LoginSignup
0
0
@krote

Amazon Cognito 再学習

Last updated at Posted at 2024-02-23

ユーザープールを作成する

image.png

認証プロバイダー

ここでの選択肢としては、プロバイダーのタイプを最初に定義する。
Cognitoを用いてIDを認証する場合はユーザープールを。外部のIDを用いて認証を行う場合はフェデレーテッドアイデンティティプロバイダーのチェックを入れる。

image.png

現時点でフェデレーテッドサインインの選択肢としては以下のものがある
image.png

セキュリティ要件

セキュリティ要件としてはパスワードポリシー、他要素認証、パスワード忘れによる復旧方法の選択を行う。
image.png

他要素認証の選択肢としては、必須が推奨されている。
ただ、アプリケーションにもよるとは思うけれど、個人的にはオプションかな、とは思う。
image.png

MFAの方法として説明書きがあるTOTPはタイムベースドワンタイムパスワードの略で、Authenticatorみたいな認証アプリのよくある仕組みのことを指していた。
image.png

ユーザーアカウントの復旧に関しては、パスワード紛失時に管理者の操作を必須とするかどうかを選択させる形。
基本的にはユーザーによるセルフ復旧が一般的ではあるけれど、セキュリティ要件の高いアプリケーションの場合は再発行を簡単に許可してはいけない場合もあるので、管理者によるパスワードリセット行為を強要させることができる選択肢が提供されている。

サインアップエクスペリエンス

サインアップエクスペリエンスとして最初の項目は、自己登録を許すか、ということだ。
注意書きにある通り、有効状態の場合はパブリックにアプリケーションを公開した瞬間に誰でもアプリケーションを使えるようになってしまう。
ベータテストじゃないが、何かしら制限をかけたい場合には無効にしておくのがいいように感じる。
書きっぷりかすると、後からも変更できるのではないかと思われる
image.png

それ以外の項目としては、Cognito側でEメール送信することでアカウントの検証等を行うことを許可するかどうかということのようだ。

image.png
ちょっと気になったのは、ユーザーの必須属性。
このタイミングで必須項目を設定しないと行けないらしい。

もちろん、アプリケーション的に何処かで制御をかけることはできるかもしれないけれど、ユーザーマスタの設計に関しては注意が必要そうだ

image.png

設定はいくつかあるが、ぱっと見ると名前くらいかな~という気がしないでもない。

image.png

カスタム属性に関しても、ユーザープール作成後に名前の変更はできないとある。
名前の変更ができないだけで、カスタム属性の追加はできるのだろうから、この時点で慌てる必要はないようにも感じる

メッセージ配信設定

image.png

Eメールの配信を何を用いるかを設定する事ができる。
AWSで考えると、Eメールプロバイダーは間違いなくSESなんだけど、SESでメールを配信するためにはドメインだとかの設定が必要になってしまう。

簡易的に済ますのであればCognitoにやってもらうのがいいが、この場合は一日あたり50件という制限がつくようだ。

フェデレーテッドアイデンティティプロバイダ設定

image.png

サインインのオプションとして外部ID連携を選択していると対象のプロバイダ設定を行う事ができる。

アプリケーション統合

image.png

ユーザープール名を指定する。

image.png

ドメイン名はホストされたCognitoによるページのURLを独自ドメインにするためにある。
必須入力項目なので、かぶらない名前を指定する必要がある

image.png

アプリケーションのタイプは「パブリッククライアント」が多く、アプリケーションクライアント名は。。。どこで使われるんだろう?
メールとかかな。

許可されているコールバックURLも指定する必要がある。
Reactアプリケーションであれば、一旦こちらは「localhost:3000」とかでもOKのようだ

クライアントシークレットは、クライアント側でシークレットを保持する場合は~とあるが、あまり意識はしなくても良さそう。

image.png

高度なアプリケーションクライアントの設定としては、認証フローを選択することができる。
それぞれの選択肢の意味としては下記のようだ

  • USER_SRP_AUTH
    • Secure Remote Password (SRP) プロトコルの認証フロー。アプリケーションはユーザーのユーザー名とパスワードを収集し、プレーンテキストの認証情報の代わりに Amazon Cognito に渡す SRP を生成します。
  • REFRESH_TOKEN_AUTH および REFRESH_TOKEN
    • 有効な更新トークンから新しいアクセストークンと ID トークンを生成する認証フロー。
  • CUSTOM_AUTH
    • カスタムチャレンジと予想されるレスポンスを定義する Lambda 関数を作成する、カスタマイズされた認証フロー。
  • USER_PASSWORD_AUTH
    • SRP 以外の認証フロー
    • アプリケーションはユーザー名とパスワードを Amazon Cognito に直接渡します。Amazon Cognito がユーザープールでユーザー名を見つけられないときに、ユーザー移行 Lambda トリガーをユーザープールに割り当てると、Amazon Cognito はユーザー移行 Lambda 関数を呼び出します。
  • ADMIN_USER_PASSWORD_AUTH
    • 管理者ベースのユーザーパスワード認証フロー。Amazon Cognito は、SRP プロセスを使用してパスワードを検証する代わりに、リクエストでパスワードを受け取ります。

確認

最後にこれまでの登録内容を確認して作成すればユーザープールの作成が完了した。

次は簡単なReactアプリケーションを作って実際に動かしてみようと思う

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0