IAM アイデンティティセンターを Amazon Cognito ユーザープールと統合する方法を教えてください。

簡単な説明

Amazon Cognito ユーザープールでは、サードパーティー IdP を介してサインインできます。ユーザーは IAM アイデンティティセンターを使用して、セキュリティアサーションマークアップ言語バージョン 2.0 (SAML 2.0) IdP を介してフェデレーションできます。詳細については、「Amazon Cognito ユーザープールでのフェデレーテッドサインインの仕組み」を参照してください。

IAM アイデンティティセンターと一体化したユーザープールにより、Amazon Cognito からユーザープールトークンを取得することが可能です。詳細については、「ユーザープールでのトークンの使用」を参照してください。

解決方法

Amazon Cognito ユーザープールを IAM アイデンティティセンターと統合するには、以下の手順を実行してください。

注: アプリケーションクライアントを含むユーザープールが既にある場合は、次のセクションを飛ばしてください。

アプリクライアントとドメイン名を持つ Amazon Cognito ユーザープールを作成する

1.    ユーザープールを作成します。

2.    アプリケーションクライアントを追加してホストされたウェブ UI を設定します。

3.    ユーザープールのドメイン名を追加します。

注: すでに稼働している IAM アイデンティティセンター環境がある場合は、次のセクションを飛ばしてください。

IAM アイデンティティセンターをアクティブ化し、ユーザーを追加します

1.    IAM アイデンティティセンター をアクティブ化する前に、前提条件と考慮事項を確認してください。

2.    IAM アイデンティティセンターをアクティブ化します。

3.    ID ソースを選択し、ユーザーを作成します。

IAM アイデンティティセンターコンソールから SAML アプリケーションを設定します

1.    IAM アイデンティティセンターコンソールを開き、ナビゲーションペインで [アプリケーション] を選択します。

2.    [アプリケーションの追加] と [カスタム SAML 2.0 アプリケーションの追加] を選択し、[次へ] を選択します。

3.    [アプリケーションの設定] ページで、表示名と説明を入力します。

4.    IAM アイデンティティセンター SAML メタデータファイルの URL をコピーするか、ダウンロードハイパーリンクを選択します。これらのリソースは後の手順で使用して、ユーザープールに IdP を作成します。

5.    [アプリケーションメタデータ] で、[メタデータ値を手動で入力] を選択します。次に、次の値を指定します。

重要: domain-prefix、リージョン、および userpool-id の値は、必ず環境固有の情報に置き換えてください。

Application Assertion Consumer Service (ACS) URL: https://<domain-prefix>.auth.<region>.amazoncognito.com/saml2/idpresponse アプリケーション SAML オーディエンス: urn:amazon:cognito:sp:<userpool-id>

6.    [Submit] (送信) を選択します。次に、追加したアプリケーションの「詳細」ページに移動します。

7.    [アクション] ドロップダウンリストを選択し、[属性マッピングの編集] を選択します。次に、次の属性を指定します。

アプリケーションのユーザー属性: サブジェクト
注: サブジェクトはあらかじめ入力されています。
IAM アイデンティティセンターのこの文字列値またはユーザー属性へのマップ: ${user:subject}
フォーマット: 固定

アプリケーションのユーザー属性: email
IAM アイデンティティセンターのこの文字列値またはユーザー属性へのマップ: ${user:email} フォーマット: ベーシック

マッピングされた属性は、サインイン時に Amazon Cognito に送信されます。ユーザープールの必須属性がすべてここにマッピングされていることを確認してください。マッピングに使用できる属性の詳細については、「サポートされている IAM アイデンティティセンター属性」を参照してください。

8.    変更を保存します。

9.    [ユーザーの割り当て] ボタンを選択し、ユーザーをアプリケーションに割り当てます。

IAM アイデンティティセンターをユーザープールの SAML IdP として設定します

1.    ユーザープールで SAML IdP を設定します。以下の設定を適用します。

[メタデータドキュメント] で、メタデータ URL を入力するか、前のセクションの手順 4 でダウンロードしたファイルをアップロードします。詳細については、サードパーティー SAML アイデンティティプロバイダーと Amazon Cognito ユーザープールとの統合を参照してください。

SAML プロバイダー名を入力します。詳細については、SAML アイデンティティプロバイダー名の選択を参照してください。

(オプション) 任意の SAML 識別子を入力します。

2.    SAML プロバイダー属性マッピングを設定します。以下の設定を適用します。

SAML 属性フィールドに、前のセクションの手順 7 で入力したユーザー属性値と一致する E メール値を入力します。「ユーザープール属性」フィールドで、ドロップダウンリストから「E メール」を選択します。

注: 前のセクションの手順 7 で IAM アイデンティティセンターに設定したその他の属性を追加してください。

3.    変更を保存します。

IdP をユーザープールアプリケーションクライアントと統合します

1.    新しい [Amazon Cognito コンソール] にサインインします。

2.    [ユーザープール] を選択し、適切なユーザープールを選択します。

3.    [アプリケーション統合] タブを選択し、[アプリケーションクライアントリスト] を選択します。

4.    適切なアプリケーションクライアントを選択します。

5.    Hosted UI セクションから [編集] を選択します。

6.    適切な IdP を選択します。

7.    変更を保存します。

セットアップをテストする

1.    ホスト UI を起動するか、次の命名パターンを使用してログインエンドポイント URL を構築します。

https://example_domain_prefix.auth.example_region.amazoncognito.com/login?response_type=token&client_id=example_client_id&redirect_uri=example_redirect_url

例: https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com

OAuth 2.0 の付与タイプでは、「認証コード付与」を選択すると、ログインエンドポイントは Amazon Cognito にユーザーのサインイン時に認証コードを返すよう促します。OAuth 2.0 の付与タイプでは、Amazon Cognito がユーザーのサインイン時にアクセストークンを返すように、「暗黙的許可」を選択します。次に、URL の response_type=code を response_type=token に置き換えます。

2.    IAM IDC を選択します。

アプリケーションクライアントのコールバック URL にリダイレクトされている場合は、既にブラウザでユーザーとしてログインしていることになります。ユーザープールのトークンは、ウェブブラウザのアドレスバーの URL に直接表示されます。

注: この手順をスキップするには、以下の命名パターンで 承認エンドポイント URL を作成してください。
https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

3.    ユーザー認証情報を入力し、[ログイン] を選択します。

4.    ブラウザのアドレスバーにある Amazon Cognito からのコードまたはトークンを含むコールバック URL にリダイレクトされると、セットアップは完了です。

注: Amazon Cognitoは、サービスプロバイダー (SP) が開始したサインインのみをサポートします。セットアップをテストするには、ログインエンドポイントまたは承認エンドポイントを使用する必要があります。IAM アイデンティティセンターの AWS アクセスポータルで IdP によるサインインを開始しても機能しません。

---