スキップしてコンテンツを表示
AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

AD FS を Amazon Cognito ユーザープールの SAML ID プロバイダーとして設定する方法を教えてください。

所要時間2分
0

Active Directory フェデレーションサービス (AD FS) を Amazon Cognito ユーザープールで SAML 2.0 ID プロバイダー (IdP) として使用したいです。

解決策

前提条件 Amazon Cognito ユーザープールで AD FS をセットアップするには、ドメインを所有している必要があります。ドメインを所有していない場合は、Amazon Route 53 またはその他のドメインネームシステム (DNS) サービスを使用して新規ドメインを登録してください。

マネージドログインで Amazon Cognito ユーザープールを作成する

Amazon Cognito ユーザープールを作成し、マネージドログインを設定します。

Amazon EC2 Windows インスタンスを設定する

次の手順を実行します。

  1. Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスを起動します。
  2. Amazon EC2 Windows インスタンスで AD FS サーバーとドメインコントローラーを設定します。

手順については、「Amazon EC2 Windows インスタンスで AD FS を設定し、Amazon Cognito ユーザープールと連携させる方法を教えてください」を参照してください。

Amazon Cognito で AD FS を SAML IdP として設定する

次の手順を実行します。

  1. ユーザープールに SAML 2.0 IdP を設定します。メタデータドキュメントのエンドポイント URL を貼り付けるか、.xml メタデータファイルをアップロードします。
  2. SAML IdP 属性をユーザープールのユーザープロファイルにマッピングします。必須の属性をすべて属性マップに含めてください。

アプリクライアント設定を更新する

次の手順を実行します。

  1. Amazon Cognito コンソールを開きます。
  2. [アプリケーション][アプリクライアント] を選択します。次に、リストからユーザープールのセットアッププロセスで生成されたアプリクライアントを選択します。
  3. [ログインページ] タブに移動して [編集] を選択し、次のオプションを選択します。
    [コールバック URL] にログイン後にユーザーをリダイレクトする URL を入力します。
    [サインアウト URL] にログアウト後にユーザーをリダイレクトする URL を入力します。
    [ID プロバイダー] のドロップダウンリストから SAML IdP を選択します。
    [OAuth 2.0 付与タイプ][認証コードの付与][暗黙的付与] にチェックを入れます。
    [OpenID Connect スコープ] のドロップダウンリストからすべての [OIDC スコープ] を選択します。
    [カスタムスコープ] で設定したカスタムスコープを選択します。
  4. [変更を保存] を選択します。

アプリクライアントの用語については、「アプリクライアント設定の用語」を参照してください。

設定をテストする

次の手順を実行します。

  1. ウェブブラウザに次の URL を入力します: https://domainNamePrefix.auth.region.amazoncognito.com/loginresponse_type=token&client_id=appClientId&redirect_uri=https://www.example.com
  2. Amazon Cognito コンソールを開きます。
  3. ナビゲーションペインで [ブランディング] を選択し、該当するドメインを選択します。
  4. ドメインの URL をコピーします。
    注: domainNamePrefix.auth.region.amazoncognito.com を実際のドメインの URL に置き換えます。
  5. ナビゲーションペインの [アプリケーション][アプリクライアント] を選択します。次に、アプリクライアント ID をコピーします。
    注: appClientId を実際のアプリクライアント ID に置き換えます。
  6. 該当するアプリクライアントを選択し、[ログインページ] タブを選択します。
  7. [ログインページ] タブに表示されたコールバック URL をコピーします。
    注: https://www.example.com をコールバック URL に置き換えます。
  8. 変更した URL をブラウザに入力します。Amazon Cognito により、Cognito 認証ページにリダイレクトされます。
  9. サインインページで該当する SAML IdP を選択します。
  10. [組織アカウントでサインイン] を選択し、Active Directory ユーザーのユーザー名とパスワードを入力します。
  11. [サインイン] を選択します。

**注:**サインインに成功すると、AD FS は Amazon Cognito に SAML 応答を送信します。Amazon Cognito は SAML 応答を検証します。SAML 応答が有効な場合、Amazon Cognito はトークンを含むアプリケーションページにリダイレクトします。SAML 応答が無効な場合、Amazon Cognito はアプリケーションページにリダイレクトし、URL にエラーメッセージを表示します。SAML 応答には NameID 属性が含まれている必要があります。SAML 応答にこの属性が含まれていない場合、フェデレーションは失敗します。SAML 応答の詳細については、「ブラウザで SAML 応答を表示する」を参照してください。

関連情報

Amazon Cognito ユーザープールを使用してウェブアプリケーション用の ADFS フェデレーションを構築する

サードパーティ SAML ID プロバイダーを設定する

Amazon Cognito ユーザープールで SAML セッションを開始する

Amazon Cognito ユーザープールを使用してサードパーティの SAML ID プロバイダーをセットアップする方法を教えてください

ユーザープールの JSON ウェブトークン (JWT) について

トピック
Security, Identity, & Compliance
タグ
Amazon Cognito
言語
日本語
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ