation d'envoi. Pour plus d'informations, consultez la section [Utilisation de l'autorisation d'envoi avec Amazon SES](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/sending-authorization.html) dans le *Guide du développeur Amazon Simple Email Service*. 

Lorsque vous configurez un groupe d'utilisateurs pour qu'il utilise Amazon SES pour les e-mails, Amazon Cognito crée le rôle `AWSServiceRoleForAmazonCognitoIdpEmailService` dans votre compte pour accorder l'accès à Amazon SES. Aucune politique d'autorisation d'envoi n'est nécessaire lorsque le rôle lié à un service `AWSServiceRoleForAmazonCognitoIdpEmailService` est utilisé. Vous n'avez besoin d'ajouter une politique d'autorisation d'envoi que lorsque vous utilisez la fonctionnalité de messagerie par défaut de votre groupe d'utilisateurs *et* une identité Amazon SES vérifiée en tant qu'adresse DE.

Pour plus d'informations sur le rôle lié à un service créé par Amazon Cognito, consultez [Utilisation de rôles liés à un service pour Amazon Cognito](using-service-linked-roles.md).

L'exemple suivant de politique d'autorisation d'envoi accorde à Amazon Cognito la possibilité limitée d'utiliser une identité vérifiée Amazon SES. Amazon Cognito ne peut envoyer des e-mails que lorsqu'il le fait pour le compte du groupe d'utilisateurs dans la condition `aws:SourceArn` et le compte dans la condition `aws:SourceAccount`. Pour d'autres exemples, consultez [Exemples de politiques d'autorisation d'envoi Amazon SES](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/sending-authorization-policy-examples.html) dans le *Guide du développeur Amazon Simple Email Service*.

**Note**  
Dans cet exemple, la valeur « Sid » est une chaîne arbitraire qui identifie l'instruction de manière unique. Pour plus d'informations sur la syntaxe de la politique, consultez [Politiques d'autorisation d'envoi Amazon SES](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/sending-authorization-policies.html) dans le *Guide du développeur Amazon Simple Email Service*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "stmnt1234567891234",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "email.cognito-idp.amazonaws.com"
                ]
            },
            "Action": [
                "SES:SendEmail",
                "SES:SendRawEmail"
            ],
            "Resource": "arn:aws:ses:us-east-1:111122223333:identity/support@example.com",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:cognito-idp:us-east-1:111122223333:userpool/us-east-1_EXAMPLE"
                }
            }
        }
    ]
}
```

------

La console Amazon Cognito vous ajoute une politique semblable lorsque vous sélectionnez une identité Amazon SES dans le menu déroulant. Si vous utilisez la CLI ou l'API pour configurer le groupe d'utilisateurs, vous devez attacher une politique structurée comme celle de l'exemple précédent à votre identité Amazon SES.