Comment utiliser l'interface de ligne de commande AWS pour réinitialiser les mots de passe utilisateur dans Amazon Cognito ?

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre les erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI. Dans les commandes suivantes, remplacez VALID-ACCESS-TOKEN, USER-POOL-ID, CLIENT-ID, USERNAME, CONFIRMATION-CODE, NEW-PASSWORD et PREVIOUS-PASSWORD par vos valeurs.

Modifier le mot de passe en tant qu'utilisateur

Remarque : Pour exécuter la commande change-password, l'utilisateur doit disposer d'un jeton d'accès connecté. Le jeton d'accès doit inclure la portée aws.cognito.signin.user.admin.

Pour modifier le mot de passe en tant qu'utilisateur, exécutez la commande change-password suivante :

aws cognito-idp change-password --previous-password PREVIOUS-PASSWORD --proposed-password NEW-PASSWORD --access-token VALID-ACCESS-TOKEN

Réinitialiser le mot de passe d'un utilisateur en tant qu'administrateur

Pour qu'un administrateur puisse réinitialiser le mot de passe d'un utilisateur, celui-ci doit disposer d'une adresse e-mail ou d'un numéro de téléphone vérifié dans le groupe d'utilisateurs. Lorsque l'administrateur exécute la commande admin-reset-user-password, Amazon Cognito envoie automatiquement un code de confirmation à la méthode de contact vérifiée de l'utilisateur.

En tant qu'administrateur, exécutez la commande admin-reset-user-password suivante pour réinitialiser le mot de passe de l'utilisateur :

aws cognito-idp admin-reset-user-password --user-pool-id USER-POOL-ID --username USERNAME

Remarque : Lorsque l'utilisateur essaie de se connecter après que l'administrateur a réinitialisé son mot de passe, il reçoit l'erreur « PasswordResetRequiredException ». Amazon Cognito redirige ensuite l'utilisateur vers le flux de mots de passe oubliés.

Une fois que l'administrateur a exécuté la commande admin-reset-user-password, l'utilisateur exécute la commande confirm-forgot-password suivante pour définir un nouveau mot de passe :

aws cognito-idp confirm-forgot-password --client-id CLIENT-ID --username USERNAME --confirmation-code CONFIRMATION-CODE --password NEW-PASSWORD

Si l'utilisateur ne dispose pas d'adresse e-mail ou de numéro de téléphone vérifiés, l'administrateur reçoit l’erreur « An error occurred (InvalidParameterException) when calling the AdminResetUserPassword operation: Cannot reset password for the user as there is no registered/verified email or phone_number ».

Pour résoudre ce problème, l'administrateur exécute la commande admin-update-user-attributes suivante pour vérifier les informations de contact de l'utilisateur et définir les attributs email_verified ou phone_number_verified sur true :

aws cognito-idp admin-update-user-attributes --user-pool-id USER-POOL-ID --username USERNAME --user-attributes Name="email_verified",Value="true"

Une fois que l'administrateur a vérifié les informations de contact de l'utilisateur, il peut exécuter à nouveau la commande admin-reset-user-password. Une fois que l'utilisateur a reçu le code de confirmation, il peut exécuter la commande confirm-forgot-password pour définir le nouveau mot de passe.

Si l'utilisateur ne reçoit toujours pas le code de confirmation, consultez la section Pourquoi Amazon Cognito n'envoie-t-il pas le code de vérification par e-mail ou par SMS avec l'appel d'API ForgotPassword ?

Définir un mot de passe permanent ou temporaire en tant qu'administrateur

Pour définir un mot de passe permanent pour l'utilisateur, l'administrateur exécute la commande admin-set-user-password suivante :

aws cognito-idp admin-set-user-password --user-pool-id USER-POOL-ID --username USERNAME --password NEW-PASSWORD --permanent

L'utilisateur peut ensuite se connecter avec le nouveau mot de passe permanent.

Pour définir un mot de passe temporaire pour l'utilisateur, l'administrateur exécute la commande admin-set-user-password suivante :

aws cognito-idp admin-set-user-password --user-pool-id USER-POOL-ID --username USERNAME --password TEMPORARY-NEW-PASSWORD --no-permanent

Une fois que l'administrateur a défini un mot de passe temporaire, le statut de l'utilisateur passe à FORCE_CHANGE_PASSWORD. Une fois que l'utilisateur s'est connecté avec le mot de passe temporaire, il reçoit un défi NEW_PASSWORD_REQUIRED.

Remarque : La durée du jeton de session pour relever le défi du mot de passe est valide pendant 3 minutes. Vous pouvez modifier la durée dans le paramètre de durée du flux d'authentification de votre client d'application.

L'utilisateur exécute ensuite la commande respond-to-auth-challenge suivante pour définir un nouveau mot de passe :

aws cognito-idp respond-to-auth-challenge --client-id CLIENT-ID --challenge-name NEW_PASSWORD_REQUIRED --challenge-responses USERNAME=example_username,NEW_PASSWORD="example_new_password" --session "example_session_token"

Important : Si vous avez configuré le client de votre application avec un secret client, l'utilisateur doit inclure le paramètre de hachage secret dans la commande respond-to-auth-challenge pour accéder au groupe d'utilisateurs. Si l'utilisateur reçoit le message d'erreur « Unable to verify secret hash for client », consultez la section Comment résoudre les erreurs « Unable to verify secret hash for client » provenant de l'API de mes groupes d'utilisateurs Amazon Cognito ?