Amazon Cognito ユーザープールの作成後に属性を変更する方法を教えてください。

簡単な説明

ユーザープールの作成後にユーザープールの標準属性を変更することはできません。その代わりに、ユーザー登録に必要な属性を持つ新しいユーザープールを作成してください。次に、AWS Lambda 関数をユーザー移行トリガーとして使用して、既存のユーザーを新しいユーザープールに移行します。

注意: 既存のユーザープールにカスタム属性を追加できます。ただし、これらの属性はユーザー登録には必要ありません。

解決方法

異なる属性で新しいユーザープールを設定

新しいユーザープールを作成します。次に、設定中に (最後に**[プールの作成]**を選択する前)、好みに合わせて標準属性を編集します。

重要: ユーザープールで新しい必須属性を指定する場合、これらの新しい属性を新しいユーザープールに提供するように Lambda 関数を設計する必要があります。そそうしないと、ユーザーの移行中に認証が失敗します。例えば、古いユーザープールは E メールのみを必要としていましたが、新しいユーザープールでは E メールと電話番号の両方が必要だとします。この場合、ユーザーを認証するには、電話番号の属性値を新しいユーザープールに渡す必要があります。

Lambda 関数を作成する

Lambda コンソールエディタを使用するか、独自のデプロイパッケージを構築してアップロードすることにより、ユーザー移行 Lambda 関数を作成します。

こちらに、テストに使用できる Python 関数の例があります。

注意: UserPoolId は、値の例を古いユーザープールの ID に置き換えます。Amazon Cognito コンソールで、ユーザープールの管理ページの全般設定タブで ID を見つけます。ClientId は、値の例を古いユーザープールのアプリクライアント ID に置き換えます。Amazon Cognito コンソールでもアプリクライアント ID をお探しください。全般設定でアプリクライアントを選択します。

重要: このサンプルコードは、古いユーザープールで Multi-Factor Authentication (MFA) を使用しているユーザーの移行に対しては機能しません。

# Copyright 2018-2019 Amazon.com, Inc. or its affiliates. All Rights Reserved.
# Permission is hereby granted, free of charge, to any person obtaining a copy of this
# software and associated documentation files (the "Software"), to deal in the Software
# without restriction, including without limitation the rights to use, copy, modify,
# merge, publish, distribute, sublicense, and/or sell copies of the Software, and to
# permit persons to whom the Software is furnished to do so.
#
# THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED,
# INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A
# PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT
# HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION
# OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE
# SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

import json
import boto3

client = boto3.client('cognito-idp')

def lambda_handler(event, context):
   if (event['triggerSource'] == 'UserMigration_Authentication'):
     user = client.admin_initiate_auth(
       UserPoolId='<user pool id of the user pool where the user already exists>',
       ClientId='<app client id of the user pool where the user already exists>',
       AuthFlow='ADMIN_NO_SRP_AUTH',
       AuthParameters={
         'USERNAME': event['userName'],
         'PASSWORD': event['request']['password']
       }
     )
        if (user):
       userAttributes = client.get_user(
         AccessToken=user['AuthenticationResult']['AccessToken']
       )
       for userAttribute in userAttributes['UserAttributes']:
         if userAttribute['Name'] == 'email':
           userEmail = userAttribute['Value']
           #print(userEmail)
           event['response']['userAttributes'] = {
             "email": userEmail,
             "email_verified": "true"
           }
          event['response']['messageAction'] = "SUPPRESS"
       print (event)
       return (event)
     else:
       return('Bad Password')
   elif (event["triggerSource"] == "UserMigration_ForgotPassword"):
     user = client.admin_get_user(
       UserPoolId='<user pool id of the user pool where the already user exists>',
       Username=event['userName']
     )
     if (user):
       for userAttribute in user['UserAttributes']:
         if userAttribute['Name'] == 'email':
           userEmail = userAttribute['Value']
           print(userEmail)
           event['response']['userAttributes'] = {
             "email": userEmail,
             "email_verified": "true"
           }
       event['response']['messageAction'] = "SUPPRESS"
          print (event)
       return (event)
     else:
       return('Bad Password')
          else:
     return('there was an error')

新しいユーザープールにユーザー移行トリガーを追加

Amazon Cognito コンソールで、新しい Lambda 関数をユーザー移行 Lambda トリガーとして設定します。詳細については、「ユーザープールの Lambda トリガーの追加」を参照してください。

ユーザー移行のために USER_PASSWORD_AUTH フローを有効化

移行時に USER_PASSWORD_AUTH 認証フローを使用するようにユーザープールアプリクライアントを設定します。これにより、アプリがユーザーのユーザー名とパスワードを Lambda 関数に渡した後に、既存のユーザープールから認証を行うことができます。

ユーザーが古いユーザープールに存在し、新しいユーザープールには存在しない場合のサインイン試行に対して、デフォルトの認証フローを USER_PASSWORD_AUTH フローに変更するロジックをアプリに追加します。

例えば、アプリが JavaScript を使用している場合は、cognitoUser.setAuthenticationFlowType を USER_PASSWORD_AUTH に指定します。

注意: ユーザーの移行が完了すると、アプリの認証フローを USER_SRP_AUTH に変更することをお勧めします。このフローでは、ネットワークを介してパスワードを送信することなく、セキュアリモートパスワード (SRP) プロトコルを使用してユーザーを認証します。このフローは、USER_PASSWORD_AUTH フローよりもセキュリティ上の利点があります。詳細については、「ユーザー移行認証フロー」および「ユーザープールを使用した認証」を参照してください。

cognitoUser.setAuthenticationFlowType('USER_PASSWORD_AUTH');

    cognitoUser.authenticateUser(authenticationDetails, {
        onSuccess: function(result) {
            // User authentication was successful
        },
        onFailure: function(err) {
            // User authentication was not successful
        },
        mfaRequired: function (codeDeliveryDetails) {
            // MFA is required to complete user authentication.
            // Get the code from user and call
            cognitoUser.sendMFACode(verificationCode, this);
        }
    });

詳細については、「ユーザー移行の Lambda トリガー」を参照してください。

セットアップをテストする

Amazon Cognito のホストされたウェブ UI を使用してアプリにサインインし、認証フローをテストします。サインインしたユーザーは、新しいユーザープールで認証した後に移行されます。

注意: テスト用にサインインするユーザーアカウントがない場合は、新しいユーザーを作成してください。

トラブルシューティング

テスト中に「ユーザーの移行中に例外が発生しました」などのエラーメッセージが表示される場合は、Lambda のログステートメントを有効にしてください。これにより、ユーザー移行 Lambda トリガーのパラメータが Amazon CloudWatch Logs に記録されます。

エラーを再現してから、ユーザー移行 Lambda トリガー内のパラメータまたは構文エラーに関する問題についてログを確認してください。

関連情報

Lambda トリガーを使用したユーザープールワークフローのカスタマイズ

Amazon Cognito ユーザープールと ID プールの違いを教えてください。

ユーザープールの開始方法