Managed Login でパスキーを利用する
パスキーは、デバイス内に保存された鍵を利用してウェブサイトやアプリにログインできる、比較的新しい仕組みです。パスワードの代わりに、パスキーを利用したログインができるサイトが増えてきています。
Amazon Cognito の Managed Login でパスキーが対応されたので、さっそく使い方を見ていきましょう。
パスキーで利用するサービス
今回は、個人所有のスマートフォンで利用している Google アカウントで、パスキーを利用していきます。Google アカウントのパスキー提供機能は、複数のデバイス間で共有することができ、利便性や紛失時にも対応がやりやすいです。以下の記事でパスキーそのものの紹介が日本語でわかりやすくされているので、興味がある方は読んでみてください。
Cognito の設定変更
[前]回の記事で Cognito の UserPool や ALB と連携設定](https://qiita.com/sugimount-a/items/9ea49664e360e0370ae9)を行いました。この既存の環境を利用していきます。
まず、Cognito の User Pool の画面で、Sign-in メニューから、パスキーに関する設定項目を入れていきます。
以下の画面で Passkey を選択します。これだけで、Managed Login でパスキーの登録や認証が有効になります。スゴイ簡単でいいですね。
ユーザー登録とパスキー登録
実際に Managed Login の画面を見てみましょう。まずは新規アカウント登録から見ていきます。
新規メールアドレスやパスワードを入力して、サインアップを押します。
登録したメールアドレスに一時的なコードが送信されます。
送信されたコードを入力します。
そのあとの手順で、アカウントにパスキーを登録できます。
この時に、手持ちのスマートフォンにある Google アカウントを利用したいので、別のスマートフォンを選びます。
QR コードが表示されるので、これをスマートフォンで読み取ります。
すると、以下のように Google アカウント上にパスキーが作成される旨が表示されます。
これで続行を押すと、無事にアカウント登録ができ、独自に実装した動作確認用のWeb サイトを表示できました。
パスキーを利用してログインする
登録したメールアドレスを入れます。
ことあとは、スマホ側のセキュリティで設定されている認証を行います。例えば、以下のような認証があります。
- 指紋認証
- 顔認証
- 画面ロックを指でなぞって認証
これでクリアすればログインが行われる仕組みです。パスワードがなくなり、よりセキュアなログインが実現されます。
あとからパスキー登録
今回はパスキーの登録は必須にはしなかったので、ログイン後にあとからパスキーを登録したくなります。その場合、Managed Login で後からパスキーを登録できる機能が提供されています。
https://<>/passkeys/add?client_id=<>&redirect_uri=<>&lang=ja
これを実際の URL にするとこんな感じです。(ログインができないので)
上記の Endpoint が説明されているドキュメントはこちらです。
参考 URL