將更多功能和安全性選項新增至您的使用者集區

遵循教學課程完成範例應用程式後，您可以擴大使用者集區實作的範圍。或者，如果您未建立測試應用程式，請根據您的偏好設定建立新的使用者集區。您可以自訂其他應用程式的使用者集區功能，或新增外部身分提供者 。當您計劃將 Amazon Cognito 使用者集區放入生產應用程式時，您可以評估其他範例和教學課程。

以下是一些額外的 Amazon Cognito 使用者集區功能：

• 自訂內建的註冊與登入網頁

• MFA 新增至使用者集區

• 使用者集區進階安全功能

• 使用 Lambda 觸發程序來自訂使用者集區工作流程

• 使用 Amazon Pinpoint 進行使用者集區分析

如需 Amazon Cognito 身分驗證和授權模型的概觀，請參閱 身分驗證如何與 Amazon Cognito 搭配使用。

若要在使用者集區身分驗證成功 AWS 服務 後存取其他 ，請參閱 登入後 AWS 服務 使用身分集區存取。

除了使用 AWS Management Console 和使用者集區 之外SDKs，您也可以使用 來管理您的使用者集區AWS Command Line Interface。

主題

• 建立新的使用者集區
• 使用託管 UI 新增應用程式用戶端
• 將社交登入新增至您的使用者集區
• 新增 SAML 2.0 身分提供者

建立新的使用者集區

下列程序是在 Amazon Cognito 主控台中建立新的使用者集區的一般指南。您也可以直接跳至主控台，並遵循引導式體驗和內嵌說明內容。

若要建立新的使用者集區

1. 前往 Amazon Cognito 主控台。如果出現提示，請輸入您的 AWS 憑證。

2. 選擇建立使用者集區按鈕。您可能需要從左側導覽窗格中選取使用者集區，以顯示此選項。

3. 在頁面右上角，選擇 Create a user pool (建立使用者集區)，以開始建立使用者集區精靈。

4. 在設定登入體驗 中，您可以選擇要與此使用者集區搭配使用的身分提供者 （IdPs）。如需詳細資訊，請參閱透過第三方新增使用者集區登入。

   1. 在身分驗證提供者 下，針對提供者類型 ，確保僅選取 Cognito 使用者集區。

   2. 針對 Cognito 使用者集區登入選項 ，選擇使用者名稱 。請勿選取任何其他使用者名稱需求 。

   3. 將所有其他選項保留為預設值，然後選擇下一步。

5. 在設定安全需求 中，您可以選擇密碼政策、多重要素身分驗證 （MFA） 要求和使用者帳戶復原選項。如需詳細資訊，請參閱使用 Amazon Cognito 使用者集區安全性功能。

   1. 對於密碼政策 ，確認密碼政策模式設定為 Cognito 預設值 。

   2. 在多重要素驗證 下，針對MFA強制執行 ，選擇選用 MFA。

   3. 針對MFA方法 ，選擇驗證器應用程式和SMS訊息 。

   4. 對於使用者帳戶復原 ，確認已選取啟用自助式帳戶復原，且使用者帳戶復原訊息交付方法設定為僅限電子郵件 。

   5. 將所有其他選項保留為預設值，然後選擇下一步。

6. 在設定註冊體驗 中，您可以判斷新使用者在以新使用者身分註冊時將如何驗證其身分，以及在使用者註冊流程中，哪些屬性應該是必要或選用的。如需詳細資訊，請參閱管理使用者集區中的使用者。

   1. 確認已選取啟用自我註冊。此設定會開啟您的使用者集區，以便從網際網路上的任何人註冊。這是用於範例應用程式的目的，但請謹慎地在生產環境中套用此設定。

   2. 在 Cognito 輔助驗證和確認 下，確認已選取允許 Cognito 自動傳送訊息以進行驗證和確認核取方塊。

   3. 確認要驗證的屬性設定為傳送電子郵件訊息，驗證電子郵件地址 。

   4. 在驗證屬性變更 下，確認已選取預設選項：選取更新擱置時保留原始屬性值，以及將更新擱置時保留作用中屬性值設為電子郵件地址 。

   5. 在必要屬性 下，確認根據先前選擇的必要屬性顯示電子郵件 。

      重要

      對於此範例應用程式，您的使用者集區不得將 phone_number 設定為必要的屬性。如果 phone_number 顯示為必要屬性，請檢閱並更新您先前的選項：

      • 選用 MFA，使用者帳戶復原訊息的交付方法專用電子郵件

      • 傳送電子郵件訊息、驗證屬性的電子郵件地址以進行驗證

   6. 將所有其他選項保留為預設值，然後選擇下一步。

7. 在設定訊息傳遞 中，您可以設定與 Amazon Simple Email Service 和 Amazon Simple Notification Service 的整合，以傳送電子郵件和SMS訊息給您的使用者，以進行註冊、帳戶確認、 MFA和帳戶復原。如需詳細資訊，請參閱 Amazon Cognito 使用者集區的電子郵件設定 和 SMS Amazon Cognito 使用者集區的訊息設定。

   1. 對於電子郵件提供者 ，選擇使用 Cognito 傳送電子郵件，並使用 Amazon Cognito 提供的預設電子郵件寄件者。此低電子郵件磁碟區設定足以進行應用程式測試。使用 Amazon Simple Email Service （Amazon SES） 驗證電子郵件地址，然後選擇使用 Amazon 傳送電子郵件後，即可傳回 SES。

   2. 針對 SMS，選取建立新IAM角色，然後輸入IAM角色名稱 。這會建立角色，將許可授予 Amazon Cognito 以傳送訊息SMS。

   3. 將所有其他選項保留為預設值，然後選擇下一步。

8. 在整合應用程式 中，您可以為使用者集區命名、設定託管 UI，以及建立應用程式用戶端。如需詳細資訊，請參閱使用託管 UI 新增應用程式用戶端。範例應用程式不使用託管 UI。

   1. 在使用者集區名稱 下，輸入使用者集區名稱 。

   2. 請勿選取使用 Cognito 託管 UI 。

   3. 在初始應用程式用戶端 下，確認應用程式類型已設定為公有用戶端 。

   4. 在用戶端秘密 下，確認已選取不產生用戶端秘密。

   5. 輸入 App client name (應用程式用戶端名稱)。

   6. 展開進階應用程式用戶端設定 。ALLOW_USER_PASSWORD_AUTH 新增至身分驗證流程清單 。

   7. 將所有其他選項保留為預設值，然後選擇下一步。

9. 在檢閱和建立畫面中檢閱您的選擇，並視需要修改任何選擇。如果您對使用者集區組態感到滿意，請選擇建立使用者集區以繼續。

10. 在使用者集區頁面中，選擇您的新使用者集區。

11. 在使用者集區概觀 下，記下您的使用者集區 ID 。建立範例應用程式時，您會提供此字串。

12. 選擇應用程式整合索引標籤，並找到應用程式用戶端和分析區段。選取您的新應用程式用戶端。請注意您的用戶端 ID 。

建立一項使用者集區物件

1. 前往 Amazon Cognito 主控台。如果出現提示，請輸入您的 AWS 憑證。

2. 選擇 User Pools (使用者集區)。

3. 在頁面右上角，選擇 Create a user pool (建立使用者集區)，以開始建立使用者集區精靈。

4. 在 Configure sign-in experience (設定登入體驗) 下，選擇您將與此使用者集區搭配使用的聯合提供者。如需詳細資訊，請參閱透過第三方新增使用者集區登入。

5. 在設定安全需求 中，選擇您的密碼政策、多重要素身分驗證 （MFA） 要求和使用者帳戶復原選項。如需詳細資訊，請參閱使用 Amazon Cognito 使用者集區安全性功能。

6. 在 Configure sign-up experience (設定註冊體驗) 中，決定新使用者在註冊時如何驗證其身分，以及在使用者註冊流程期間應該是必要或選用的屬性。如需詳細資訊，請參閱管理使用者集區中的使用者。

   重要

   如果您在使用者集區中啟用使用者註冊，則網際網路上的任何人都可以註冊帳戶並登入您的應用程式。除非您想要開放您的應用程式供公開註冊，否則請勿在使用者集區中啟用自助註冊。若要變更此設定，請在使用者集區主控台的註冊體驗索引標籤中更新自助註冊，或在 CreateUserPool或 UpdateUserPoolAPI請求 AllowAdminCreateUserOnly中更新 的值。

   如需可在使用者集區中設定之安全功能的詳細資訊，請參閱 使用 Amazon Cognito 使用者集區安全性功能。

7. 在設定訊息傳遞 中，設定與 Amazon Simple Email Service 和 Amazon Simple Notification Service 的整合，以傳送電子郵件和SMS訊息給您的使用者，以進行註冊、帳戶確認、 MFA和帳戶復原。如需詳細資訊，請參閱 Amazon Cognito 使用者集區的電子郵件設定 和 SMS Amazon Cognito 使用者集區的訊息設定。

8. 在 Integrate your app (整合您的應用程式) 中，命名您的使用者集區、設定託管 UI，以及建立應用程式用戶端。如需詳細資訊，請參閱使用託管 UI 新增應用程式用戶端。

9. 在檢閱和建立畫面中檢閱您的選擇，並視需要修改任何選擇。當您對使用者集區組態感到滿意時，請選取建立使用者集區以繼續。

相關資源

如需使用者集區的詳細資訊，請參閱Amazon Cognito 使用者集區。

請同時參閱： 使用者集區身分驗證流程和 了解使用者集區 JSON Web 權杖 （JWTs）。