本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 Amazon Cognito 使用者
<a name="setting-up-cognito-users"></a>

研究與工程 Studio (RES) 可讓您將 Amazon Cognito 設定為原生使用者目錄。這可讓使用者使用 Amazon Cognito 使用者身分登入 Web 入口網站和 Linux 型 VDIs。管理員可以使用 AWS 主控台中的 csv 檔案，將多個使用者匯入使用者集區。如需大量使用者匯入的詳細資訊，請參閱《*Amazon Cognito 開發人員指南*》中的[從 CSV 檔案將使用者匯入使用者集](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-using-import-tool.html)區。RES 支援同時使用 Amazon Cognito 型原生使用者目錄和 SSO。

## 管理設定
<a name="setting-up-cognito-users-admin"></a>

身為 RES 管理員，若要將 RES 環境設定為使用 Amazon Cognito 做為使用者目錄，請在可從**環境管理**頁面存取的**身分管理**頁面上切換**使用 Amazon Cognito 做為使用者目錄**按鈕。若要允許使用者自行註冊，請切換相同頁面上**的使用者自行註冊**按鈕。

![\[顯示 cognito 目錄設定的身分管理頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/id-management-cognito-directory.png)


## 使用者在流程中註冊/登入
<a name="setting-up-cognito-users-user-signin"></a>

如果已啟用**使用者自我註冊**，您可以為使用者提供 Web 應用程式的 URL。在那裡，使用者會找到顯示**還不是使用者的選項？ 在此註冊**。

![\[具有自我註冊選項的使用者登入頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/user-sign-up.png)


## 註冊流程
<a name="setting-up-cognito-users-signup"></a>

選擇**還不是使用者的使用者？ 在此註冊**時，系統會要求您輸入其電子郵件和密碼來建立 帳戶。

![\[建立使用者自我註冊的帳戶頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/create-account.png)


在註冊流程中，系統會要求使用者輸入電子郵件中收到的驗證碼，以完成註冊程序。

![\[驗證碼項目頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/verify-email.png)


如果停用自我註冊，使用者將不會看到註冊連結。管理員必須在 RES 外部設定 Amazon Cognito 中的使用者。（請參閱《*Amazon Cognito 開發人員指南*》中的以[管理員身分建立使用者帳戶](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-create-user-accounts.html)。)

![\[驗證碼項目頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/user-sign-in.png)


## 登入頁面選項
<a name="setting-up-cognito-users-login"></a>

如果同時啟用 SSO 和 Amazon Cognito，則會顯示**使用組織 SSO 登入**的選項。當使用者按一下該選項時，它會將其重新路由至其 SSO 登入頁面。根據預設，如果啟用 Amazon Cognito，使用者將會進行身分驗證。

![\[使用者登入頁面，其中包含註冊、驗證帳戶或使用組織 SSO 登入的選項\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/org-sso-sign-in.png)


## Constraints
<a name="setting-up-cognito-users-constraints"></a>
+ 您的 Amazon Cognito **群組名稱**最多可有六個字母；只接受小寫字母。
+ Amazon Cognito 註冊不允許兩個具有相同使用者名稱但不同網域地址的電子郵件地址。
+ 如果同時啟用 Active Directory 和 Amazon Cognito，且系統偵測到重複的使用者名稱，則僅允許 Active Directory 使用者進行身分驗證。管理員應採取步驟，不設定 Amazon Cognito 與其 Active Directory 之間的重複使用者名稱。
+ Cognito 使用者將無法啟動 Windows 型 VDIs因為 RES 不支援 Windows 執行個體的 Amazon Cognito 型身分驗證。

## Amazon Cognito 使用者的管理員群組
<a name="admin-group-cognito-users-sync"></a>

根據預設，RES 會在`admins`群組管理員權限中授予 Cognito 使用者。若要將使用者新增至 Cognito `admins`群組：

1. 導覽至 [Amazon Cognito 主控台](https://console.aws.amazon.com/cognito/home)，然後選擇用於 RES 的現有使用者集區。

1. 導覽至**使用者管理**下的**群組**，然後選擇**建立群組。**

1. 在**建立群組**頁面上的**群組名稱中，**輸入 `admins`。

1. 選取您建立的`admins`群組，然後選擇**新增使用者至群組**以新增 Cognito 使用者。

1. 遵循 手動啟動 Cognito 同步[同步](#setting-up-cognito-users-sync)。

Amazon Cognito 同步成功後，新增至`admins`群組的使用者會收到管理員權限。

## 同步
<a name="setting-up-cognito-users-sync"></a>

RES 每小時會從 Amazon Cognito 同步其資料庫與使用者和群組資訊。屬於群組「管理員」的任何使用者都會在其 VDIs 中獲得 sudo 權限。

您也可以從 Lambda 主控台手動啟動同步。

**手動啟動同步程序：**

1. 開啟 [Lambda 主控台](https://console.aws.amazon.com/lambda)。

1. 搜尋 Cognito 同步 Lambda。此 Lambda 遵循此命名慣例：`{RES_ENVIRONMENT_NAME}_cognito-sync-lambda`。

1. 選取**測試**。

1. 在**測試事件**區段中，選擇右上角**的測試**按鈕。事件內文格式並不重要。

## Cognito 的安全考量
<a name="setting-up-cognito-users-security"></a>

在 2024.12 版本之前，預設會啟用[使用者活動記錄](https://docs.aws.amazon.com/cognito/latest/developerguide/feature-plans-features-plus.html)，這是 Amazon Cognito Plus 計劃功能的一部分。此功能已從基準部署中移除，為想要嘗試 RES 的客戶節省成本。您可以視需要重新啟用此功能，以符合組織的雲端安全設定。