本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 迁移用户 Lambda 触发器
如果用户在使用密码登录时或在使用忘记密码流程时不在用户池中,Amazon Cognito 会调用此触发器。Lambda 函数成功返回后,Amazon Cognito 将在用户池中创建用户。有关利用用户迁移 Lambda 触发器进行身份验证流程的详细信息,请参阅[利用用户迁移 Lambda 触发器导入用户](cognito-user-pools-import-using-lambda.md)。
要在用户登录时或在忘记密码流程中,将用户从您的现有用户目录迁移到 Amazon Cognito 用户池,请使用此 Lambda 触发器。
**Topics**
+ [迁移用户 Lambda 触发器源](#user-pool-lambda-migrate-user-trigger-source)
+ [迁移用户 Lambda 触发器参数](#cognito-user-pools-lambda-trigger-syntax-user-migration)
+ [示例:使用现有密码迁移用户](#aws-lambda-triggers-user-migration-example-1)
## 迁移用户 Lambda 触发器源
| triggerSource 值 | 事件 |
| --- | --- |
| UserMigration\$1Authentication[1](#cognito-migrate-user-passwordless-note) | 登录时的用户迁移。 |
| UserMigration\$1ForgotPassword | 在忘记密码流程中迁移用户。 |
1 当用户使用[无密码登录](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passwordless)进行身份验证时,Amazon Cognito 不会调用此触发器。
## 迁移用户 Lambda 触发器参数
Amazon Cognito 传递给此 Lambda 函数的请求是以下参数和 Amazon Cognito 添加到所有请求中的[常用参数](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-working-with-lambda-triggers.html#cognito-user-pools-lambda-trigger-syntax-shared)的组合。
------
#### [ JSON ]
```
{
"userName": "string",
"request": {
"password": "string",
"validationData": {
"string": "string",
. . .
},
"clientMetadata": {
"string": "string",
. . .
}
},
"response": {
"userAttributes": {
"string": "string",
. . .
},
"finalUserStatus": "string",
"messageAction": "string",
"desiredDeliveryMediums": [ "string", . . .],
"forceAliasCreation": boolean,
"enableSMSMFA": boolean
}
}
```
------
### 迁移用户请求参数
**userName**
用户在登录时输入的用户名。
**password**
用户在登录时输入的密码。Amazon Cognito 不会在由忘记密码流程发起的请求中发送此值。
**validationData**
一个或多个键/值对,包含用户的登录请求中的验证数据。要将此数据传递给您的 Lambda 函数,您可以使用[InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html)和 [AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html)API 操作中的 ClientMetadata 参数。
**clientMetadata**
一个或多个键/值对,您可以将其作为自定义输入内容提供给迁移用户触发器的 Lambda 函数。要将此数据传递给您的 Lambda 函数,您可以使用[AdminRespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminRespondToAuthChallenge.html)和 [ForgotPassword](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ForgotPassword.html)API 操作中的 ClientMetadata 参数。
### 迁移用户响应参数
**userAttributes**
该字段为必填。
该字段必须包含一个或多个名称/值对,Amazon Cognito 将其存储在用户池的用户配置文件中并用作用户属性。您可以同时包括标准的和自定义的用户属性。自定义属性需要使用 `custom:` 前缀,以便与标准属性区分开来。有关更多信息,请参阅[自定义属性](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-attributes.html#user-pool-settings-custom-attributes.html)。
要在忘记密码流程中重置密码,用户必须拥有经过验证的电子邮件地址或经过验证的电话号码。Amazon Cognito 将包含重置密码代码的消息发送到用户属性中的电子邮件地址或电话号码。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/cognito/latest/developerguide/user-pool-lambda-migrate-user.html)
**finalUserStatus**
您可以将此参数设置为 `CONFIRMED` 以自动确认用户,这样他们就可以使用之前的密码登录。当您将用户设置为 `CONFIRMED` 时,他们无需执行额外的操作即可登录。如果您未将此属性设置为 `CONFIRMED`,则它会设置为 `RESET_REQUIRED`。
若 `finalUserStatus` 设置为 `RESET_REQUIRED`,则意味着用户在迁移之后,必须在登录时立即更改密码,并且您的客户端应用程序必须在身份验证中处理 `PasswordResetRequiredException`。
使用 Lambda 触发器迁移期间,Amazon Cognito 不强制执行您为用户池配置的密码强度策略。如果密码不符合您配置的密码策略,Amazon Cognito 仍会接受密码,以便它继续迁移用户。要强制实施密码强度策略并拒绝不符合策略的密码,请验证代码中的密码强度。然后,如果密码不符合政策,则设置 finalUserStatus 为`RESET_REQUIRED`。
**messageAction**
您可以将此参数设置为 `SUPPRESS`,以拒绝发送 Amazon Cognito 通常会向新用户发送的欢迎消息。如果您的函数未返回此参数,Amazon Cognito 会发送欢迎消息。
**desiredDeliveryMediums**
您可以将此参数设置为 `EMAIL` 以通过电子邮件发送欢迎消息,或者设置为 `SMS` 以通过 SMS 发送欢迎消息。如果您的函数未返回此参数,Amazon Cognito 通过 SMS 发送欢迎消息。
**forceAliasCreation**
如果您将此参数设置为,`TRUE`并且 UserAttributes 参数中的电话号码或电子邮件地址已作为其他用户的别名存在,则 API 调用会将该别名从以前的用户迁移到新创建的用户。以前的用户无法再使用该别名登录。
如果您将此参数设置为 `FALSE` 而且别名存在,Amazon Cognito 不会迁移用户,并向客户端应用程序返回错误。
如果您不返回此参数,Amazon Cognito 会假定其值为“false”。
**enableSMSMFA**
将此参数设置为 `true`,要求迁移的用户完成 SMS 短信多重身份验证 (MFA) 才能登录。您的用户池必须启用 MFA。请求参数中的用户属性必须包含电话号码,否则该用户的迁移将失败。
## 示例:使用现有密码迁移用户
此示例 Lambda 函数使用现有密码迁移用户,并隐藏 Amazon Cognito 发送的欢迎消息。
------
#### [ Node.js ]
```
exports.handler = (event, context, callback) => {
var user;
if (event.triggerSource == "UserMigration_Authentication") {
// authenticate the user with your existing user directory service
user = authenticateUser(event.userName, event.request.password);
if (user) {
event.response.userAttributes = {
email: user.emailAddress,
email_verified: "true",
};
event.response.finalUserStatus = "CONFIRMED";
event.response.messageAction = "SUPPRESS";
context.succeed(event);
} else {
// Return error to Amazon Cognito
callback("Bad password");
}
} else if (event.triggerSource == "UserMigration_ForgotPassword") {
// Lookup the user in your existing user directory service
user = lookupUser(event.userName);
if (user) {
event.response.userAttributes = {
email: user.emailAddress,
// required to enable password-reset code to be sent to user
email_verified: "true",
};
event.response.messageAction = "SUPPRESS";
context.succeed(event);
} else {
// Return error to Amazon Cognito
callback("Bad password");
}
} else {
// Return error to Amazon Cognito
callback("Bad triggerSource " + event.triggerSource);
}
};
```
------