本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置亚马逊 Cognito 用户
研究与工程工作室 (RES) 允许您将 Amazon Cognito 设置为本机用户目录。这允许用户使用 Amazon Cognito 用户身份登录门户网站和基于 Linux VDIs 的门户。管理员可以使用 AWS 控制台中的 csv 文件将多个用户导入用户池。有关批量用户导入的更多详情,请参阅 Amazon Cognito 开发者指南中的从 CSV 文件将用户导入用户池。RES 支持同时使用基于 Amazon Cognito 的本地用户目录和 SSO。
管理设置
作为 RES 管理员,要将 RES 环境配置为使用 Amazon Cognito 作为用户目录,请在身份管理页面上切换使用 Amazon Cognito 作为用户目录按钮,该页面可从 “环境管理” 页面访问。要允许用户自行注册,请在同一页面上切换用户自助注册按钮。
用户 up/sign 登录流程
如果启用了用户自助注册,则可以向用户提供您的 Web 应用程序的 URL。在那里,用户会找到一个选项,上面写着 “还不是用户?” 在这里注册。
注册流程
选择 “还不是用户” 的用户? 在此处注册将被要求输入他们的电子邮件和密码以创建帐户。
作为注册流程的一部分,系统将要求用户输入电子邮件中收到的验证码以完成注册过程。
如果禁用了自助注册,则用户将看不到注册链接。管理员必须在 RES 之外的 Amazon Cognito 中配置用户。(请参阅 Amazon Cognito 开发者指南中的以管理员身份创建用户账户。)
登录页面选项
如果同时启用 SSO 和 Amazon Cognito,则会出现一个使用组织 SSO 登录的选项。当用户单击该选项时,它会将他们重新定向到其 SSO 登录页面。默认情况下,如果启用 Amazon Cognito,则用户将使用 Amazon Cognito 进行身份验证。
约束
您的 Amazon Cognito 群组名称最多可以包含六个字母;只接受小写字母。
Amazon Cognito 注册不允许使用两个用户名相同但域名不同的电子邮件地址。
如果同时启用 Active Directory 和 Amazon Cognito,并且系统检测到用户名重复,则只允许活动目录用户进行身份验证。管理员应采取措施避免在 Amazon Cognito 及其活动目录之间配置重复的用户名。
由于 RES 不支持基于 Amazon Cognito 的 Windows 实例进行基于亚马逊 Cognito 的身份验证, VDIs 因此不允许 Cognito 用户启动基于 Windows 的身份验证。
Amazon Cognito 用户的管理员群组
默认情况下,RES 授予admins组内的 Cognito 用户管理员权限。要将用户添加到 Cognito admins 群组,请执行以下操作:
导航到 Amazon Cognito 控制台
,然后选择用于 RES 的现有用户池。 导航到 “用户管理” 下的 “群组”,然后选择 “创建群组”。
在创建群组页面的群组名称中,输入
admins。选择您创建的
admins群组,然后选择将用户添加到群组以添加 Cognito 用户。按照以下步骤手动启动 Cognito 同步。同步
成功同步 Amazon Cognito 后,添加到admins群组的用户将获得管理员权限。
同步
RES 每小时都会将其数据库与 Amazon Cognito 中的用户和群组信息同步。任何属于 “管理员” 组的用户都将获得其中的sudo权限。 VDIs
您也可以从 Lambda 控制台手动启动同步。
手动启动同步过程:
-
打开 Lambda 控制台
。 -
搜索 Cognito 同步 Lambda。此 Lambda 遵循以下命名约定:.
{RES_ENVIRONMENT_NAME}_cognito-sync-lambda -
选择 “测试”。
-
在测试事件部分中,选择右上角的测试按钮。事件正文格式无关紧要。
Cognito 的安全注意事项
在 2024.12 版本之前,默认启用了作为 Amazon Cognito Plus 计划功能一部分的用户活动记录。我们将其从基准部署中删除,以便为想要试用 RES 的客户节省成本。您可以根据需要重新启用此功能,以与贵组织的云安全设置保持一致。
