Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Qu’est-ce qu’Amazon Cognito ?
Amazon Cognito est une plateforme d’identité pour les applications Web et mobiles. Il s'agit d'un annuaire d'utilisateurs, d'un serveur d'authentification et d'un service d'autorisation pour les jetons d'accès et les AWS informations d'identification OAuth 2.0. Avec Amazon Cognito, vous pouvez authentifier et autoriser les utilisateurs à partir de l’annuaire d’utilisateurs intégré, de votre annuaire d’entreprise et de fournisseurs d’identité grand public tels que Google et Facebook.
**Topics**
+ [
## Groupes d’utilisateurs
](#what-is-amazon-cognito-user-pools)
+ [
## Réserves d’identités
](#what-is-amazon-cognito-identity-pools)
+ [
## Caractéristiques d’Amazon Cognito
](#what-is-amazon-cognito-features)
+ [
## Comparaison des groupes d’utilisateurs et des réserves d’identités Amazon Cognito
](#what-is-amazon-cognito-features-comparison)
+ [
## Démarrer avec Amazon Cognito
](#getting-started-overview)
+ [
## Disponibilité par région
](#getting-started-regional-availability)
+ [
## Tarification Amazon Cognito
](#pricing-for-amazon-cognito)
+ [
# Termes et concepts courants d'Amazon Cognito
](cognito-terms.md)
+ [
# Commencer avec AWS
](cognito-getting-started-account-iam.md)
Les deux composants qui suivent constituent Amazon Cognito. Ils fonctionnent indépendamment ou en tandem, en fonction des besoins d’accès de vos utilisateurs.
## Groupes d’utilisateurs
![\[Amazon Cognito user pool authentication flow with app, identity provider, and API/Database.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/user-pools-overview.png)
Créez un groupe d’utilisateurs lorsque vous souhaitez authentifier et autoriser les utilisateurs à accéder à votre application ou à votre API. Les groupes d’utilisateurs sont des annuaires d’utilisateurs permettant à la fois la création, la gestion et l’authentification des utilisateurs en libre-service et pilotées par l’administrateur. Votre groupe d’utilisateurs peut être un annuaire indépendant et un fournisseur d’identité (IdP) OIDC, ainsi qu’un fournisseur de services intermédiaire (SP) auprès de fournisseurs tiers d’identités du personnel et des clients. Vous pouvez fournir une authentification unique (SSO) dans votre application pour les identités du personnel de votre organisation dans SAML 2.0 et OIDC IdPs avec des groupes d'utilisateurs. Vous pouvez également fournir l'authentification unique dans votre application pour les identités des clients de votre entreprise dans les boutiques d'identité OAuth 2.0 publiques Amazon, Google, Apple et Facebook. Pour plus d’informations sur CIAM (gestion de l’identité et de l’accès des clients), consultez [Qu’est-ce que CIAM ?](https://aws.amazon.com/what-is/ciam/).
Les groupes d’utilisateurs ne nécessitent pas d’intégration à une réserve d’identités. À partir d'un groupe d'utilisateurs, vous pouvez émettre des jetons Web JSON authentifiés (JWTs) directement vers une application, un serveur Web ou une API.
## Réserves d’identités
![\[Diagram showing Amazon Cognito federated identities flow between app, identity pool, provider, and STS.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/identity-pools-overview.png)
Configurez un pool d'identités Amazon Cognito lorsque vous souhaitez autoriser des utilisateurs authentifiés ou anonymes à accéder à vos ressources. AWS Un pool d'identités émet des AWS informations d'identification permettant à votre application de fournir des ressources aux utilisateurs. Vous pouvez authentifier les utilisateurs auprès d’un fournisseur d’identité de confiance, tel qu’un groupe d’utilisateurs ou un service SAML 2.0. Il peut également éventuellement émettre des informations d’identification pour les utilisateurs invités. Les pools d'identités utilisent à la fois le contrôle d'accès basé sur les rôles et les attributs pour gérer l'autorisation d'accès de vos utilisateurs à vos ressources. AWS
Les réserves d’identités ne nécessitent pas d’intégration à un groupe d’utilisateurs. Une réserve d’identités peut accepter des champs standard authentifiés émanant directement des fournisseurs d’identité du personnel et des consommateurs.
**Un groupe d’utilisateurs et une réserve d’identités Amazon Cognito utilisés conjointement**
Dans le diagramme au début de cette rubrique, vous utilisez Amazon Cognito pour authentifier votre utilisateur, puis lui accorder l’accès à un Service AWS.
1. L'utilisateur de votre application se connecte via un groupe d'utilisateurs et reçoit OAuth 2 jetons.
1. Votre application échange un jeton de groupe d'utilisateurs avec un pool d'identités contre des AWS informations d'identification temporaires que vous pouvez utiliser avec AWS APIs et le AWS Command Line Interface (AWS CLI).
1. Votre application attribue la session d'identification à votre utilisateur et fournit un accès autorisé à Amazon S3 et Amazon Services AWS DynamoDB, par exemple.
Pour d’autres exemples utilisant des réserves d’identités et des groupes d’utilisateurs, consultez [Scénarios Amazon Cognito courants](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-scenarios.html).
Dans Amazon Cognito, l’obligation de *sécurité du cloud* dans le cadre du [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) est conforme à SOC 1-3, PCI DSS et ISO 27001, et est éligible HIPAA-BAA. Vous pouvez concevoir votre *sécurité dans le cloud dans* Amazon Cognito pour qu'elle soit conforme aux normes SOC1 -3, ISO 27001 et HIPAA-BAA, mais pas à la norme PCI DSS. Pour plus d’informations, consultez [Services AWS concernés](https://aws.amazon.com/compliance/services-in-scope/). Consultez également [Considérations sur les données régionales](https://docs.aws.amazon.com/cognito/latest/developerguide/security-cognito-regional-data-considerations.html).
## Caractéristiques d’Amazon Cognito
### Groupes d’utilisateurs
Un groupe d’utilisateurs Amazon Cognito est un annuaire d’utilisateurs. Avec un groupe d’utilisateurs, vos utilisateurs peuvent se connecter à votre application web ou mobile via Amazon Cognito, ou se fédérer via un fournisseur d’identité tiers. Les utilisateurs fédérés et locaux ont un profil utilisateur dans votre groupe d’utilisateurs.
Les utilisateurs locaux sont ceux qui se sont inscrits ou que vous avez créés directement dans votre groupe d’utilisateurs. Vous pouvez gérer et personnaliser ces profils utilisateur dans le AWS Management Console, un AWS SDK ou le AWS Command Line Interface (AWS CLI).
Les groupes d'utilisateurs Amazon Cognito acceptent les jetons et les assertions provenant de tiers IdPs, et collectent les attributs utilisateur dans un JWT qu'il envoie à votre application. Vous pouvez standardiser votre application sur un seul ensemble JWTs pendant qu'Amazon Cognito gère les interactions IdPs avec eux, en mappant leurs revendications à un format de jeton central.
Un groupe d’utilisateurs Amazon Cognito peut être un fournisseur d’identité autonome. Amazon Cognito s'appuie sur la norme OpenID Connect (OIDC) pour générer JWTs des données d'authentification et d'autorisation. Lorsque vous connectez des utilisateurs locaux, votre groupe d’utilisateurs fait autorité pour ces utilisateurs. Vous avez accès aux fonctionnalités suivantes quand vous authentifiez des utilisateurs locaux.
+ Implémentez votre propre interface Web qui appelle l’API des groupes d’utilisateurs Amazon Cognito pour authentifier, autoriser et gérer vos utilisateurs.
+ Configurez une authentification multifactorielle (MFA) pour vos utilisateurs. Amazon Cognito prend en charge la MFA avec un mot de passe unique à durée limitée (TOTP) et par SMS.
+ Sécurisez l’accès à partir de comptes utilisateurs contrôlés par des personnes malveillantes.
+ Créez vos propres flux d’authentification personnalisés en plusieurs étapes.
+ Recherchez des utilisateurs dans un autre annuaire et migrez-les vers Amazon Cognito.
Un groupe d'utilisateurs Amazon Cognito peut également jouer le double rôle de fournisseur de services (SP) pour votre IdPs application et d'IdP pour votre application. Les groupes d'utilisateurs d'Amazon Cognito peuvent se connecter à des clients IdPs tels que Facebook et Google, ou à des employés IdPs tels qu'Okta et Active Directory Federation Services (ADFS).
Avec les jetons OAuth 2.0 et OpenID Connect (OIDC) émis par un groupe d'utilisateurs Amazon Cognito, vous pouvez
+ Accepter un jeton d’identification dans votre application qui authentifie un utilisateur et fournit les informations nécessaires pour configurer le profil de l’utilisateur
+ Accepter un jeton d’accès dans votre API avec les étendues OIDC qui autorisent les appels d’API de vos utilisateurs.
+ Récupérez les AWS informations d'identification d'un pool d'identités Amazon Cognito.
|
|
| Fonctionnalité | Description |
| --- |--- |
| Fournisseur d’identité OIDC | Émettre des jetons d'identification pour authentifier les utilisateurs |
| Serveur d'autorisation | Émettez des jetons d'accès pour autoriser l'accès des utilisateurs à APIs |
| Fournisseur de services SAML 2.0 | Transformez les assertions SAML en identifiants et jetons d'accès |
| Partie utilisatrice de l'OIDC | Transformez les jetons OIDC en jetons d'identification et d'accès |
| Prestataire de services sociaux : partie utilisatrice | Transformez les jetons d'identification d'Apple, Facebook, Amazon ou Google en vos propres jetons d'identification et d'accès |
| Service frontal d'authentification | Inscrivez, gérez et authentifiez les utilisateurs avec une connexion gérée |
| Support d'API pour votre propre interface utilisateur | Créez, gérez et authentifiez les utilisateurs par le biais de demandes d'API d'authentification prises en charge ¹ AWS SDKs |
| Authentification multifacteur | Utilisez les SMS ou TOTPs l'appareil de votre utilisateur comme facteur d'authentification supplémentaire¹ |
| Surveillance de la sécurité et réponse | Protégez-vous contre les activités malveillantes et les mots de passe peu sécurisés¹ |
| Personnaliser les flux d'authentification | Créez votre propre mécanisme d'authentification ou ajoutez des étapes personnalisées aux flux existants² |
| Groupes | Créez des groupes logiques d'utilisateurs et une hiérarchie des revendications de rôles IAM lorsque vous transmettez des jetons à des pools d'identités |
| Personnalisez les jetons | Personnalisez votre identifiant et vos jetons d'accès avec les demandes nouvelles, modifiées et supprimées |
| Personnalisation des attributs utilisateur | Attribuez des valeurs aux attributs utilisateur et ajoutez vos propres attributs personnalisés |
¹ Cette fonctionnalité n'est pas disponible pour les utilisateurs fédérés.
² La fonctionnalité n'est pas disponible pour les utilisateurs à connexion fédérée et gérée.
Pour plus d’informations sur les groupes d’utilisateurs, consultez [Démarrage avec les groupes d'utilisateurs](getting-started-user-pools.md) et la [référence d’API des groupes d’utilisateurs Amazon Cognito](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/).
### Réserves d’identités
Un pool d'identités est un ensemble d'identifiants uniques, ou identités, que vous attribuez à vos utilisateurs ou invités et que vous autorisez à recevoir des AWS informations d'identification temporaires. Lorsque vous présentez une preuve d'authentification à un pool d'identités sous la forme de demandes fiables émanant d'un fournisseur d'identité sociale (IdP) SAML 2.0 OAuth , OpenID Connect (OIDC) ou 2.0, vous associez votre utilisateur à une identité dans le pool d'identités. Le jeton créé par votre pool d'identités pour l'identité peut récupérer les informations d'identification de session temporaires auprès de AWS Security Token Service (AWS STS).
Pour compléter les identités authentifiées, vous pouvez également configurer un pool d'identités pour autoriser l' AWS accès sans authentification IdP. Vous pouvez proposer une preuve d'authentification personnalisée avec[Identités authentifiées par le développeur](developer-authenticated-identities.md). Vous pouvez également accorder des AWS informations d'identification temporaires aux utilisateurs invités, avec des identités [non authentifiées.](identity-pools.md#authenticated-and-unauthenticated-identities)
Avec les pools d'identités, vous disposez de deux méthodes pour intégrer les politiques IAM dans votre Compte AWS. Vous pouvez utiliser ces deux fonctionnalités ensemble ou individuellement.
**Contrôle d’accès basé sur les rôles**
Lorsque votre utilisateur transmet les champs standard à votre réserve d’identités, Amazon Cognito choisit le rôle IAM qu’il demande. Pour personnaliser les autorisations du rôle en fonction de vos besoins, vous devez appliquer des politiques IAM à chaque rôle. Par exemple, si votre utilisateur démontre qu’il fait partie du service marketing, il reçoit des informations d’identification pour un rôle avec des politiques adaptées aux besoins d’accès du service marketing. Amazon Cognito peut demander un rôle par défaut, un rôle basé sur des règles qui interrogent les champs standard de votre utilisateur ou un rôle basé sur l’appartenance de votre utilisateur à un groupe d’utilisateurs. Vous pouvez également configurer la politique de confiance du rôle afin qu’IAM ne fasse confiance qu’à votre réserve d’identités pour générer des sessions temporaires.
**Attributs pour le contrôle d’accès**
Votre réserve d’identités lit les attributs à partir des champs standard de votre utilisateur et les mappe sur les balises de principal dans le cadre de la session temporaire de votre utilisateur. Vous pouvez ensuite configurer vos politiques basées sur les ressources IAM pour autoriser ou refuser l’accès aux ressources en fonction des principaux IAM qui contiennent les balises de session de votre réserve d’identités. Par exemple, si votre utilisateur prouve qu'il fait partie du service marketing, AWS STS balisez sa session`Department: marketing`. Votre compartiment Amazon S3 autorise les opérations de lecture sur la base d'une PrincipalTag condition [aws :](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) qui nécessite une valeur de `marketing` pour la `Department` balise.
|
|
| Fonctionnalité | Description |
| --- |--- |
| Partie utilisatrice du pool d'utilisateurs Amazon Cognito | Échangez un jeton d'identification de votre groupe d'utilisateurs contre des informations d'identité Web provenant de AWS STS |
| Fournisseur de services SAML 2.0 | Échangez des assertions SAML pour des informations d'identification Web à partir de AWS STS |
| Partie utilisatrice de l'OIDC | Échangez des jetons OIDC contre des identifiants d'identité Web auprès de AWS STS |
| Prestataire de services sociaux : partie utilisatrice | Échangez OAuth des jetons d'Amazon, Facebook, Google, Apple et Twitter contre des identifiants d'identité Web provenant de AWS STS |
| Partie de confiance personnalisée | Avec les AWS informations d'identification, échangez des demandes dans n'importe quel format contre des informations d'identification Web auprès de AWS STS |
| Accès non authentifié | Émettre des informations d'identification Web à accès limité sans authentification AWS STS |
| Contrôle d’accès basé sur les rôles | Choisissez un rôle IAM pour votre utilisateur authentifié en fonction de ses revendications, et configurez vos rôles pour qu'ils ne soient assumés que dans le contexte de votre pool d'identités |
| Contrôle d'accès basé sur les attributs | Convertissez les demandes en balises principales pour votre session AWS STS temporaire et utilisez les politiques IAM pour filtrer l'accès aux ressources en fonction des balises principales |
Pour plus d’informations sur les groupes d’utilisateurs, consultez [Commencer à utiliser les pools d'identités Amazon Cognito](getting-started-with-identity-pools.md) et la [référence d’API des groupes d’identités Amazon Cognito](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/).
## Comparaison des groupes d’utilisateurs et des réserves d’identités Amazon Cognito
|
|
| Fonctionnalité | Description | Groupes d’utilisateurs | Réserves d’identités |
| --- |--- |--- |--- |
| Fournisseur d’identité OIDC | Émettez des jetons d'identification OIDC pour authentifier les utilisateurs de l'application | ✓ | |
| Annuaire des utilisateurs | Stocker les profils utilisateur à des fins d'authentification | ✓ | |
| Autoriser l'accès à l'API | Émettez des jetons d'accès pour autoriser l'accès des utilisateurs APIs (y compris les opérations d'API en libre-service du profil utilisateur) aux bases de données et aux autres ressources qui acceptent OAuth des étendues | ✓ | |
| Autorisation d'identité Web IAM | Générez des jetons que vous pouvez échanger contre des AWS STS AWS informations d'identification temporaires | | ✓ |
| Fournisseur de services SAML 2.0 et fournisseur d'identité OIDC | Émettez des jetons OIDC personnalisés sur la base des demandes d'un fournisseur d'identité SAML 2.0 | ✓ | |
| Partie utilisatrice OIDC et fournisseur d'identité OIDC | Émettez des jetons OIDC personnalisés sur la base des demandes d'un fournisseur d'identité OIDC | ✓ | |
| OAuth Partie utilisatrice 2.0 et fournisseur d'identité OIDC | Émettez des jetons OIDC personnalisés basés sur les champs d'application des fournisseurs sociaux OAuth 2.0 tels qu'Apple et Google | ✓ | |
| Fournisseur de services SAML 2.0 et courtier d'identifiants | Émettre des AWS informations d'identification temporaires sur la base des demandes d'un fournisseur d'identité SAML 2.0 | | ✓ |
| Partie utilisatrice OIDC et courtier en informations d'identification | Émettre des AWS informations d'identification temporaires sur la base des demandes d'un fournisseur d'identité OIDC | | ✓ |
| Prestataire social, partenaire de confiance et courtier d'identifiants | Émettez des AWS informations d'identification temporaires basées sur des jetons Web JSON provenant d'applications de développement auprès de fournisseurs sociaux tels qu'Apple et Google | | ✓ |
| Groupe d'utilisateurs Amazon Cognito, partie utilisatrice et courtier d'informations d'identification | Émettez des AWS informations d'identification temporaires basées sur des jetons Web JSON provenant des groupes d'utilisateurs Amazon Cognito | | ✓ |
| Partie de confiance personnalisée et courtier d'informations d'identification | Délivrer des AWS informations d'identification temporaires à des identités arbitraires, autorisées par les informations d'identification IAM du développeur | | ✓ |
| Service frontal d'authentification | Inscrivez, gérez et authentifiez les utilisateurs avec une connexion gérée | ✓ | |
| Support d'API pour votre propre interface utilisateur d'authentification | Créez, gérez et authentifiez les utilisateurs par le biais de requêtes d'API prises en charge ¹ AWS SDKs | ✓ | |
| MFA | Utilisez les SMS ou TOTPs l'appareil de votre utilisateur comme facteur d'authentification supplémentaire¹ | ✓ | |
| Surveillance de la sécurité et réponse | Protégez-vous contre les activités malveillantes et les mots de passe peu sécurisés¹ | ✓ | |
| Personnaliser les flux d'authentification | Créez votre propre mécanisme d'authentification ou ajoutez des étapes personnalisées aux flux existants¹ | ✓ | |
| Groupes d’utilisateurs | Créez des groupes logiques d'utilisateurs et une hiérarchie des revendications de rôles IAM lorsque vous transmettez des jetons à des pools d'identités | ✓ | |
| Personnalisez les jetons | Personnalisez votre identifiant et vos jetons d'accès avec des revendications et des champs d'application nouveaux, modifiés ou supprimés | ✓ | |
| AWS WAF web ACLs | Surveillez et contrôlez les demandes adressées à votre interface d'authentification avec AWS WAF | ✓ | |
| Personnalisation des attributs utilisateur | Attribuez des valeurs aux attributs utilisateur et ajoutez vos propres attributs personnalisés | ✓ | |
| Accès non authentifié | Émettre des informations d'identification Web à accès limité sans authentification AWS STS | | ✓ |
| Contrôle d’accès basé sur les rôles | Choisissez un rôle IAM pour votre utilisateur authentifié en fonction de ses revendications, et configurez la confiance de votre rôle pour limiter l'accès aux utilisateurs d'identité Web | | ✓ |
| Contrôle d'accès basé sur les attributs | Transformez les demandes des utilisateurs en balises principales pour votre session AWS STS temporaire et utilisez les politiques IAM pour filtrer l'accès aux ressources en fonction des balises principales | | ✓ |
¹ Cette fonctionnalité n'est pas disponible pour les utilisateurs fédérés.
## Démarrer avec Amazon Cognito
Par exemple, les applications de pool d'utilisateurs, voir[Démarrage avec les groupes d'utilisateurs](getting-started-user-pools.md).
Pour une présentation des pools d'identités, consultez[Commencer à utiliser les pools d'identités Amazon Cognito](getting-started-with-identity-pools.md).
Pour des liens vers des expériences de configuration guidée avec des groupes d'utilisateurs et des groupes d'identités, consultez[Options de configuration guidée pour Amazon Cognito](cognito-guided-setup.md).
Pour commencer à utiliser un AWS SDK, consultez la section [AWS Outils](https://aws.amazon.com/products/developer-tools) de développement. Pour les ressources destinées aux développeurs spécifiques à Amazon Cognito, consultez les ressources pour les développeurs [Amazon Cognito](https://aws.amazon.com/cognito/dev-resources/).
Pour utiliser Amazon Cognito, vous devez avoir un Compte AWS. Pour de plus amples informations, veuillez consulter [Commencer avec AWS](cognito-getting-started-account-iam.md).
## Disponibilité par région
Amazon Cognito est disponible dans plusieurs AWS régions du monde. Dans chaque région, Amazon Cognito est réparti sur plusieurs zones de disponibilité. Ces zones de disponibilité sont physiquement isolées mais sont reliées par des connexions réseau privées, à latence faible, à débit élevé et à forte redondance. Ces zones de disponibilité permettent AWS de fournir des services, notamment Amazon Cognito, avec des niveaux de disponibilité et de redondance très élevés, tout en minimisant le temps de latence.
Pour savoir si Amazon Cognito est actuellement disponible dans l'un d'entre eux Région AWS, consultez la section [AWS Services par région](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Pour en savoir plus sur les points de terminaison des services d'API régionaux, consultez la section [AWS Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html##cognito_identity_region) dans le. *Référence générale d'Amazon Web Services*
Pour plus d’informations sur le nombre de zones de disponibilité disponibles dans chaque région, consultez [Infrastructure mondiale AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
## Tarification Amazon Cognito
Pour plus d’informations sur la tarification Amazon Cognito, consultez [Tarification Amazon Cognito](https://aws.amazon.com/cognito/pricing/).
# Termes et concepts courants d'Amazon Cognito
Amazon Cognito fournit des informations d'identification pour les applications Web et mobiles. Il s'inspire des termes courants en matière de *gestion des identités et des accès et s'appuie sur ceux-ci*. De nombreux guides sur l'identité universelle et les conditions d'accès sont disponibles. Voici quelques exemples :
+ [La terminologie](https://bok.idpro.org/article/id/41/) dans l' IDPro ensemble des connaissances
+ [AWS Services d'identité](https://aws.amazon.com/identity/)
+ [Glossaire du](https://csrc.nist.gov/glossary) NIST CSRC
Les listes suivantes décrivent des termes propres à Amazon Cognito ou ayant un contexte spécifique dans Amazon Cognito.
**Topics**
+ [
## Général
](#cognito-terms-general)
+ [
## Groupes d’utilisateurs
](#cognito-terms-user-pools)
+ [
## Réserves d’identités
](#cognito-terms-identity-pools)
## Général
Les termes de cette liste ne sont pas spécifiques à Amazon Cognito et sont largement reconnus par les professionnels de la gestion des identités et des accès. Ce qui suit n'est pas une liste exhaustive de termes, mais un guide de leur contexte spécifique à Amazon Cognito dans ce guide.
**Jeton d’accès**
Un jeton Web JSON (JWT) qui contient des informations sur l'[autorisation](#terms-authorization) d'une entité à accéder aux systèmes d'information.
**Application, application**
Généralement, une application mobile. Dans ce guide, le terme « *application* » est souvent un raccourci pour désigner une application Web ou une application mobile qui se connecte à Amazon Cognito.
**Contrôle d’accès par attributs (ABAC)**
Modèle dans lequel une application détermine l'accès aux ressources en fonction des propriétés d'un utilisateur, telles que le titre de son poste ou son département. Les outils Amazon Cognito destinés à appliquer l'ABAC incluent les jetons d'identification dans les groupes d'utilisateurs et les [balises principales](#term-afac) dans les groupes d'identités.
**Authentification**
Processus d'établissement d'une identité authentique dans le but d'accéder à un système d'information. Amazon Cognito accepte les preuves d'authentification fournies par des fournisseurs d'identité tiers et sert également de fournisseur d'authentification pour les applications logicielles.
**Autorisation**
Processus d'octroi d'autorisations à une ressource. [Les jetons d'accès aux groupes](#terms-accesstoken) d'utilisateurs contiennent des informations que les applications peuvent utiliser pour autoriser les utilisateurs et les systèmes à accéder aux ressources.
**Serveur d'autorisation**
Système OpenID Connect (OIDC) qui génère des jetons Web [JSON](#terms-jwt). OAuth Le serveur d'[autorisation géré des groupes d'utilisateurs Amazon Cognito est le composant du serveur d'autorisation](#terms-managedauthorizationserver) des deux méthodes d'authentification et d'autorisation des groupes d'utilisateurs. Les groupes d'utilisateurs prennent également en charge les flux de défi/réponse aux API dans le cadre de l'authentification du [SDK](#terms-upapi).
**Application confidentielle, application côté serveur**
Application à laquelle les utilisateurs se connectent à distance, avec du code sur un serveur d'applications et un accès à des secrets. Il s'agit généralement d'une application Web.
**Identity provider (IdP) (Fournisseur d'identité)**
Service qui enregistre et vérifie l'identité des utilisateurs. Amazon Cognito peut demander l'authentification à des [fournisseurs externes](#terms-externalprovider) et être un IdP pour les applications.
**Jeton Web JSON (JWT)**
Document au format JSON contenant des allégations concernant un utilisateur authentifié. Les jetons d'identification authentifient les utilisateurs, les jetons d'accès les autorisent et les jetons d'actualisation mettent à jour les informations d'identification. Amazon Cognito reçoit des jetons de [fournisseurs externes](#terms-externalprovider) et émet des jetons vers des applications ou. AWS STS
**Machine-to-machine Autorisation (M2M)**
Processus d'autorisation des demandes adressées aux points de terminaison d'API pour les entités de non-user-interactive machine, comme un niveau d'application de serveur Web. [Les groupes d'utilisateurs fournissent des autorisations M2M sous forme d'autorisations d'identification client avec des étendues OAuth 2.0 sous forme de jetons d'accès.](#terms-accesstoken)
**Authentification multifactorielle (MFA)**
Obligation pour les utilisateurs de fournir une authentification supplémentaire après avoir fourni leur nom d'utilisateur et leur mot de passe. [Les groupes d'utilisateurs Amazon Cognito disposent de fonctionnalités MFA pour les utilisateurs locaux.](#terms-localuser)
**OAuth fournisseur 2.0 (social)**
Un IdP vers un groupe d'utilisateurs ou un pool d'identités qui fournit un accès [JWT](#terms-jwt) et des jetons d'actualisation. Les groupes d'utilisateurs Amazon Cognito automatisent les interactions avec les fournisseurs sociaux une fois que les utilisateurs s'authentifient.
**Fournisseur OpenID Connect (OIDC)**
Un IdP vers un groupe d'utilisateurs ou un pool d'identités qui étend la [OAuth](#terms-oauth)spécification pour fournir des jetons d'identification. Les groupes d'utilisateurs Amazon Cognito automatisent les interactions avec les fournisseurs OIDC après l'authentification des utilisateurs.
**Clé d'accès, WebAuthn**
Forme d'authentification dans laquelle les clés cryptographiques, ou clés d'accès, présentes sur l'appareil d'un utilisateur fournissent la preuve de son authentification. Les utilisateurs vérifient qu'ils sont présents à l'aide de mécanismes biométriques ou de code PIN dans un authentificateur matériel ou logiciel. Les clés de passe résistent au hameçonnage et sont liées à des sites Web/applications spécifiques, offrant ainsi une expérience sécurisée sans mot de passe. Les groupes d'utilisateurs Amazon Cognito prennent en charge la connexion à l'aide de clés d'accès.
**Sans mot de passe**
Une forme d'authentification où l'utilisateur n'a pas à saisir de mot de passe. Les méthodes de connexion sans mot de passe incluent les mots de passe à usage unique (OTPs) envoyés aux adresses e-mail et aux numéros de téléphone, ainsi que les clés d'accès. Les groupes d'utilisateurs Amazon Cognito prennent en charge la connexion et les clés d' OTPs accès.
**Application publique**
Application autonome sur un appareil, avec du code stocké localement et sans accès aux secrets. Il s'agit généralement d'une application mobile.
**Serveur de ressources**
Une API avec contrôle d'accès. Les groupes d'utilisateurs Amazon Cognito utilisent également le *serveur de ressources* pour décrire le composant qui définit la configuration pour interagir avec une API.
**Contrôle d’accès basé sur les rôles (RBAC)**
Modèle qui accorde l'accès en fonction de la désignation fonctionnelle de l'utilisateur. Les pools d'identités Amazon Cognito implémentent le RBAC en différenciant les rôles IAM.
**Prestataire de services (SP), partie utilisatrice (RP)**
Une application qui s'appuie sur un IdP pour affirmer que les utilisateurs sont dignes de confiance. Amazon Cognito agit en tant que SP pour les applications externes IdPs et en tant qu'IdP pour les applications. SPs
**fournisseur SAML**
Un IdP vers un groupe d'utilisateurs ou un pool d'identités qui génère des documents d'assertion signés numériquement que votre utilisateur transmet à Amazon Cognito.
**Identifiant unique universel (UUID)**
Étiquette de 128 bits appliquée à un objet. Amazon Cognito UUIDs est unique par groupe d'utilisateurs ou par groupe d'identités, mais n'est pas conforme à un format UUID spécifique.
**Annuaire des utilisateurs**
Ensemble d'utilisateurs et de leurs attributs qui transmet ces informations à d'autres systèmes. Les groupes d'utilisateurs Amazon Cognito sont des annuaires d'utilisateurs, ainsi que des outils de consolidation des utilisateurs provenant d'annuaires d'utilisateurs externes.
## Groupes d’utilisateurs
Lorsque vous voyez les termes figurant dans la liste suivante de ce guide, ils font référence à une fonctionnalité ou à une configuration spécifique des groupes d'utilisateurs.
**Authentification adaptative**
Fonctionnalité de [sécurité avancée](#term-advancedsecurity) qui détecte les activités malveillantes potentielles et applique une sécurité supplémentaire aux [profils utilisateur](#terms-userprofile).
**Client d'application**
Composant qui définit les paramètres d'un groupe d'utilisateurs en tant qu'IdP pour une application.
**URL de rappel, URI de redirection, URL de retour**
Un paramètre dans un [client d'application](#term-appclient) et un paramètre dans les demandes adressées au [serveur d'autorisation](#terms-managedauthorizationserver) du groupe d'utilisateurs. [L'URL de rappel est la destination initiale des utilisateurs authentifiés de votre application.](#term-app)
**Authentification basée sur les choix**
Une forme d'authentification par API avec des groupes d'utilisateurs où chaque utilisateur dispose d'un ensemble de choix pour se connecter. Leurs choix peuvent inclure un nom d'utilisateur et un mot de passe avec ou sans MFA, une connexion par clé d'accès ou une connexion sans mot de passe avec des mots de passe uniques par e-mail ou SMS. Votre application peut façonner le processus de choix pour les utilisateurs en demandant une liste d'options d'authentification ou en déclarant une option préférée.
Comparez avec l'authentification [basée sur le client](#terms-declarativeauthentication).
**Authentification basée sur le client**
Une forme d'authentification avec l'API des groupes d'utilisateurs et les backends d'applications intégrés à AWS SDKs. Dans le cadre de l'authentification déclarative, votre application détermine indépendamment le type de connexion qu'un utilisateur doit effectuer et demande ce type dès le départ.
Comparez avec l'[authentification basée sur les choix](#terms-choicebasedauthentication).
**Informations d’identification compromises**
Fonctionnalité de [sécurité avancée](#term-advancedsecurity) qui détecte les mots de passe utilisateur que les attaquants pourraient connaître et qui applique une sécurité supplémentaire aux [profils utilisateur](#terms-userprofile).
**Confirmation**
Processus qui détermine que les conditions préalables sont remplies pour permettre à un nouvel utilisateur de se connecter. La confirmation se fait généralement par le biais de la [vérification de l'adresse e-mail ou du numéro de](#terms-verification) téléphone.
**Authentification personnalisée**
Une extension des processus d'authentification avec des [déclencheurs Lambda](#terms-triggers) qui définissent des défis et des réponses supplémentaires pour les utilisateurs.
**Authentification des appareils**
Processus d'authentification qui remplace le [MFA](#terms-mfa) par une connexion utilisant l'identifiant d'un appareil fiable.
**Domaine, domaine du pool d'utilisateurs**
Un domaine Web qui héberge vos [pages de connexion gérées](#terms-managedlogin) dans AWS. Vous pouvez configurer le DNS dans un domaine qui vous appartient ou utiliser un préfixe de sous-domaine d'identification dans un domaine qui AWS en est propriétaire.
**Plan Essentials**
Le [plan des fonctionnalités](#terms-featureplan) avec les derniers développements en matière de groupes d'utilisateurs. [Le plan Essentials n'inclut pas les fonctionnalités de sécurité d'apprentissage automatique du plan Plus.](#terms-plusplan)
**Fournisseur externe, fournisseur tiers**
Un IdP qui entretient une relation de confiance avec un groupe d'utilisateurs. Les groupes d'utilisateurs servent d'entité intermédiaire entre les fournisseurs externes et votre application, gérant les processus d'authentification avec SAML 2.0, OIDC et les fournisseurs sociaux. Les groupes d'utilisateurs consolident les résultats de l'authentification des fournisseurs externes en un seul IdP afin que vos applications puissent traiter de nombreux utilisateurs avec une seule bibliothèque dépendante OIDC.
**Plan de fonctionnalités**
Groupe de fonctionnalités que vous pouvez sélectionner pour un groupe d'utilisateurs. Les forfaits comportent des coûts différents sur votre AWS facture. Les nouveaux groupes d'utilisateurs utilisent par défaut le [plan Essentials](#terms-essentialsplan).
**Plans actuels**
+ [Forfait allégé](#terms-liteplan)
+ [Plan Essentials](#terms-essentialsplan)
+ [Forfait Plus](#terms-plusplan)
**Utilisateur fédéré, utilisateur externe**
Utilisateur d'un groupe d'utilisateurs authentifié par un [fournisseur externe](#terms-externalprovider).
**Interface utilisateur hébergée (classique), pages d'interface utilisateur hébergées**
La première version des services d'authentification frontal, de partie utilisatrice et de fournisseur d'identité sur le domaine de votre groupe d'utilisateurs. L'interface utilisateur hébergée possède un ensemble de fonctionnalités de base et une apparence simplifiée. Vous pouvez appliquer la marque Hosted UI en téléchargeant un fichier image de logo et un fichier contenant un ensemble prédéterminé de styles CSS. Comparez avec la [connexion gérée](#terms-managedlogin).
**Déclencheur Lambda**
Fonction AWS Lambda qu'un groupe d'utilisateurs peut invoquer automatiquement à des moments clés des processus d'authentification des utilisateurs. Vous pouvez utiliser des déclencheurs Lambda pour personnaliser les résultats de l'authentification.
**Utilisateur local**
Un [profil utilisateur](#terms-userprofile) dans le [répertoire des utilisateurs du groupe d'utilisateurs](#terms-userdirectory) qui n'a pas été créé par authentification auprès d'un [fournisseur externe](#terms-externalprovider).
**Utilisateur lié**
Utilisateur d'un [fournisseur externe](#terms-externalprovider) dont l'identité est fusionnée avec celle d'un [utilisateur local](#terms-localuser).
**Forfait allégé**
Le [plan de fonctionnalités](#terms-featureplan) avec les fonctionnalités initialement lancées avec les groupes d'utilisateurs. [Le plan Lite n'inclut pas les nouvelles fonctionnalités du [plan Essentials](#terms-essentialsplan) ni les fonctionnalités de sécurité d'apprentissage automatique du plan Plus.](#terms-plusplan)
**Serveur d'autorisation géré, serveur d'autorisation d'interface utilisateur hébergé, serveur d'autorisation**
Composant de [connexion gérée](#terms-managedlogin) qui héberge des services d'interaction avec le [domaine de votre groupe d'utilisateurs IdPs et des applications sur celui-ci](#terms-domain). L'[interface utilisateur hébergée](#terms-hostedui) diffère de la connexion gérée en ce qui concerne les fonctionnalités interactives qu'elle propose, mais elle possède les mêmes fonctionnalités de serveur d'autorisation.
**Connexion gérée, pages de connexion gérées**
Ensemble de pages Web sur le [domaine de votre groupe d'utilisateurs](#terms-domain) hébergeant des services d'authentification des utilisateurs. Ces services incluent des fonctions permettant de fonctionner en tant qu'[IdP](#terms-idp), en tant que partie de confiance pour [un tiers](#terms-relyingparty) IdPs et en tant que serveur d'une interface utilisateur d'authentification interactive avec l'utilisateur. Lorsque vous configurez un domaine pour votre groupe d'utilisateurs, Amazon Cognito met en ligne toutes les pages de connexion gérées.
Votre application importe des bibliothèques OIDC qui appellent les navigateurs des utilisateurs et les dirigent vers l'interface utilisateur de connexion gérée pour l'inscription, la connexion, la gestion des mots de passe et d'autres opérations d'authentification. Après l'authentification, les bibliothèques OIDC peuvent traiter le résultat de la demande d'authentification.
**Authentification de connexion gérée**
Connectez-vous aux services du [domaine de votre groupe d'utilisateurs](#terms-domain), à l'aide de pages de navigateur interactives ou de requêtes d'API HTTPS. Les applications gèrent l'authentification de connexion gérée avec les bibliothèques OpenID Connect (OIDC). [Ce processus inclut la connexion avec des [fournisseurs externes](#terms-externalprovider), la connexion des utilisateurs locaux avec des pages de connexion gérées interactives et l'autorisation M2M.](#terms-m2m) L'authentification avec l'[interface utilisateur hébergée](#terms-hostedui) classique relève également de ce terme.
Comparez avec l'[authentification du AWS SDK](#terms-upapi).
**Forfait Plus**
Le [plan de fonctionnalités](#terms-featureplan) avec les derniers développements et les fonctionnalités de sécurité avancées dans les groupes d'utilisateurs.
**Authentification SDK, authentification AWS SDK**
Ensemble d'opérations d'API d'authentification et d'autorisation que vous pouvez ajouter au back-end de votre application à l'aide d'un AWS SDK. Ce modèle d'authentification nécessite votre propre mécanisme de connexion personnalisé. L'API peut connecter les [utilisateurs locaux et les](#terms-localuser) [utilisateurs liés](#terms-linkeduser).
Comparez avec l'[authentification de connexion gérée](#terms-managedloginauthentication).
**Protection contre les menaces, fonctionnalités de sécurité avancées**
Dans les groupes d'utilisateurs, la protection contre les menaces fait référence aux technologies conçues pour atténuer les menaces qui pèsent sur vos mécanismes d'authentification et d'autorisation. L'authentification adaptative, la détection des informations d'identification compromises et les listes d'adresses IP bloquées entrent dans la catégorie de la protection contre les menaces.
**Personnalisation des jetons**
Résultat d'un [déclencheur Lambda](#terms-triggers) avant la génération du jeton qui modifie l'identifiant ou le jeton d'accès d'un utilisateur lors de l'exécution.
**Groupe d'utilisateurs, fournisseur d'identité Amazon Cognito`cognito-idp`, groupes d'utilisateurs Amazon Cognito**
Une AWS ressource avec des services d'authentification et d'autorisation pour les applications qui fonctionnent avec OIDC IdPs.
**Vérification**
Processus permettant de confirmer qu'un utilisateur possède une adresse e-mail ou un numéro de téléphone. Un groupe d'utilisateurs envoie un code à un utilisateur qui a saisi une nouvelle adresse e-mail ou un nouveau numéro de téléphone. Lorsqu'ils soumettent le code à Amazon Cognito, ils vérifient qu'ils sont propriétaires de la destination du message et peuvent recevoir des messages supplémentaires de la part du groupe d'utilisateurs. Voir également la [confirmation](#terms-confirmation).
**Profil utilisateur, compte utilisateur**
Entrée pour un utilisateur dans le [répertoire des utilisateurs](#terms-userdirectory). Tous les utilisateurs, y compris ceux de tiers IdPs, ont un profil dans leur groupe d'utilisateurs.
## Réserves d’identités
Lorsque vous voyez les termes figurant dans la liste suivante de ce guide, ils font référence à une fonctionnalité ou à une configuration spécifique des pools d'identités.
**Attributs pour le contrôle d’accès**
Implémentation du [contrôle d'accès basé sur les attributs dans les pools](#terms-abac) d'identités. Les pools d'identités appliquent les attributs utilisateur sous forme de balises aux informations d'identification des utilisateurs.
**Authentification de base (classique)**
Processus d'authentification dans le cadre duquel vous pouvez personnaliser la demande [d'informations d'identification utilisateur](#terms-usercredentials).
**Identités authentifiées par le développeur**
Processus d'authentification qui autorise les informations d'identification des [utilisateurs du pool d'identités avec les informations d'identification](#terms-usercredentials) [du développeur](#terms-developercredentials).
**Informations d'identification du développeur**
Les clés d'API IAM d'un administrateur de pool d'identités.
**Authentification améliorée**
Flux d'authentification qui sélectionne un rôle IAM et applique des balises principales conformément à la logique que vous définissez dans votre pool d'identités.
**Identity**
[UUID](#terms-uuid) qui lie un utilisateur de l'application et ses [informations d'identification](#terms-usercredentials) à son profil dans un [annuaire d'utilisateurs](#terms-userdirectory) externe qui entretient une relation de confiance avec un pool d'identités.
**pool d'identités, identités fédérées Amazon Cognito, identité Amazon Cognito, `cognito-identity`**
Une AWS ressource avec des services d'authentification et d'autorisation pour les applications qui utilisent des [AWS informations d'identification temporaires](#terms-usercredentials).
**Identité non authentifiée**
Utilisateur qui ne s'est pas connecté avec un IdP de pool d'identités. Vous pouvez autoriser les utilisateurs à générer des informations d'identification utilisateur limitées pour un seul rôle IAM avant de s'authentifier.
**Informations d'identification utilisateur**
Clés AWS d'API temporaires que les utilisateurs reçoivent après l'authentification du pool d'identités.
# Commencer avec AWS
Avant de commencer à travailler avec Amazon Cognito, configurez certaines des ressources nécessaires. AWS Si vous pouvez déjà vous connecter à un Compte AWS, vous pouvez ignorer cette section. Poursuivez votre lecture si vous recherchez des informations sur l'inscription et la connexion avec des AWS informations d'identification. Une fois que vous disposez d'informations d'identification avec des autorisations Gestion des identités et des accès AWS (IAM) suffisantes, vous pouvez commencer à utiliser les groupes d'[utilisateurs et les groupes](getting-started-user-pools.md) [d'identités.](getting-started-with-identity-pools.md)
## Inscrivez-vous pour un Compte AWS
Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.
**Pour vous inscrire à un Compte AWS**
1. Ouvrez l'[https://portal.aws.amazon.com/billing/inscription.](https://portal.aws.amazon.com/billing/signup)
1. Suivez les instructions en ligne.
Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique ou un SMS et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.
Lorsque vous vous inscrivez à un Compte AWS, un *Utilisateur racine d'un compte AWS*est créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les [tâches nécessitant un accès utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. À tout moment, vous pouvez consulter l'activité actuelle de votre compte et gérer votre compte en accédant à [https://aws.amazon.com/](https://aws.amazon.com/)et en choisissant **Mon compte**.
## Création d’un utilisateur doté d’un accès administratif
Après vous être inscrit à un Compte AWS, sécurisez Utilisateur racine d'un compte AWS AWS IAM Identity Center, activez et créez un utilisateur administratif afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.
**Sécurisez votre Utilisateur racine d'un compte AWS**
1. Connectez-vous en [AWS Management Console](https://console.aws.amazon.com/)tant que propriétaire du compte en choisissant **Utilisateur root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur racine, consultez [Connexion en tant qu’utilisateur racine](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) dans le *Guide de l’utilisateur Connexion à AWS *.
1. Activez l’authentification multifactorielle (MFA) pour votre utilisateur racine.
Pour obtenir des instructions, consultez la section [Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) dans le guide de l'utilisateur *IAM*.
**Création d’un utilisateur doté d’un accès administratif**
1. Activez IAM Identity Center.
Pour obtenir des instructions, consultez [Activation d’ AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
1. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur.
Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir [Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) dans le *Guide de AWS IAM Identity Center l'utilisateur*.
**Connexion en tant qu’utilisateur doté d’un accès administratif**
+ Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.
Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section [Connexion au portail AWS d'accès](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) dans le *guide de l'Connexion à AWS utilisateur*.
**Attribution d’un accès à d’autres utilisateurs**
1. Dans IAM Identity Center, créez un ensemble d’autorisations qui respecte la bonne pratique consistant à appliquer les autorisations de moindre privilège.
Pour obtenir des instructions, consultez [Création d’un ensemble d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
1. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.
Pour obtenir des instructions, consultez [Ajout de groupes](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.