翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Cognito ユーザーのセットアップ
Research and Engineering Studio (RES) では、Amazon Cognito をネイティブユーザーディレクトリとして設定できます。これにより、ユーザーは Amazon Cognito ユーザー ID を使用してウェブポータルと Linux ベースの VDIs にログインできます。管理者は、 AWS コンソールの csv ファイルを使用して、複数のユーザーをユーザープールにインポートできます。一括ユーザーインポートの詳細については、*Amazon Cognito デベロッパーガイド*[」の「CSV ファイルからユーザープールにユーザーをインポートする](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-using-import-tool.html)」を参照してください。RES は、Amazon Cognito ベースのネイティブユーザーディレクトリと SSO を一緒に使用することをサポートしています。
## 管理の設定
RES 管理者として、Amazon Cognito をユーザーディレクトリとして使用するように RES 環境を設定するには、**環境**管理ページからアクセスできる **ID 管理**ページの ** Amazon Cognito をユーザーディレクトリとして使用する**ボタンに切り替えます。ユーザーが自己登録できるようにするには、同じページの**ユーザー自己登録**ボタンを切り替えます。
![\[シークレットディレクトリ設定を示す ID 管理ページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/id-management-cognito-directory.png)
## ユーザーサインアップ/サインインフロー
**ユーザー自己登録**が有効になっている場合は、ウェブアプリケーションの URL をユーザーに付与できます。そこには、まだユーザーではないという**オプションがあります。ここでサインアップします**。
![\[自己登録オプション付きのユーザーサインインページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/user-sign-up.png)
## サインアップフロー
**まだユーザーではないを選択するユーザー ここでサインアップ**すると、E メールとパスワードを入力してアカウントを作成するように求められます。
![\[ユーザーの自己登録用のアカウントページを作成する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/create-account.png)
サインアップフローの一環として、ユーザーは E メールに受信した検証コードを入力してサインアッププロセスを完了するよう求められます。
![\[検証コードエントリページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/verify-email.png)
セルフサインアップが無効になっている場合、ユーザーにはサインアップリンクが表示されません。管理者は、RES の外部で Amazon Cognito のユーザーを設定する必要があります。(*Amazon Cognito * [デベロッパーガイド」の「管理者としてのユーザーアカウント](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-create-user-accounts.html)の作成」を参照してください)。
![\[検証コードエントリページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/user-sign-in.png)
## ログインページオプション
SSO と Amazon Cognito の両方が有効になっている場合、**組織 SSO でサインイン**するオプションが表示されます。ユーザーがそのオプションをクリックすると、SSO ログインページに再ルーティングされます。デフォルトでは、有効になっている場合、ユーザーは Amazon Cognito で認証されます。
![\[サインアップ、アカウントの確認、または組織 SSO でのサインインのオプションを含むユーザーサインインページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/org-sso-sign-in.png)
## 制約
+ Amazon Cognito **グループ名**は最大 6 文字で、小文字のみを使用できます。
+ Amazon Cognito サインアップでは、同じユーザー名で異なるドメインアドレスを持つ 2 つの E メールアドレスは許可されません。
+ Active Directory と Amazon Cognito の両方が有効になっていて、システムが重複するユーザー名を検出した場合、Active Directory ユーザーのみが認証を許可されます。管理者は、Amazon Cognito と Active Directory の間に重複するユーザー名を設定しない手順を実行する必要があります。
+ RES は Windows インスタンスの Amazon Cognito ベースの認証をサポートしていないため、Cognito ユーザーは Windows ベースの VDIs を起動できません。
## Amazon Cognito ユーザーの管理者グループ
デフォルトでは、RES は`admins`グループ管理者権限内の Cognito ユーザーを許可します。Cognito `admins`グループにユーザーを追加するには:
1. [Amazon Cognito コンソール](https://console.aws.amazon.com/cognito/home)に移動し、RES に使用される既存のユーザープールを選択します。
1. **ユーザー管理**で**グループ**に移動し、**グループの作成を選択します。**
1. **グループの作成**ページで、**グループ名**に と入力します`admins`。
1. 作成した`admins`グループを選択し、**Add user to group** を選択して Cognito ユーザーを追加します。
1. に従って Cognito 同期を手動で開始します[同期](#setting-up-cognito-users-sync)。
Amazon Cognito の同期が成功すると、`admins`グループに追加されたユーザーは管理者権限を受け取ります。
## 同期
RES は、データベースを Amazon Cognito のユーザーおよびグループ情報と 1 時間ごとに同期します。グループ「管理者」に属するユーザーには、VDIs。
Lambda コンソールから手動で同期を開始することもできます。
**同期プロセスを手動で開始します。**
1. [Lambda のコンソール](https://console.aws.amazon.com/lambda)を開きます。
1. Cognito 同期 Lambda を検索します。この Lambda は、 という命名規則に従います`{RES_ENVIRONMENT_NAME}_cognito-sync-lambda`。
1. **テスト** を選択します。
1. **テストイベント**セクションで、右上の**テスト**ボタンを選択します。イベント本文の形式は関係ありません。
## Cognito のセキュリティに関する考慮事項
2024 年 12 月リリース以前は、Amazon Cognito Plus プラン機能の一部である[ユーザーアクティビティのログ](https://docs.aws.amazon.com/cognito/latest/developerguide/feature-plans-features-plus.html)記録がデフォルトで有効になっていました。この機能は、RES を試すお客様のコストを節約するために、ベースラインデプロイから削除されました。この機能は、組織のクラウドセキュリティ設定に合わせて必要に応じて再度有効にすることができます。