Amazon Cognito ユーザーのセットアップ - Research and Engineering Studio
管理の設定ユーザーサインアップ/サインインフローサインアップフローログインページオプション制約Amazon Cognito ユーザーの管理者グループ同期Cognito のセキュリティに関する考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Cognito ユーザーのセットアップ

Research and Engineering Studio (RES) では、Amazon Cognito をネイティブユーザーディレクトリとして設定できます。これにより、ユーザーは Amazon Cognito ユーザー ID を使用してウェブポータルと Linux ベースの VDIs にログインできます。管理者は、 AWS コンソールの csv ファイルを使用して、複数のユーザーをユーザープールにインポートできます。一括ユーザーインポートの詳細については、Amazon Cognito デベロッパーガイド」の「CSV ファイルからユーザープールにユーザーをインポートする」を参照してください。RES は、Amazon Cognito ベースのネイティブユーザーディレクトリと SSO を一緒に使用することをサポートしています。

管理の設定

RES 管理者として、Amazon Cognito をユーザーディレクトリとして使用するように RES 環境を設定するには、環境管理ページからアクセスできる ID 管理ページの Amazon Cognito をユーザーディレクトリとして使用するボタンに切り替えます。ユーザーが自己登録できるようにするには、同じページのユーザー自己登録ボタンを切り替えます。

シークレットディレクトリ設定を示す ID 管理ページ

ユーザーサインアップ/サインインフロー

ユーザー自己登録が有効になっている場合は、ウェブアプリケーションの URL をユーザーに付与できます。そこには、まだユーザーではないというオプションがあります。ここでサインアップします

自己登録オプション付きのユーザーサインインページ

サインアップフロー

まだユーザーではないを選択するユーザー ここでサインアップすると、E メールとパスワードを入力してアカウントを作成するように求められます。

ユーザーの自己登録用のアカウントページを作成する

サインアップフローの一環として、ユーザーは E メールに受信した検証コードを入力してサインアッププロセスを完了するよう求められます。

検証コードエントリページ

セルフサインアップが無効になっている場合、ユーザーにはサインアップリンクが表示されません。管理者は、RES の外部で Amazon Cognito のユーザーを設定する必要があります。(Amazon Cognito デベロッパーガイド」の「管理者としてのユーザーアカウントの作成」を参照してください)。

検証コードエントリページ

ログインページオプション

SSO と Amazon Cognito の両方が有効になっている場合、組織 SSO でサインインするオプションが表示されます。ユーザーがそのオプションをクリックすると、SSO ログインページに再ルーティングされます。デフォルトでは、有効になっている場合、ユーザーは Amazon Cognito で認証されます。

サインアップ、アカウントの確認、または組織 SSO でのサインインのオプションを含むユーザーサインインページ

制約

  • Amazon Cognito グループ名は最大 6 文字で、小文字のみを使用できます。

  • Amazon Cognito サインアップでは、同じユーザー名で異なるドメインアドレスを持つ 2 つの E メールアドレスは許可されません。

  • Active Directory と Amazon Cognito の両方が有効で、システムが重複したユーザー名を検出した場合、Active Directory ユーザーのみが認証を許可されます。管理者は、Amazon Cognito と Active Directory の間で重複するユーザー名を設定しないように手順を実行する必要があります。

  • RES は Windows インスタンスの Amazon Cognito ベースの認証をサポートしていないため、Cognito ユーザーは Windows ベースの VDIs を起動できません。

Amazon Cognito ユーザーの管理者グループ

デフォルトでは、RES はadminsグループ管理者権限を Cognito ユーザーに付与します。Cognito adminsグループにユーザーを追加するには:

  1. Amazon Cognito コンソールに移動し、RES に使用される既存のユーザープールを選択します。

  2. ユーザー管理グループに移動し、グループの作成を選択します。

  3. 「グループの作成」ページの「グループ名」に「」と入力しますadmins

  4. 作成したadminsグループを選択し、Add user to group を選択して Cognito ユーザーを追加します。

  5. に従って Cognito 同期を手動で開始します同期

Amazon Cognito の同期が成功すると、adminsグループに追加されたユーザーは管理者権限を受け取ります。

同期

RES は、データベースを Amazon Cognito のユーザーおよびグループ情報と 1 時間ごとに同期します。グループ「adminsVDIs で sudo 権限が付与されます。

Lambda コンソールから手動で同期を開始することもできます。

同期プロセスを手動で開始します。

  1. Lambdaのコンソールを開きます。

  2. Cognito 同期 Lambda を検索します。この Lambda は、 という命名規則に従います{RES_ENVIRONMENT_NAME}_cognito-sync-lambda

  3. テスト を選択します。

  4. テストイベントセクションで、右上のテストボタンを選択します。イベント本文の形式は関係ありません。

Cognito のセキュリティに関する考慮事項

2024.12 リリース以前は、Amazon Cognito Plus プラン機能の一部であるユーザーアクティビティのログ記録がデフォルトで有効になっていました。これをベースラインデプロイから削除して、RES を試したいお客様のコストを削減しました。この機能は、組織のクラウドセキュリティ設定に合わせて必要に応じて再度有効にすることができます。