Amazon Cognito – Funktionen

Was ist Amazon Cognito?

Amazon Cognito ist ein entwicklerzentrierter und kostengünstiger Service für Customer Identity and Access Management (CIAM). Es bietet einen sicheren Identitätsspeicher und Verbundsoptionen, die auf Millionen von Benutzern skaliert werden können. Amazon Cognito unterstützt die Anmeldung mit sozialen Identitätsanbietern und SAML- oder OIDC-basierten Identitätsanbietern für ein angenehmes Kundenerlebnis und bietet erweiterte Sicherheitsfunktionen zum Schutz Ihrer Kunden und Ihres Unternehmens. Es unterstützt verschiedene Compliance-Standards, arbeitet mit offenen Identitätsstandards (OAuth2.0, SAML 2.0 und OpenID Connect) und lässt sich in ein erweitertes Ökosystem von Front-End- und Back-End-Entwicklungsressourcen und SDK-Bibliotheken integrieren.

Identitätsmanagement

Das erste Erlebnis eines Kunden auf Ihrer Website ist oftmals die Selbstregistrierung. Amazon Cognito bietet sowohl eine anpassbare, vorgefertigte, gehostete Benutzeroberfläche, um schnell auf den Markt zu kommen, als auch einen robusten Satz von APIs, um eine vollständig benutzerdefinierte Selbstregistrierungslösung zu erstellen. Benutzer können sich mit einer E-Mail, einer Telefonnummer oder einem Benutzernamen für Ihre Anwendung anmelden. Bei der Selbstregistrierung können Benutzer ihre Profildaten, einschließlich benutzerdefinierter Attribute, einsehen und aktualisieren. Verringern Sie die Anzahl der Anrufe beim Helpdesk durch Selbstbedienungsoptionen, wie z. B. das Zurücksetzen von Passwörtern mit einer SMS oder einer E-Mail.

Amazon-Cognito bieten einen sicheren Identitätsspeicher,(Benutzerpools) der sich auf Millionen von Benutzern skalieren lässt. Benutzerpools speichern Benutzerprofildaten sowohl für Benutzer, die sich direkt anmelden, als auch für Partnerbenutzer, die sich über externe Identitätsanbieter anmelden.
Der Amazon-Cognito-Identitätsspeicher ist ein API-basiertes Benutzer-Repository. Das Repository und die APIs unterstützen die Speicherung von bis zu 50 benutzerdefinierten Attributen pro Benutzer, unterstützen verschiedene Datentypen und setzen Längen- und Veränderbarkeitsbeschränkungen durch. Wählen Sie die erforderlichen Attribute aus, die der Benutzer vor dem Abschluss des Anmeldevorgangs angeben muss.

Benutzer können entweder über einen Batch-Import oder eine Just-in-Time-Migration (JIT) zu Amazon Cognito migrieren. Die Batch-Benutzermigration nutzt einen CSV-Dateiimportprozess. Mit dem JIT-Migrationsprozess integriert ein AWS-Lambda-Trigger den Migrationsprozess in den Anmelde-Workflow und kann die Passwörter der Benutzer beibehalten.

Amazon Cognito ermöglicht B2B-Interaktionen mit mehrmandantenfähiger Unterstützung. Sie können Anwendungsintegrationen, Zugriffs- und Kennwortrichtlinien wiederverwenden oder eine vollständige Mandantenisolierung erzwingen.

Benutzerauthentifizierung

Amazon Cognito stellt eine integrierte, anpassbare Benutzeroberfläche zum An- und Abmelden von Benutzern bereit. Sie können Android-, iOS- und JavaScript-SDKs für Amazon Cognito verwenden, um Ihren Apps Seiten für die An- und Abmeldung von Benutzern hinzuzufügen.

Sie können eine zusätzliche Sicherheitsebene für Ihre Kunden hinzufügen, indem Sie MFA in einem Amazon-Cognito-Benutzerpool aktivieren. Benutzer können ihre Identitäten per SMS oder über einen TOTP-Generator (Time-based One-time Password) wie etwa Google Authenticator bestätigen. Amazon Cognito unterstützt auch die Konfiguration verschiedener Passwortregeln für verschiedene Benutzerpools.

Als Verbund-Hub ermöglicht Amazon Cognito Benutzern die Anmeldung über soziale Identitätsanbieter wie Apple, Facebook, Google und Amazon sowie über Unternehmensidentitätsanbieter über SAML und OIDC. Amazon Cognito ist ein standardbasierter Identitätsanbieter. Sobald Ihre Benutzer bei Amazon Cognito angemeldet sind (über lokale Authentifizierung oder externe Föderation), können sie OAuth/OIDC für den Zugriff auf verbundene Ressourcen verwenden.

Mit Amazon-Cognito-Benutzerpools können Sie einen benutzerdefinierten Authentifizierungsablauf erstellen, der Lambda-Funktionen verwendet, um Benutzer auf der Grundlage eines oder mehrerer Challenge-Response-Zyklen zu authentifizieren. Sie können diesen Ablauf verwenden, um eine kennwortlose Authentifizierung zu implementieren, die auf benutzerdefinierten Herausforderungen basiert, oder benutzerdefinierte Herausforderungen als zusätzliche Faktoren verwenden.

Verwenden Sie Lambda-Trigger, um das Verhalten von Cognito anzupassen, einschließlich Phasen des Benutzerlebenszyklus wie vor und nach der Authentifizierung und Registrierung oder vor der Token-Ausgabe. Sie können Lambda-Trigger auch verwenden, um Nachrichten, die in verschiedenen Phasen an Benutzer gesendet werden, anzupassen oder um E-Mail- und SMS-Services von Drittanbietern zu integrieren.

Zugriffskontrolle

Amazon Cognito sichert die letzte Meile der Integration mit einer Anwendung. Amazon Application Load Balancers (ALBs) und Amazon-API-Gateways verfügen über integrierte Punkte zur Durchsetzung von Richtlinien, die den Zugriff auf der Grundlage von Amazon Cognito-Tokens und -Bereichen ermöglichen.

Der Anmeldeinformations-Broker für Amazon Cognito, auch bekannt als Amazon-Cognito-Identitätspools, bietet Single-Sign-On-Zugriff auf AWS-Ressourcen wie Amazon DynamoDB, Amazon-S3-Buckets, Serverless-Komponenten von AWS Lambda und andere Amazon-Services. Benutzer können dynamisch verschiedenen Rollen zugeordnet werden, um den Zugriff auf einen Service mit der geringsten Berechtigung zu unterstützen.

Mit dem OAuth Client Credential Flow bietet Amazon Cognito eine Machine-to-Machine-Authentifizierung und gewährleistet so ein sicheres Erlebnis zwischen Anwendungskomponenten.

Bereichern Sie Zugriffstoken mit benutzerdefinierten Attributen in Form von OAuth-2.0-Bereichen und -Inanspruchnahmen. Mithilfe benutzerdefinierter Attribute im Zugriffstoken können Sie anwendungsspezifische, erweiterte Autorisierungsentscheidungen treffen. Mit dieser Funktion können Sie auch das Endbenutzererlebnis personalisieren und die Kundenbindung verbessern. 

Kundenerfahrung

Nutzen Sie einen datengesteuerten Ansatz, um Kunden zu gewinnen und zu halten. Starten Sie Kampagnen zur Kundenansprache und verfolgen Sie das Engagement mit Amazon Pinpoint. Amazon Pinpoint liefert Analysen für Amazon-Cognito-basierte Benutzeraktivitäten und Amazon Cognito reichert Benutzerdaten für Pinpoint-Kampagnen an.

AWS Amplify ist eine Sammlung speziell entwickelter Tools und Features, mit denen Frontend-Web- und Mobilentwickler schnell und einfach vollständige Anwendungen auf AWS erstellen können. Dabei haben Sie die Flexibilität, die Breite der AWS-Services zu nutzen, wenn sich Ihre Anwendungsfälle weiterentwickeln. Mit Amplify können Sie App-Backends mit Amazon Cognito konfigurieren und Ihre Anwendung in Minutenschnelle verbinden, statische Web-Apps mit wenigen Klicks bereitstellen und App-Inhalte problemlos außerhalb der AWS-Konsole verwalten. Schnellere Bereitstellung und mühelose Skalierung – ganz ohne Cloud-Kenntnisse.

CIAM-Lösungen sind maßgeschneiderte Lösungen. Amazon Cognito bietet einen robusten Satz von Hooks und Erweiterungen, mit denen Sie die Authentifizierung, die Registrierung und die Migration von Benutzern vollständig anpassen können. So kann beispielsweise die Selbstregistrierung um benutzerdefinierte Identitäts- und Kontoprüfungen erweitert werden, und der Anmeldeprozess kann erweitert werden, um benutzerdefinierte Authentifizierungsabläufe zu erstellen oder ein Token zu ändern, bevor es generiert wird.

Das Amazon Cognito SDK ist verfügbar über Java, C++, PHP, Python, Golang, Ruby, .NET und JavaScript.

Erweiterte Sicherheit

Durch die native Integration mit Amazon Web Application Firewall (AWS WAF) bietet Amazon Cognito erweiterte Features zur Bot-Erkennung, mit denen Sie Ihr Unternehmen davor bewahren können, für automatisierte Konten zu bezahlen.

Amazon Cognito kann die Wiederverwendung kompromittierter Anmeldedaten erkennen und in Echtzeit verhindern, dass sich Benutzer anmelden, einloggen oder ihr Passwort ändern. Wenn Amazon Cognito erkennt, dass die vom Benutzer eingegebenen Anmeldeinformationen an anderer Stelle kompromittiert wurden, wird der Benutzer zum Ändern des Passworts aufgefordert.

Schützen Sie die Konten Ihrer Benutzer und verbessern Sie deren Anmeldeerlebnis mit adaptiver Authentifizierung. Wenn Amazon Cognito ungewöhnliche Anmeldeaktivitäten wie Versuche von neuen Standorten oder Geräten erkennt, wird der Aktivität ein Risikofaktor zugewiesen. Sie können dann entscheiden, ob sich Benutzer zusätzlich verifizieren müssen oder ob Sie die Anmeldeanforderung blockieren.

Prüfung und Compliance

Amazon Cognito erfüllt viele Sicherheits- und Compliance-Vorgaben, auch die für stark reglementierte Unternehmen, wie Gesundheitsunternehmen sowie Händler. Amazon Cognito ist HIPAA-berechtigt und konform mit PCI DSS, SOC und ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 sowie ISO 9001.

Amazon Cognito unterstützt die Überwachung mit AWS CloudTrail, Amazon CloudWatch Metrics und Amazon CloudWatch Logs Insights. Mit CloudTrail können Sie API-Aufrufe von der Amazon-Cognito-Konsole und von Codeaufrufen der Amazon-Cognito-API-Operationen erfassen. Mit CloudWatch-Metriken können Sie Ereignisse nahezu in Echtzeit überwachen, melden und automatische Maßnahmen ergreifen. Mit CloudWatch Logs Insights können Sie CloudTrail so konfigurieren, dass Ereignisse an CloudWatch gesendet werden, um Amazon-Cognito-CloudTrail-Protokolldateien zu überwachen.