【AWS】Cognito ユーザプールをAzure ADをIdPとして構築する(後編)

前編はこちら

【AWS】Cognito ユーザプールをAzure ADをIdPとして構築する(前編)

構築Step

• 前編
• 1. AWS Cognito ユーザプール構築
• 1. AWS AppClient構築、設定
• 後編
• 1. Azure AD構築、Enterprise Application構築
• 1. AWS Cognito ユーザプール IdP設定

3. Azure AD構築、Enterprise Application構築

※ 1～5は新規Azure AD構築のため、Skip可能

• 1. Azure portalへログインし、画面左上ハンバーガーメニューから"Azure Active Directory"を選択、"テナントの切り替え"を押下、以下画面で"作成"ボタンを押下
     
• 1. そのまま"次:構成>"を押下
     
• 1. 任意の組織名、初期ドメイン名を入力、"次:確認および作成>"を押下
     
• 1. 作成内容を確認し、"作成"ボタンを押下
     
• 1. テナントが作成されたことを確認、リンクから新テナントへ移動
     
• (必要なら"追加">"ユーザー"から新規ユーザを登録)
  
• 6.画面左メニューから"エンタープライズアプリケーション"を選択、"新しいアプリケーション"を押下
  
• 1. "独自のアプリケーションを作成"を押下
     
• 1. アプリ名を入力、"ギャラリーに見つからないその他のアプリケーションを統合します"を選択
     
• 1. メニューから"シングルサインオン"を選択、"SAML"を押下
     
• 1. "基本的なSAML構成"の鉛筆アイコンを押下
     
• 1. 識別子、応答URLを以下の要領で入力、保存
• 識別子: urn:amazon:cognito:sp:(CognitoのユーザプールID)
• 応答URL: https://(Amazon Cognito ドメイン).auth.(Amazon Cognitoの地域).amazoncognito.com/saml2/idpresponse
  
• 1. SAML署名証明書でフェデレーションメタデータXMLからダウンロード
     
• 1. 画面左メニューから"ユーザとグループ">"ユーザまたはグループの追加"を選択、ユーザを追加、割り当てを実施
     
• 1. 追加されたことを確認
     

4. AWS Cognito ユーザプール IdP設定

• 1. Cognito ユーザプールへアクセス、メニューから"IDプロバイダー"を選択、"SAML"を選択
     
• 1. ダウンロードしたフェデレーションメタデータXMLをアップロード、任意のプロバイダ名を入力
     
• 1. メニューで"属性マッピング">"SAML"を選択、SAML属性欄に"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" を入力、保存
     
• 1. メニューから"アプリクライアントの設定"を選択、"有効なIDプロバイダ"で作成したプロバイダ名を選択
     

動作確認

• 以下のURLを入力、プロバイダ名を押下

• https://＜ドメイン名＞.auth.ap-northeast-1.amazoncognito.com/login?response_type=code&client_id=＜アプリクライアントID＞&redirect_uri=<リダイレクト先URL＞

• ※ 今回、リダイレクトURLはhttp://localhost:8080
  

• 割り当てしたアカウントでサインインを実施
  

• 正常に認証されるとリダイレクトURLへ指定した画面へ遷移、APIのレスポンスにSAML Responseが含まれていることを確認

• localhostで何も動かしていないため、エラー画面となっています
  
  

まとめ

Cognitoユーザプールの設定とAzure ADのテナント構築から設定を実施し、IdPをAzure ADとしたCognitoユーザプールを構築することができました。

前編は以下

【AWS】Cognito ユーザプールをAzure ADをIdPとして構築する(前編)

参考サイト

前後編に渡って以下サイトを参考にさせていただきました。