本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定受管登入的身分驗證方法
<a name="authentication-flows-selection-managedlogin"></a>

當您想要使用者登入、登出或重設密碼時，您可以叫用[受管登入頁面](cognito-user-pools-managed-login.md)，也就是用於使用者集區身分驗證的 Web 前端。在此模型中，您的應用程式會匯入 OIDC 程式庫，以使用使用者集區受管登入頁面處理瀏覽器型身分驗證嘗試。使用者可用的身分驗證形式取決於使用者集區和應用程式用戶端的組態。在您的應用程式用戶端中實作`ALLOW_USER_AUTH`流程，Amazon Cognito 會提示使用者從可用的選項中選取登入方法。實作`ALLOW_USER_PASSWORD_AUTH`並指派 SAML 供應商，您的登入頁面會提示使用者輸入使用者名稱和密碼，或與其 IdP 連線。

Amazon Cognito 使用者集區主控台可協助您開始設定應用程式的受管登入身分驗證。當您建立新的使用者集區時，請指定您要開發的平台，主控台會提供範例，讓您實作具有入門程式碼的 OIDC 和 OAuth 程式庫，以實作登入和登出流程。您可以使用許多 OIDC 依賴方實作來建置受管登入。我們建議您盡可能使用[經認證的 OIDC 依賴方程式庫](https://openid.net/developers/certified-openid-connect-implementations/)。如需詳細資訊，請參閱[使用者集區入門](getting-started-user-pools.md)。

一般而言，OIDC 依賴方程式庫會定期檢查使用者集區的`.well-known/openid-configuration`端點，以判斷發行者 URLs例如字符端點和授權端點。最佳實務是，在您可以選擇的地方實作此自動探索行為。手動設定發行者端點可能會導致錯誤。例如，您可以變更使用者集區網域。的路徑`openid-configuration`不會連結至您的使用者集區網域，因此自動探索服務端點的應用程式會自動取得您的網域變更。

## 受管登入的使用者集區設定
<a name="authentication-flows-selection-managedlogin-settings"></a>

您可能想要允許使用應用程式的多個供應商登入，或者您可能想要使用 Amazon Cognito 做為獨立的使用者目錄。您也可以收集使用者屬性、設定和提示 MFA，或要求電子郵件地址做為使用者名稱。您無法直接編輯受管登入和託管 UI 中的欄位。反之，使用者集區的組態會自動設定受管登入身分驗證流程的處理。

下列使用者集區組態項目會決定 Amazon Cognito 在受管登入和託管 UI 中呈現給使用者的身分驗證方法。

------
#### [ User pool options (Sign-in menu) ]

下列選項位於 Amazon Cognito 主控台中使用者集區的**登入**選單中。

**Cognito 使用者集區登入選項**  
有使用者名稱的選項。您的受管登入和託管 UI 頁面僅接受您所選取格式的使用者名稱。例如，當您使用**電子郵件**作為唯一登入選項設定使用者集區時，您的受管登入頁面只會接受電子郵件格式的使用者名稱。

**必要屬性**  
當您在使用者集區中視需要設定屬性時，受管登入會在使用者註冊時提示使用者該屬性的值。

**選擇型的登入選項**  
在 中具有身分驗證方法的設定[選擇型身分驗證](authentication-flows-selection-sdk.md#authentication-flows-selection-choice)。在這裡，您可以開啟或關閉身分驗證方法，例如[通行金鑰](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passkey)和[無密碼](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passwordless)。這些方法僅適用於具有 **Lite** 層以上[受管登入網域](managed-login-branding.md)和[功能計劃](cognito-sign-in-feature-plans.md)的使用者集區。

**多重要素驗證**  
受管登入和託管 UI 會處理 [MFA](user-pool-settings-mfa.md) 的註冊和身分驗證操作。當您的使用者集區需要 MFA 時，您的登入頁面會自動提示使用者設定其額外因素。他們也會提示具有 MFA 組態的使用者使用 MFA 程式碼完成身分驗證。當您的使用者集區中的 MFA 關閉或選用時，您的登入頁面不會提示設定 MFA。

**使用者帳戶復原**  
使用者集區的自助式[帳戶復原]()設定會決定您的登入頁面是否顯示使用者可重設密碼的連結。

------
#### [ User pool options (Domain menu) ]

下列選項位於 Amazon Cognito 主控台中使用者集區的**網域**選單中。

**網域**  
您選擇的使用者集區網域會設定使用者在叫用其瀏覽器進行身分驗證時所開啟連結的路徑。

**品牌版本**  
您選擇的品牌版本會決定您的使用者集區網域是否顯示受管登入或託管 UI。

------
#### [ User pool options (Social and external providers menu) ]

下列選項位於 Amazon Cognito 主控台中使用者集區的**社交和外部提供者**選單中。

**供應商**  
您新增至使用者集區的身分提供者 (IdPs) 可為使用者集區中的每個應用程式用戶端保持作用中或非作用中狀態。

------
#### [ App client options ]

下列選項位於 Amazon Cognito 主控台中使用者集區的**應用程式用戶端**選單中。若要檢閱這些選項，請從清單中選擇應用程式用戶端。

**快速設定指南**  
快速設定指南具有適用於各種開發人員環境的程式碼範例。它們包含將受管登入身分驗證與您的應用程式整合所需的程式庫。

**應用程式用戶端資訊**  
編輯此組態，為目前應用程式用戶端表示的應用程式設定指派的 IdPs。在受管登入頁面上，Amazon Cognito 會顯示使用者的選擇。這些選擇取決於指派的方法和 IdP。例如，如果您指派名為 `MySAML`和本機使用者集區登入的 SAML 2.0 IdP，您的受管登入頁面會顯示身分驗證方法提示和 的按鈕`MySAML`。

**身分驗證設定**  
編輯此組態，為您的應用程式設定身分驗證方法。在受管登入頁面上，Amazon Cognito 會顯示使用者的選擇。這些選擇取決於使用者集區做為 IdP 的可用性，以及您指派的方法。例如，如果您指派以選擇為基礎的`ALLOW_USER_AUTH`身分驗證，您的受管登入頁面會顯示可用的選項，例如輸入電子郵件地址並使用通行金鑰登入。受管登入頁面也會轉譯所指派 IdPs按鈕。

**登入頁面**  
使用此索引標籤中可用的選項，設定受管登入或託管 UI 使用者互動頁面的視覺化效果。如需詳細資訊，請參閱[將品牌套用到受管登入頁面](managed-login-branding.md)。

------