Fitur Amazon Cognito

Apa itu Amazon Cognito?

Amazon Cognito memungkinkan Anda menambahkan fungsi pendaftaran, masuk, kontrol akses, akses layanan AWS pengguna yang diperantarai ke aplikasi web dan seluler Anda dalam hitungan menit. Amazon Cognito adalah layanan yang berpusat pada developer dan hemat biaya, yang menyediakan penyimpanan identitas berbasis penghuni yang aman dan opsi federasi yang dapat ditingkatkan hingga jutaan pengguna. Amazon Cognito membantu Anda menciptakan pengalaman pelanggan bermerek, meningkatkan keamanan, dan menyesuaikan dengan kebutuhan pelanggan Anda. Misalnya, Amazon Cognito mendukung akses masuk dengan penyedia identitas sosial dan akses masuk tanpa kata sandi menggunakan kunci sandi WebAuthn atau kata sandi satu kali pakai untuk SMS dan email. Amazon Cognito mendukung berbagai standar kepatuhan, beroperasi pada standar identitas terbuka, dan terintegrasi dengan katalog sumber daya pengembangan serta pustaka SDK yang lengkap.

Autentikasi Pengguna

Developer dapat menggunakan editor visual tanpa kode untuk menyesuaikan tampilan layar pengguna akhir (seperti pendaftaran, masuk, dan MFA). Parameter konfigurasi meliputi warna, posisi, penyelarasan, teks, bahasa, latar belakang, gambar, logo, fon, dan tata letak. Dengan opsi konfigurasi ini, gaya merek konsumen dapat disesuaikan secara tepat, dan pengalaman pengguna yang disediakan oleh Cognito dapat lebih konsisten dan kohesif dengan aplikasi lainnya.

Pelanggan dapat mengonfigurasi Amazon Cognito untuk memungkinkan pengguna akhir mengakses aplikasi tanpa perlu mengingat kata sandi, mengurangi hambatan, meningkatkan keamanan, dan meningkatkan konversi pengguna. Alur autentikasi tanpa kata sandi yang didukung meliputi akses masuk dengan email, masuk dengan telepon/SMS, dan masuk dengan kunci sandi. Fleksibilitas ini meningkatkan pengalaman pengguna dan menyederhanakan proses masuk.

Kunci sandi WebAuthn memberikan keamanan yang ditingkatkan dengan menghilangkan kebutuhan akan kata sandi sehingga mengurangi risiko phishing dan pencurian kredensial. Kunci sandi tersebut menawarkan pengalaman pengguna tanpa hambatan dengan metode autentikasi yang lebih cepat dan lebih nyaman, seperti biometrik atau token perangkat keras. Selain itu, kunci sandi meningkatkan keamanan akun secara keseluruhan dengan memanfaatkan kriptografi kunci publik, yang memastikan bahwa informasi sensitif tidak akan dikirim atau disimpan di server. Amazon Cognito memberikan dukungan [Masuk Terkelola] dan API untuk membuat dan menyimpan hingga 20 kunci sandi per akun.

Anda dapat menambahkan lapisan keamanan tambahan untuk pelanggan dengan mengaktifkan MFA untuk akun pengguna. Pengguna dapat memverifikasi identitas mereka menggunakan email, SMS, atau generator Kata Sandi Sekali Pakai Berbasis Waktu (TOTP), seperti Google Authenticator. Amazon Cognito juga mendukung konfigurasi aneka peraturan kata sandi pada berbagai pul pengguna.

Amazon Cognito merupakan hub federasi sehingga pengguna dapat masuk melalui berbagai penyedia identitas sosial, seperti Apple, Facebook, Google, Amazon, dan penyedia identitas perusahaan melalui SAML dan OIDC. Amazon Cognito mendukung berbagai profil SAML, termasuk alur yang diprakarsai SP SAML, alur yang diprakarsai IdP, dan enkripsi SAML). Pengguna yang sudah masuk ke Amazon Cognito (melalui autentikasi lokal atau federasi eksternal) dapat menggunakan OAuth/OIDC untuk mengakses sumber daya gabungan.

Amazon Cognito memungkinkan Anda membuat alur autentikasi khusus yang menggunakan fungsi AWS Lambda untuk mengautentikasi pengguna berdasarkan satu atau beberapa siklus respons tantangan. Anda dapat menggunakan alur ini untuk menerapkan skema autentikasi yang dipesan lebih dahulu yang didasarkan pada tantangan khusus atau menggunakan tantangan khusus sebagai faktor tambahan.

Gunakan pemicu AWS Lambda untuk menyesuaikan perilaku Cognito, termasuk tahapan siklus hidup pengguna, seperti sebelum dan sesudah autentikasi dan pendaftaran atau sebelum penerbitan token. Anda juga dapat menggunakan pemicu Lambda untuk menyesuaikan pesan yang dikirim ke pengguna dalam berbagai tahap atau mengintegrasikan dengan penyedia email dan SMS pihak ketiga.

Manajemen Identitas

Proses pendaftaran mandiri sering menjadi pengalaman pertama pelanggan dengan situs Anda. Amazon Cognito menyediakan antarmuka masuk yang dapat disesuaikan, yang sudah dipaketkan sebelumnya, dan terkelola untuk masuk ke pasar dengan cepat, serta set API yang tangguh untuk membangun solusi pendaftaran mandiri yang sepenuhnya disesuaikan. Pengguna dapat mendaftar dengan email, nomor telepon, atau nama pengguna untuk aplikasi Anda. Proses pendaftaran mandiri memungkinkan pengguna untuk melihat dan memperbarui data profil, termasuk atribut khusus. Kurangi panggilan telepon untuk tim bantuan dengan opsi layanan mandiri, seperti pengaturan ulang kata sandi dengan pesan SMS atau email.

Amazon Cognito menyediakan penyimpanan identitas berbasis penghuni (kumpulan pengguna) yang aman dan berskala hingga jutaan pengguna. Pul pengguna menyimpan data profil pengguna dengan aman untuk pengguna yang mendaftar secara langsung dan pengguna gabungan yang masuk dengan penyedia identitas eksternal.

Penyimpanan identitas Amazon Cognito adalah repositori pengguna berbasis API. Repositori dan API itu dapat menyimpan 50 atribut tersuai per pengguna, menyimpan berbagai jenis data, dan menerapkan batasan panjang dan permutasi. Pilih atribut yang diperlukan dan harus disediakan oleh pengguna sebelum menyelesaikan proses pendaftaran.

Pengguna dapat bermigrasi ke Amazon Cognito dengan migrasi just-in-time (JIT) atau impor massal. Migrasi pengguna secara massal dijalankan dengan proses pengimporan file CSV. Menggunakan proses migrasi JIT, pemicu AWS Lambda mengintegrasikan proses migrasi ke alur kerja masuk dan dapat menyimpan kata sandi pengguna.

Amazon Cognito memfasilitasi interaksi B2B dengan dukungan multipenyewa. Anda dapat memilih untuk menggunakan kembali integrasi aplikasi, kebijakan akses dan kata sandi, atau menerapkan isolasi penyewa sepenuhnya.

Kontrol Akses

Amazon Cognito mengamankan integrasi last mile dengan aplikasi. AWS AppSync, Penyeimbang Beban Aplikasi (ALB) Amazon, dan gateway Amazon API memiliki titik penerapan kebijakan bawaan yang memberikan akses berdasarkan token dan cakupan Amazon Cognito.

Dengan mulai cepat Izin Terverifikasi Amazon, pelanggan dapat membuat kebijakan izin yang dihasilkan secara otomatis, menetapkan kontrol akses berbasis peran berdasarkan keanggotaan grup Cognito, dan memberlakukan otorisasi terperinci. Izin Terverifikasi Amazon memiliki pemberi otorisasi token bawaan yang mendukung ID Amazon Cognito dan token akses, termasuk konsep token dalam token yang kompleks.

Broker kredensial untuk Amazon Cognito, yang juga dikenal sebagai kolam identitas Amazon Cognito, memberi akses masuk tunggal ke sumber daya AWS, seperti Amazon DynamoDB, bucket Amazon S3, komponen nirserver AWS Lambda, dan layanan Amazon lainnya. Pengguna dapat dialokasikan secara dinamis ke peran yang berbeda untuk mendukung hak akses paling rendah ke suatu layanan.

Dengan Alur Kredensial Klien OAuth, Amazon Cognito memberikan autentikasi mesin ke mesin, yang memastikan pengalaman yang aman di antara komponen aplikasi.

Perkaya token ID dan akses dengan atribut khusus dalam bentuk cakupan dan klaim OAuth 2.0. Anda dapat membuat keputusan otorisasi lanjutan khusus aplikasi menggunakan atribut khusus di token akses. Fitur ini juga memungkinkan Anda untuk mempersonalisasi pengalaman pengguna akhir dan meningkatkan keterlibatan pelanggan.

Pengalaman Pelanggan

Gunakan pendekatan berbasis data untuk mendorong akuisisi dan retensi pelanggan. Luncurkan kampanye penjangkauan pelanggan dan lacak interaksi dengan Amazon Pinpoint. Amazon Pinpoint menyediakan data analisis untuk aktivitas pengguna berbasis Amazon Cognito, sedangkan Amazon Cognito memperkaya data pengguna untuk kampanye Pinpoint.

AWS Amplify adalah seperangkat alat dan fitur yang dibuat khusus agar developer frontend web dan seluler dapat membangun aplikasi full-stack di AWS dengan cepat dan mudah. Beragam layanan AWS dapat dimanfaatkan secara leluasa sesuai dengan perubahan kebutuhan penggunaan. Amplify membuat Anda dapat mengonfigurasi backend aplikasi seluler atau web dengan Amazon Cognito, menghubungkan aplikasi dalam sekejap, membangun UI frontend web secara visual, dan mengelola konten aplikasi dengan mudah di luar konsol AWS. Kirim lebih cepat dan skalakan dengan mudah—tanpa memerlukan keahlian cloud.

Solusi CIAM adalah solusi yang dapat disesuaikan. Amazon Cognito menyediakan seperangkat hook dan ekstensi yang tangguh untuk menyesuaikan aliran autentikasi, pendaftaran, dan migrasi pengguna. Sebagai contoh, alur pendaftaran mandiri dapat ditambah dengan pemeriksaan identitas tersuai dan verifikasi akun. Selain itu, proses masuk dapat diperpanjang untuk membuat alur autentikasi khusus atau memodifikasi token sebelum pembuatan.

Terdapat Amazon Cognito SDK yang menggunakan Java, C++, PHP, Python, Golang, Ruby, .NET, dan JavaScript.

Keamanan Lanjutan

Dengan integrasi bawaan menggunakan AWS Web Application Firewall (AWS WAF), Amazon Cognito menawarkan fitur deteksi bot lanjutan yang dapat membantu menyelamatkan organisasi Anda dari pembayaran akun secara otomatis dan mengurangi dampak serangan bot.

Amazon Cognito dapat mendeteksi dan mencegah penggunaan kembali, secara aktual, kredensial yang dibobol saat pengguna mendaftar, masuk, atau mengubah kata sandi. Ketika Amazon Cognito mendeteksi bahwa pengguna telah memasukkan kredensial yang telah dibobol di tempat lain, pengguna akan diminta untuk mengubah kata sandi.

Lindungi akun pengguna Anda dan tingkatkan pengalaman masuk mereka dengan autentikasi adaptif. Saat Amazon Cognito mendeteksi aktivitas masuk yang tidak biasa, seperti percobaan dari lokasi dan perangkat baru atau kondisi perjalanan yang tidak memungkinkan berdasarkan geolokasi IP, Amazon Cognito akan memberikan skor risiko pada aktivitas tersebut dan memungkinkan Anda memilih untuk meminta prompt pengguna melakukan verifikasi tambahan atau memblokir permintaan masuk.

Audit dan Kepatuhan

Amazon Cognito mendukung pemantauan dengan AWS CloudTrail, Amazon CloudWatch Metrics, dan Wawasan Log Amazon CloudWatch. CloudTrail memungkinkan Anda untuk menangkap panggilan API dari konsol Amazon Cognito dan dari panggilan kode ke operasi Amazon Cognito API. Metrik CloudWatch membuat Anda dapat memantau, melaporkan, dan mengambil tindakan otomatis hampir seketika jika suatu peristiwa terjadi. CloudWatch Logs Insights membuat Anda dapat mengonfigurasi CloudTrail untuk mengirim peristiwa ke CloudWatch guna memantau file log Amazon Cognito CloudTrail.

Amazon Cognito menawarkan pencatatan lanjutan untuk peristiwa pengguna, seperti masuk, pendaftaran, dan perubahan kata sandi, penangkapan data permintaan terperinci, seperti tingkat risiko, lokasi, IP sumber, dan agen pengguna. Pelanggan dapat mengalirkan data log peristiwa ini ke Amazon CloudWatch, Amazon S3, atau solusi agregasi log pihak ketiga melalui Amazon Kinesis Data Firehose. Hal ini memungkinkan pemantauan dan analisis aktivitas pengguna yang komprehensif.

Amazon Cognito membantu Anda memenuhi beberapa persyaratan keamanan dan kepatuhan, termasuk untuk organisasi dengan regulasi ketat, seperti perusahaan dan penyedia perawatan kesehatan. Amazon Cognito memenuhi syarat HIPAA dan sesuai dengan PCI DSS, SOC, dan ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, dan ISO 9001.