Amazon Cognito 外部IDプロバイダ連携 メモ

• Amazon Cognitoと外部IDプロバイダとの連携方法についてメモする。

Amazon Cognitoとは

• ウェブおよびモバイルアプリの認証、承認、およびユーザー管理機能を提供するAWSサービス。

• API ベースで実装されるモバイルアプリやWeb アプリに機能を提供する。

• ユーザープール

  • アプリユーザーのサインアップとサインインオプションを提供するユーザーディレクトリ機能

• IDプール

  • AWS の他のサービスに対するアクセスをユーザーに許可する機能

外部IDプロバイダとの連携

• 外部IDプロバイダ(ID管理機能を提供するサービス)とIDフェデレートすることができる。
• Cognitoが連携できるIDプロバイダ
  • ソーシャルIDプロバイダ
    • Facebook
    • google
    • Login With Amazon
    • Sign in With Apple　など
  • SAMLプロバイダ：SAML 2.0 標準をサポートするプロバイダ
    • Microsoft Active Directory フェデレーションサービス (ADFS)
    • Shibboleth など
  • Open ID Connect： OpenID Connect (OIDC) ID プロバイダ
    • Salesforce
    • Ping Identityなど

連携準備

1. 事前準備 : 次のものを用意する。

   1. アプリケーションクライアントとユーザープールドメインが作成されたユーザープール※ユーザープールの作成
   2. ソーシャル ID プロバイダー。

2. IDプロバイダに登録する。

   • 連携するIDプロバイダでクライアントID/シークレットの発行、リダイレクトURIの登録などを行う。

3. ユーザープールに OIDC IdP を追加する。

   • IdP からの OIDC ベースの認証リクエストを処理するようにユーザープールを設定する。

連携概シーケンス

参考情報

• Amazon Cognito とは
• Amazon Cognito ユーザープール Auth API リファレンス