ميزات Amazon Cognito

ما هو Amazon Cognito؟

تتيح لك Amazon Cognito إضافة تسجيل المستخدم وتسجيل الدخول والتحكم في الوصول والوصول إلى خدمة AWS بوساطة إلى تطبيقات الويب والهاتف المحمول في غضون دقائق. إنها خدمة تركز على المطور وفعالة من حيث التكلفة وتوفر مخازن هوية آمنة قائمة على المستأجر وخيارات الاتحاد التي يمكن أن تتسع لملايين المستخدمين. تساعدك Amazon Cognito على إنشاء تجارب عملاء ذات علامة تجارية وتحسين الأمان والتكيف مع احتياجات عملائك. على سبيل المثال، يدعم تسجيل الدخول باستخدام موفري الهوية الاجتماعية وتسجيل الدخول بدون كلمة مرور باستخدام مفاتيح مرور WebAuthn أو الرسائل القصيرة والبريد الإلكتروني وكلمات المرور لمرة واحدة. تدعم Amazon Cognito معايير الامتثال المختلفة، وتعمل وفقًا لمعايير الهوية المفتوحة، وتتكامل مع كتالوج شامل لموارد التطوير ومكتبات SDK.

مصادقة المستخدم

يمكن للمطورين استخدام محرر مرئي بدون أكواد لضبط كيفية ظهور شاشات المستخدم النهائي (مثل التسجيل وتسجيل الدخول والمصادقة متعددة العوامل MFA). تتضمن معايير التكوين الألوان وتحديد المواقع والمحاذاة والنص واللغة والخلفيات والصور والشعارات والخطوط والتخطيط، من بين أمور أخرى. من خلال خيارات التكوين هذه، يمكن مطابقة تصميم العلامة التجارية للمستهلك بشكل وثيق، ويمكن أن تكون تجارب المستخدم التي يوفرها Cognito أكثر اتساقًا وتماسكًا مع بقية التطبيق.

يمكن للعملاء تكوين Amazon Cognito للسماح للمستخدمين النهائيين بالوصول إلى التطبيقات دون الحاجة إلى تذكر كلمة المرور وتقليل الاحتكاك وتحسين الأمان وزيادة تحويل المستخدمين. تتضمن تدفقات المصادقة المدعومة بدون كلمة مرور تسجيل الدخول بالبريد الإلكتروني وتسجيل الدخول باستخدام الهاتف/الرسائل القصيرة وتسجيل الدخول باستخدام مفاتيح المرور. تعمل هذه المرونة على تحسين تجربة المستخدم وتبسيط عملية تسجيل الدخول.

توفر مفاتيح مرور WebAuthn أمانًا محسنًا من خلال التخلص من الحاجة إلى كلمات المرور وتقليل مخاطر التصيد الاحتيالي وسرقة بيانات الاعتماد. إنها توفر تجربة مستخدم سلسة مع طرق مصادقة أسرع وأكثر ملاءمة، مثل القياسات الحيوية أو الرموز المميزة للأجهزة. بالإضافة إلى ذلك، تعمل مفاتيح المرور على تحسين أمان الحساب بشكل عام من خلال الاستفادة من تشفير المفتاح العام، مما يضمن عدم نقل المعلومات الحساسة أو تخزينها على الخوادم. يوفر Amazon Cognito كلاً من [تسجيل الدخول المُدار] ودعم واجهة برمجة التطبيقات (API) لإنشاء وتخزين ما يصل إلى 20 مفتاح مرور لكل حساب.

يمكنك إضافة طبقة أمان إضافية لعملائك من خلال تمكين المصادقة متعددة العوامل (MFA) لحسابات المستخدمين. يمكن للمستخدمين إثبات هوياتهم باستخدام البريد الإلكتروني والرسائل القصيرة أو مولد كلمة المرور لمرة واحدة المستندة إلى الوقت (TOTP)، مثل Google Authenticator. تدعم Amazon Cognito أيضًا تكوين قواعد كلمات مرور مختلفة على مجموعات مختلفة من المستخدمين.

وبوصفها مركزًا اتحاديًا، تتيح Amazon Cognito للمستخدمين تسجيل الدخول عبر موفري الهوية الاجتماعية، مثل Apple وFacebook وGoogle وAmazon وموفري هوية المؤسسات عبر SAML وOIDC. تدعم Amazon Cognito مجموعة متنوعة من ملفات تعريف SAML، بما في ذلك التدفقات التي تبدأ من SAML SP، والتدفقات التي بدأها مُزود الهويات (IdP)، وتشفير SAML). بمجرد تسجيل دخول المستخدمين إلى Amazon Cognito (عبر مصادقة محلية أو اتحاد خارجي)، يمكنهم استخدام OAuth/OIDC للوصول إلى الموارد الموحدة.

تتيح لك Amazon Cognito إنشاء تدفقات مصادقة مخصصة تستخدم وظائف AWS Lambda لمصادقة المستخدمين استنادًا إلى دورة واحدة أو أكثر من دورات الاستجابة للتحدي. يمكنك استخدام هذا التدفق لتنفيذ مخططات المصادقة المخصصة التي تستند إلى التحديات المخصصة أو استخدام التحديات المخصصة كعوامل إضافية.

يمكنك استخدام مشغلات AWS Lambda لتخصيص سلوك Cognito، بما في ذلك مراحل دورة حياة المستخدم مثل قبل وبعد المصادقة والتسجيل أو قبل إصدار الرمز. يمكنك أيضًا استخدام مشغلات Lambda لتخصيص الرسائل التي يتم إرسالها إلى المستخدمين في مراحل مختلفة أو للتكامل مع موفري البريد الإلكتروني والرسائل القصيرة من جهات خارجية.

إدارة الهوية

غالبًا ما تكون تجربة العميل الأولى مع موقعك من خلال عملية التسجيل الذاتي. توفر Amazon Cognito كلاً من واجهة تسجيل دخول مُدارة وقابلة للتخصيص ومُجهَّزة مُسبقًا للوصول بسرعة إلى السوق ومجموعة قوية من واجهات برمجة التطبيقات (APIs) لبناء حل تسجيل ذاتي مخصص بالكامل. يمكن للمستخدمين التسجيل باستخدام بريد إلكتروني أو رقم هاتف أو اسم مستخدم لتطبيقك. تتيح عملية التسجيل الذاتي للمستخدمين عرض بيانات ملفهم الشخصي وتحديثها، بما في ذلك السمات المخصصة. يمكنك تقليل مكالمات مكتب المساعدة من خلال خيارات الخدمة الذاتية، مثل إعادة تعيين كلمة المرور برسالة نصية قصيرة أو بريد إلكتروني.

توفر Amazon Cognito مخازن هوية آمنة قائمة على المستأجرين (تجمعات المستخدمين) تتسع لملايين المستخدمين. تقوم تجمعات المستخدمين بتخزين بيانات ملف تعريف المستخدم بأمان للمستخدمين الذين يقومون بالتسجيل مباشرة وللمستخدمين الموحّدين الذين يسجلون الدخول باستخدام موفري الهوية الخارجيين.

متجر هوية Amazon Cognito هو مستودع مستخدم قائم على واجهة برمجة التطبيقات. يدعم المستودع وواجهات برمجة التطبيقات تخزين ما يصل إلى 50 سمة مخصصة لكل مستخدم، ودعم أنواع البيانات المختلفة، وفرض قيود الطول وقابلية التغيير. حدد السمات المطلوبة التي يجب أن يقدمها المستخدم قبل إكمال عملية التسجيل.

يمكن للمستخدمين الترحيل إلى Amazon Cognito باستخدام إما استيراد مجمع أو ترحيل في الوقت المناسب (JIT). تستفيد عملية ترحيل المستخدم المجمعة من عملية استيراد ملف بتنسيق CSV. باستخدام عملية ترحيل JIT، يقوم مشغل AWS Lambda بدمج عملية الترحيل في سير عمل تسجيل الدخول ويمكنه الاحتفاظ بكلمات مرور المستخدمين.

تتيح Amazon Cognito تفاعلات بين المؤسسات (B2B) مع دعم متعدد المقيمين. يمكنك اختيار إعادة استخدام تكامل التطبيقات أو سياسات الوصول وكلمة المرور أو فرض عزل كامل للمقيم.

التحكم في الوصول

تحمي Amazon Cognito مرحلة التكامل الأخيرة مع التطبيق. تتضمن موازنات تحميل التطبيقات لدى Amazon ‏(ALBs) وAWS AppSync وبوابات Amazon API نقاطًا مدمجة لإنفاذ السياسات حيث توفر الوصول استنادًا إلى رموز Amazon Cognito ونطاقاتها.

باستخدام البداية السريعة لأذونات Amazon المُصدّقة، يمكن للعملاء إنشاء سياسات الأذونات تلقائيًا، وتعيين التحكم في الوصول المستند إلى الأدوار استنادًا إلى عضويات مجموعة Cognito، وفرض التفويض الدقيق. تحتوي أذونات Amazon المُصدّقة على مُفوض رمزي مدمج يدعم معرف Amazon Cognito ورموز الوصول، بما في ذلك تركيبات الرموز المعقدة في الرمز المميز.

يوفر وسيط الاعتماد الخاص بـ Amazon Cognito، والمعروف أيضًا باسم مجموعات هويات Amazon Cognito، تسجيل الدخول الأحادي للوصول إلى موارد AWS مثل Amazon DynamoDB وحاويات Amazon S3 ومكونات AWS Lambda التي بلا خادم وخدمات Amazon الأخرى. يمكن تعيين المستخدمين ديناميكيًا لأدوار مختلفة لدعم الوصول ذي الامتيازات الأقل إلى الخدمة.

باستخدام تدفق بيانات اعتماد عميل OAuth، توفر Amazon Cognito المصادقة من جهاز إلى جهاز، ما يضمن تجربة آمنة بين مكونات التطبيق.

قم بإثراء رمز الوصول/التعريف الشخصي (ID) بسمات مخصصة في شكل نطاقات ومطالبات OAuth 2.0. يمكنك اتخاذ قرارات تخويل متقدمة خاصة بالتطبيق باستخدام سمات مخصصة في رمز الوصول. تتيح لك هذه الميزة أيضًا تخصيص تجارب المستخدم النهائي وتحسين مشاركة العملاء.

تجربة العملاء

استخدم نهجًا يعتمد على البيانات لزيادة اكتساب العملاء والاحتفاظ بهم. أطلق حملات التواصل مع العملاء وتتبع التفاعل مع Amazon Pinpoint. توفر Amazon Pinpoint تحليلات لأنشطة المستخدم المستندة إلى Amazon Cognito ويثري Amazon Cognito بيانات المستخدم لحملات Pinpoint.

AWS Amplify هي مجموعة من الأدوات والميزات المصممة لغرض معين والتي تسمح لمطوري الويب والأجهزة المحمولة للواجهة الأمامية بإنشاء تطبيقات متكاملة بسرعة وبسهولة على AWS، وتمنحك المرونة الكافية للاستفادة من تنوّع خدمات AWS عند تطور حالات الاستخدام لديك. باستخدام Amplify، يمكنك تكوين واجهة الويب أو تطبيق الأجهزة المحمولة باستخدام Amazon Cognito، وربط تطبيقك خلال دقائق، وإنشاء واجهة مستخدم للواجهة الأمامية للويب بصريًا، وإدارة محتوى التطبيق بسهولة خارج وحدة تحكم AWS. أطلق تطبيقك بسرعة أكبر ووسّع نطاقه بدون عناء - لا حاجة للخبرة السحابية.

حلول إدارة الهوية والوصول للعملاء (CIAM) هي حلول مخصصة. توفر Amazon Cognito مجموعة قوية من الخُطَّافات والإضافات لتخصيص تدفقات المصادقة والتسجيل وترحيل المستخدم بالكامل. على سبيل المثال، يمكن تعزيز تدفق التسجيل الذاتي من خلال تدقيق الهوية المخصص وعمليات التحقق من الحساب ويمكن توسيع عملية تسجيل الدخول لإنشاء تدفقات مصادقة مخصصة أو تعديل رمز قبل إنشائه.

يتوفر Amazon Cognito SDK باستخدام Java، و++C، وPHP، وPython، وGolang، وRuby، و.NET، وJavaScript.

الأمان المتقدم

من خلال التكامل المدمج مع جدار حماية تطبيقات الويب AWS‏ (AWS WAF)، يوفر Amazon Cognito ميزات اكتشاف الروبوتات المتقدمة التي يمكن أن تساعد في إنقاذ مؤسستك من الدفع مقابل الحسابات الآلية وتقليل تأثير هجمات الروبوتات.

يمكن لـ Amazon Cognito اكتشاف إعادة استخدام بيانات الاعتماد المخترقة ومنعها عند قيام المستخدمين بالتسجيل أو تسجيل الدخول أو تغيير كلمة المرور الخاصة بهم في الوقت الفعلي. عندما تكتشف Amazon Cognito إدخال مستخدمين لبيانات اعتماد تم اختراقها في مكان آخر، فإنها تطالبهم بتغيير كلمة المرور الخاصة بهم.

يمكنك حماية حسابات المستخدمين وتحسين تجربة تسجيل الدخول لديهم باستخدام المصادقة التكيفية. عندما يكتشف Amazon Cognito نشاطًا غير عادي لتسجيل الدخول، مثل المحاولات من مواقع وأجهزة جديدة أو ظروف سفر مستحيلة استنادًا إلى الموقع الجغرافي لبروتوكول الإنترنت، فإنه يعين درجة مخاطر للنشاط ويتيح لك اختيار إما مطالبة المستخدمين بالتحقق الإضافي أو حظر طلب تسجيل الدخول.

التدقيق والامتثال

يدعم Amazon Cognito المراقبة باستخدام AWS CloudTrail ومقاييس Amazon CloudWatch ورؤى سجلات Amazon CloudWatch. باستخدام CloudTrail، يمكنك التقاط مكالمات واجهة برمجة التطبيقات (API) من وحدة تحكم Amazon Cognito ومن المكالمات البرمجية إلى عمليات Amazon Cognito API. باستخدام مقاييس CloudWatch، يمكنك المراقبة والإبلاغ واتخاذ الإجراءات التلقائية في حالة وقوع حدث في الوقت الفعلي تقريبًا. باستخدام رؤى سجلات CloudWatch، يمكنك تكوين CloudTrail لإرسال الأحداث إلى CloudWatch لمراقبة ملفات سجل Amazon Cognito CloudTrail.

توفر Amazon Cognito تسجيلًا متقدمًا لأحداث المستخدم مثل تسجيل الدخول والاشتراك وتغييرات كلمة المرور وتسجيل بيانات الطلب التفصيلية مثل مستوى المخاطر والموقع وعنوان IP المصدر ووكيل المستخدم. يمكن للعملاء بث بيانات سجل الأحداث هذه إلى Amazon CloudWatch أو Amazon S3 أو حلول تجميع السجلات التابعة لجهات خارجية عبر Amazon Kinesis Data Firehose. يتيح ذلك المراقبة والتحليل الشاملين لنشاط المستخدم.

يتوافق Amazon Cognito مع العديد من متطلبات الأمان والامتثال، بما في ذلك المتطلبات الخاصة بالمؤسسات عالية التنظيم مثل شركات الرعاية الصحية والتجار. إن Amazon Cognito مؤهل وفقًا لقانون HIPAA ومتوافق مع PCI DSS، وSOC، وISO/IEC 27001، وISO/IEC 27017 وISO/IEC 27018، وISO 9001.