コンソールにサインインする
Amazon Cognito
開発者ガイド

AWS ドキュメント » Amazon Cognito » 開発者ガイド » Amazon Cognito ユーザープール » ユーザープールのユーザーの管理 » 管理者としてのユーザーアカウントの作成

管理者としてのユーザーアカウントの作成

ユーザープールを作成したら、AWS マネジメントコンソール、AWS Command Line Interface または Amazon Cognito API を使用してユーザーを作成できます。ユーザープールで新しいユーザーのプロファイルを作成し、サインアップ手順を含めたウェルカムメッセージをそのユーザーに SMS または E メールで送信できます。

開発者と管理者は以下のタスクを実行できます。

  • AWS マネジメントコンソール を使用するか、AdminCreateUser API を呼び出すことで、新しいユーザープロファイルを作成します。

  • 一時パスワードを指定するか、Amazon Cognito で自動生成できるようにする。

  • 提供された E メールアドレスと電話番号が新しいユーザーに対して確認済みとマークされているかどうかを指定する。

  • AWS マネジメントコンソール またはカスタムメッセージ Lambda トリガーを使用して、新しいユーザーに SMS と E メールで送信されるカスタム招待メッセージを指定する。詳細については、「Lambda トリガーを使用したユーザープールワークフローのカスタマイズ」を参照してください。

  • 招待メッセージが SMS、E メール、その両方のいずれで送信されるかを指定する。

  • AdminCreateUser パラメーターに RESEND を指定して、MessageAction API を呼び出すことで、既存のユーザーにウェルカムメッセージを再送信する。

    注記

    このアクションは現在、AWS マネジメントコンソール を使用して実行することはできません。

  • ユーザー作成時の招待メッセージが送信されないようにする。

  • ユーザーアカウントの有効期限を指定する (最大 90 日)。

  • ユーザーに自己サインアップを許可したり、管理者にのみ新しいユーザーの追加を許可したりする。

コード例については、以下のトピックを参照してください。

管理者または開発者によって作成されるユーザーの認証フロー

これらのユーザーの認証フローには、新しいパスワードを送信するためや、必須の属性の未設定値を指定するための、追加の手順が含まれます。これらの手順は以下に説明しており、手順 5、6、7 はこれらのユーザーに固有のものです。

  1. ユーザーは、提供されたユーザー名とパスワードを送信することで、初回のログインを開始します。

  2. SDK は InitiateAuth(Username, USER_SRP_AUTH) を呼び出します。

  3. Amazon Cognito は Salt & Secret ブロックで PASSWORD_VERIFIER チャレンジを返します。

  4. SDK は SRP 計算を実行し、RespondToAuthChallenge(Username, <SRP variables>, PASSWORD_VERIFIER) を呼び出します。

  5. Amazon Cognito は NEW_PASSWORD_REQUIRED チャレンジを現在の属性と必須の属性と共に返します。

  6. ユーザーは新しいパスワードと必須の属性の未設定値を入力するように求められます。

  7. SDK は RespondToAuthChallenge(Username, <New password>, <User attributes>) を呼び出します。

  8. ユーザーに MFA, Amazon Cognito の 2 つ目の要素を必須とする場合、Cognito は SMS_MFA チャレンジを返し、そのコードが送信されます。

  9. ユーザーが正常に自分のパスワードを変更し、必要に応じて属性の値を指定するか MFA を完了すると、ユーザーがサインインされ、トークンが発行されます。

ユーザーがすべてのチャレンジを満たしていると、Amazon Cognito サービスは、ユーザーを確認済みとマークし、ID を発行し、アクセス権限を与えて、ユーザーのトークンを更新します。詳細については、「ユーザープールのトークンの使用」を参照してください。

AWS マネジメントコンソール での新しいユーザーの作成

ユーザープール管理用の Amazon Cognito コンソールは、以下に示すように、この機能をサポートするように更新されました。

ポリシータブ

[ポリシー] タブには、以下の関連する設定があります。

  • ユーザーに自己サインアップを許可するかどうかを指定する。このオプションはデフォルトで設定されています。

    ユーザーに自己サインアップを許可するかどうかを指定する。このオプションはデフォルト選択。

  • 新しいアカウントのユーザーアカウントの有効期限 (日数) の指定。デフォルト設定は、ユーザーアカウントが作成された日から 7 日です。最大の設定値は 90 日です。アカウントの有効期限が切れた後は、管理者がユーザーのプロファイルを更新するまで、ユーザーはそのアカウントにログインできません。

    注記

    ユーザーが 1 回ログインすれば、そのアカウントの有効期限が切れることはありません。

    ユーザーアカウントの有効期限 (日数) を指定する。デフォルト設定は 10 日間。

[Message Customizations] タブ

[メッセージのカスタマイズ] タブには、カスタム E メール確認メッセージとカスタムユーザーの招待メッセージを指定するためのテンプレートがあります。

E メール (検証メッセージまたはユーザー招待メッセージ) の場合、メッセージの最大長は検証コードまたは一時パスワードを含めて UTF-8 で 2048 文字です。SMS の場合、最大長は検証コードまたは一時パスワードを含めて UTF-8 で 140 文字です。

検証コードは 24 時間有効です。

新しいユーザーに送信される招待メッセージのカスタマイズ

[Users] タブ

[ユーザーとグループ] タブの [ユーザー] タブには、[ユーザーの作成] ボタンがあります。

ユーザータブで新しいユーザーを作成する。

[ユーザーの作成] を選択すると、新しいユーザーに関する情報の入力に使用できる [ユーザーの作成] フォームが表示されます。[ユーザー名] フィールドのみが必須です。

注記

AWS マネジメントコンソール から [ユーザーの作成] フォームを使用して作成したユーザーアカウントには、フォームに表示される属性のみを AWS マネジメントコンソール で設定できます。その他の属性は、必須属性としてマークした場合でも、AWS Command Line Interface または Amazon Cognito API を使用して設定する必要があります。

ユーザータブでユーザーフォームを作成する。