本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 Amazon Cognito 使用者
研究與工程 Studio (RES) 可讓您將 Amazon Cognito 設定為原生使用者目錄。這可讓使用者使用 Amazon Cognito 使用者身分登入 Web 入口網站和 Linux 型 VDIs。管理員可以使用 AWS 主控台中的 csv 檔案,將多個使用者匯入使用者集區。如需大量使用者匯入的詳細資訊,請參閱《Amazon Cognito 開發人員指南》中的從 CSV 檔案將使用者匯入使用者集區。RES 支援同時使用 Amazon Cognito 型原生使用者目錄和 SSO。
管理設定
身為 RES 管理員,若要將 RES 環境設定為使用 Amazon Cognito 做為使用者目錄,請在可從環境管理頁面存取的身分管理頁面上切換使用 Amazon Cognito 做為使用者目錄按鈕。若要允許使用者自行註冊,請切換相同頁面上的使用者自行註冊按鈕。
使用者在流程中註冊/登入
如果已啟用使用者自我註冊,您可以為使用者提供 Web 應用程式的 URL。在那裡,使用者會找到顯示還不是使用者的選項? 在這裡註冊。
註冊流程
選擇還不是使用者的使用者? 在此註冊時,系統會要求您輸入其電子郵件和密碼來建立 帳戶。
在註冊流程中,系統會要求使用者輸入電子郵件中收到的驗證碼,以完成註冊程序。
如果停用自我註冊,使用者將不會看到註冊連結。管理員必須在 RES 外部的 Amazon Cognito 中設定使用者。(請參閱《Amazon Cognito 開發人員指南》中的以管理員身分建立使用者帳戶。)
登入頁面選項
如果同時啟用 SSO 和 Amazon Cognito,則會顯示使用組織 SSO 登入的選項。當使用者按一下該選項時,它會將其重新路由至其 SSO 登入頁面。根據預設,如果啟用 Amazon Cognito,使用者將會進行身分驗證。
限制
您的 Amazon Cognito 群組名稱最多可有六個字母;只接受小寫字母。
Amazon Cognito 註冊不允許兩個具有相同使用者名稱但不同網域地址的電子郵件地址。
如果同時啟用 Active Directory 和 Amazon Cognito,且系統偵測到重複的使用者名稱,則僅允許 Active Directory 使用者進行身分驗證。管理員應採取步驟,不設定 Amazon Cognito 與其 Active Directory 之間的重複使用者名稱。
不允許 Cognito 使用者啟動 Windows 型 VDIs因為 RES 不支援 Windows 執行個體的 Amazon Cognito 型身分驗證。
Amazon Cognito 使用者的管理員群組
根據預設,RES 會在admins群組管理員權限中授予 Cognito 使用者。若要將使用者新增至 Cognito admins群組:
導覽至 Amazon Cognito 主控台
,然後選擇用於 RES 的現有使用者集區。 導覽至使用者管理下的群組,然後選擇建立群組。
在建立群組頁面上的群組名稱中,輸入
admins。選取您建立的
admins群組,然後選擇新增使用者至群組以新增 Cognito 使用者。遵循 手動啟動 Cognito 同步同步。
Amazon Cognito 同步成功後,新增至admins群組的使用者會收到管理員權限。
同步
RES 每小時同步其資料庫與來自 Amazon Cognito 的使用者和群組資訊。屬於群組「管理員」的任何使用者都會在其 VDIs 中獲得 sudo 權限。
您也可以從 Lambda 主控台手動啟動同步。
手動啟動同步程序:
-
開啟 Lambda 主控台
。 -
搜尋 Cognito 同步 Lambda。此 Lambda 遵循此命名慣例:
{RES_ENVIRONMENT_NAME}_cognito-sync-lambda -
選取測試。
-
在測試事件區段中,選擇右上角的測試按鈕。事件內文格式並不重要。
Cognito 的安全考量
在 2024.12 版本之前,預設會啟用使用者活動記錄,這是 Amazon Cognito Plus 計劃功能的一部分。我們從基準部署中移除此項目,為想要嘗試 RES 的客戶節省成本。您可以視需要重新啟用此功能,以符合組織的雲端安全設定。
