由管理員或開發人員建立之使用者的身分驗證流程在 AWS Management Console中建立新的使用者

建立使用者帳戶為管理員

使用者集區不只是客戶身分和存取管理（CIAM）使用者目錄，網際網路上的任何人都可以在應用程式中註冊使用者設定檔。您可以停用自助註冊。您可能已經認識您的客戶，並只想承認已事先獲得授權的客戶。您可以透過使用私有 SAML 2.0 或OIDC身分提供者、匯入使用者、在註冊時篩選使用者，或使用管理API操作建立使用者，在應用程式周圍放置手動身分驗證防護。管理建立使用者的工作流程可以是程式設計的，在使用者註冊到另一個系統後佈建使用者，也可以是 Amazon Cognito 主控台中的 case-by-case或測試。

當您以管理員身分建立使用者時，Amazon Cognito 會為其設定臨時密碼，並傳送歡迎或邀請訊息。他們可以遵循邀請訊息中的連結，第一次登入、設定密碼並確認其帳戶。以下頁面說明如何建立新的使用者並設定歡迎訊息。如需使用使用者集區API和 AWS SDK或建立使用者的詳細資訊CDK，請參閱 AdminCreateUser。

建立使用者集區後，您可以使用 AWS Management Console、 AWS Command Line Interface 或 Amazon Cognito 建立使用者API。您可以在使用者集區中為新使用者建立設定檔，並透過 SMS或電子郵件向使用者傳送包含註冊指示的歡迎訊息。

開發人員和管理員可以執行下列工作：

使用 AWS Management Console 或呼叫 AdminCreateUser 來建立新的使用者設定檔API。
設定使用者屬性值。
建立自訂屬性。
設定AdminCreateUserAPI請求中不可變自訂屬性的值。此功能無法在 Amazon Cognito 主控台中使用。
指定臨時密碼，或允許 Amazon Cognito 自動產生密碼。
指定是否要為新使用者將所提供的電子郵件地址和電話號碼標記為已驗證。
透過 AWS Management Console 或自訂訊息 Lambda 觸發條件，為新使用者指定自訂SMS和電子郵件邀請訊息。如需詳細資訊，請參閱使用 Lambda 觸發程序來自訂使用者集區工作流程。
指定邀請訊息是透過 SMS、電子郵件或兩者傳送。
呼叫 AdminCreateUser ，RESEND為 MessageAction 參數指定 API，以重新傳送歡迎訊息給現有使用者。

注意
目前無法使用 AWS Management Console來執行此動作。
建立使用者後，抑制傳送邀請訊息。
為使用者帳戶指定過期時間限制 (最多 90 天)。
允許使用者自行登入，或要求僅限由管理員新增新使用者。

由管理員或開發人員建立之使用者的身分驗證流程

這些使用者的身分驗證流程包括提交新密碼，以及為必要屬性提供任何遺漏值等額外步驟。接下來會概述這些步驟，步驟 5、6 和 7 專屬於這些使用者。

使用者第一次開始登入時，需提交他們的使用者名稱和密碼。
SDK 呼叫 InitiateAuth(Username, USER_SRP_AUTH)。
Amazon Cognito 會以 Salt & Secret 區塊傳回 PASSWORD_VERIFIER 挑戰。
會SDK執行SRP計算並呼叫 RespondToAuthChallenge(Username, <SRP variables>, PASSWORD_VERIFIER)。
Amazon Cognito 傳回 NEW_PASSWORD_REQUIRED 挑戰。此挑戰的正文包括使用者的目前屬性，以及使用者集區中目前在使用者描述檔中沒有值的所有必要屬性。如需詳細資訊，請參閱 RespondToAuthChallenge。
系統會提示使用者輸入新密碼，以及必要屬性的任何遺漏值。
SDK 呼叫 RespondToAuthChallenge(Username, <New password>, <User attributes>)。
如果使用者需要的第二個因素MFA，Amazon Cognito 會傳回 SMS_MFA 挑戰並提交程式碼。
使用者成功變更密碼，並選擇性地提供屬性值或完成後MFA，使用者即會登入並發出權杖。

當使用者滿足所有挑戰後，Amazon Cognito 服務會將使用者標記為已確認，並且為使用者發出 ID、存取和重新整理權杖。如需詳細資訊，請參閱了解使用者集區 JSON Web 權杖（JWTs）。

在 AWS Management Console中建立新的使用者

您可以使用 Amazon Cognito 主控台設定使用者密碼要求、設定傳送給使用者的邀請和驗證訊息，以及新增使用者。

設定密碼政策並啟用自我註冊

您可以設定最低密碼複雜性的設定，以及使用者是否可以在使用者集APIs區中使用公有註冊。

設定密碼政策

導覽到 Amazon Cognito 主控台，選擇 User Pools (使用者集區)。
從清單中選擇現有的使用者集區，或建立使用者集區。
選擇 Sign-in experience (登入體驗) 索引標籤並找到 Password policy (密碼政策)。選擇編輯。
選擇 Custom (自訂) 的 Password policy mode (密碼政策模式)。
選擇 Password minimum length (密碼長度下限)。如需密碼長度要求的限制，請參閱使用者集區資源配額。
選擇 Password complexity (密碼複雜度) 要求。
選擇管理員設定的密碼有效期限。
選擇 Save changes (儲存變更)。

允許自助註冊

導覽到 Amazon Cognito 主控台，選擇 User Pools (使用者集區)。
從清單中選擇現有的使用者集區，或建立使用者集區。
選擇 Sign-up experience (註冊體驗) 索引標籤並找到 Self-service sign-up (自助註冊)。選擇 Edit (編輯)。
選擇是否要 Enable self-registration (啟用自我註冊)。自我註冊通常用於需要在您的使用者集區中註冊新使用者的公有應用程式用戶端，而無需分發用戶端秘密或 AWS Identity and Access Management （IAM） API憑證。

停用自我註冊
如果您未啟用自我註冊，則必須使用 IAM API 憑證或透過使用聯合提供者登入，透過管理API動作建立新的使用者。
選擇 Save changes (儲存變更)。

自訂電子郵件和SMS訊息

自訂使用者訊息

您可以自訂 Amazon Cognito 在您邀請使用者登入、註冊使用者帳戶或登入時傳送給使用者的訊息，並提示您進行多重要素身分驗證（MFA）。

注意

Invitation message (邀請訊息) 會在您在使用者集區中建立使用者時傳送，並邀請他們登入。Amazon Cognito 會將初始登入資訊傳送至使用者的電子郵件地址或電話號碼。

使用者註冊使用者集區中的使用者帳戶時，系統會傳送 Verification message (驗證訊息)。Amazon Cognito 會傳送代碼給使用者。當使用者將代碼提供給 Amazon Cognito 時，他們會驗證其聯絡資訊，並確認其帳戶以進行登入。驗證碼有效時間為 24 小時。

當您在使用者集區SMSMFA中啟用時，MFA系統會傳送訊息，而已設定的使用者會SMSMFA登入並收到提示MFA。

導覽到 Amazon Cognito 主控台，選擇 User Pools (使用者集區)。
從清單中選擇現有的使用者集區，或建立使用者集區。
選擇 Messaging (簡訊) 索引標籤並找到 Message templates (訊息範本)。選取驗證訊息 、邀請訊息 或 MFA 訊息 ，然後選擇編輯。
自訂所選訊息類型的訊息。

注意
當您自訂訊息時，必須包含訊息範本中的所有變數。如果未包含變數，例如 {####}，則您的使用者將沒有足夠的資訊來完成訊息動作。
如需詳細資訊，請參閱訊息範本。
1. 驗證訊息
  1. 選擇 Email (電子郵件) 訊息的 Verification type (驗證類型)。Code (代碼) 驗證會傳送使用者必須輸入的數字碼。Link (連結) 驗證會傳送連結，使用者可以按一下以驗證其聯絡資訊。Link (連結) 訊息的變數中的文字會顯示為超連結文字。例如，使用變數 {##Click here##} 的訊息範本會在電子郵件訊息中顯示為請點選此處。
  2. 輸入 Email (電子郵件) 訊息的 Email subject (電子郵件主旨)。
  3. 輸入 Email (電子郵件) 訊息的自訂 Email message (電子郵件訊息) 範本。您可以使用自訂此範本HTML。
  4. 輸入SMS訊息的自訂SMS訊息範本。
  5. 選擇 Save changes (儲存變更)。
2. Invitation messages (邀請訊息)
  1. 輸入 Email (電子郵件) 訊息的 Email subject (電子郵件主旨)。
  2. 輸入 Email (電子郵件) 訊息的自訂 Email message (電子郵件訊息) 範本。您可以使用自訂此範本HTML。
  3. 輸入SMS訊息的自訂SMS訊息範本。
  4. 選擇 Save changes (儲存變更)。
3. MFA 訊息
  1. 輸入SMS訊息的自訂SMS訊息範本。
  2. 選擇 Save changes (儲存變更)。