翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# マネージドログインの認証方法を設定する
<a name="authentication-flows-selection-managedlogin"></a>

[マネージドログインページ](cognito-user-pools-managed-login.md)は、ユーザープール認証のウェブフロントエンドであり、ユーザーがサインイン、サインアウト、またはパスワードをリセットするときに呼び出すことができます。このモデルの場合、アプリケーションは OIDC ライブラリをインポートして、ユーザープールのマネージドログインページにより、ブラウザベースの認証試行を処理します。ユーザーが使用できる認証形式は、ユーザープールとアプリケーションクライアントの設定によって異なります。アプリケーションクライアントに `ALLOW_USER_AUTH` フローを実装すると、Amazon Cognito は使用可能なオプションからサインイン方法を選択するようユーザーに求めます。`ALLOW_USER_PASSWORD_AUTH` を実装して SAML プロバイダーを割り当てると、ログインページでユーザー名とパスワードを入力するか、IdP を介して接続するかを選択するオプションがユーザーに表示されます。

Amazon Cognito ユーザープールコンソールでは、アプリケーションのマネージドログイン認証の設定を開始できます。新しいユーザープールの作成時に開発対象のプラットフォームを指定すると、コンソールに OIDC および OAuth ライブラリの実装例と、サインインおよびサインアウトフローを実装するためのスターターコードが表示されます。マネージドログインは、多くの OIDC に依拠しているパーティの実装を使用して構築できます。可能な場合は、[OIDC に依拠しているパーティの認定ライブラリ](https://openid.net/developers/certified-openid-connect-implementations/)を使用することをお勧めします。詳細については、「[ユーザープールの開始方法](getting-started-user-pools.md)」を参照してください。

通常、OIDC の証明書利用者ライブラリは、ユーザープールのエンドポイントを定期的にチェックして、トークン`.well-known/openid-configuration`エンドポイントや認可エンドポイントなどの発行者 URLs を決定します。ベストプラクティスとして、必要な場合は、この自動検出動作を実装します。発行者エンドポイントを手動で設定すると、エラーが発生する可能性があります。例えば、ユーザープールのドメインを変更するとします。`openid-configuration` へのパスは、ユーザープールのドメインにリンクされていないため、サービスエンドポイントを自動検出するアプリケーションは、ドメインの変更を自動的に検出します。

## マネージドログインのユーザープール設定
<a name="authentication-flows-selection-managedlogin-settings"></a>

アプリケーションの複数のプロバイダーによるサインインを許可したり、Amazon Cognito を独立したユーザーディレクトリとして使用したりする場合があります。また、ユーザー属性を収集したり、MFA をセットアップしてプロンプトを表示したり、E メールアドレスをユーザー名として要求したりする場合も考えられます。マネージドログインとホストされた UI のフィールドを直接編集することはできません。代わりに、ユーザープールの設定により、マネージドログインの認証フローの処理が自動的に設定されます。

ユーザープール設定の以下の項目により、Amazon Cognito がマネージドログインとホストされた UI でユーザーに提示する認証方法が決まります。

------
#### [ User pool options (Sign-in menu) ]

以下のオプションは、Amazon Cognito コンソールのユーザープールの **[サインイン]** メニューにあります。

**Cognito ユーザープールのサインインオプション**  
ユーザー名のオプションがあります。マネージドログインページとホストされた UI ページは、選択した形式のユーザー名のみを受け入れます。例えば、**E メール**を唯一のサインインオプションとしてユーザープールを設定すると、マネージドログインページは E メール形式のユーザー名のみを受け入れます。

**必須の属性**  
ユーザープールで属性を必須として設定すると、ユーザーはマネージドログインでのサインアップ時に、属性の値の入力を求められます。

**選択ベースのサインインのオプション**  
[選択ベースの認証](authentication-flows-selection-sdk.md#authentication-flows-selection-choice)での認証方法の設定があります。ここでは、[パスキー](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passkey)や[パスワードなし](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passwordless)などの認証方法を有効または無効にできます。これらの方法は、[マネージドログインのドメイン](managed-login-branding.md)と**ライト**階層より上の[機能プラン](cognito-sign-in-feature-plans.md)を持つユーザープールでのみ使用できます。

**多要素認証**  
マネージドログインとホストされた UI は、[MFA](user-pool-settings-mfa.md) の登録および認証オペレーションを処理します。ユーザープールで MFA が必須である場合、サインインページでは自動的に追加の要素を設定するようユーザーに求めます。また、MFA 設定を持つユーザーに MFA コードを使用して認証を完了するよう求めます。ユーザープールで MFA がオフまたはオプションである場合、サインインページでは MFA の設定を求めません。

**ユーザーアカウントの復旧**  
ユーザープールのセルフサービスによる[アカウントの復旧]()の設定により、ユーザーがパスワードをリセットできるリンクをサインインページに表示するかどうかが決まります。

------
#### [ User pool options (Domain menu) ]

以下のオプションは、Amazon Cognito コンソールのユーザープールの **[ドメイン]** メニューにあります。

**ドメイン**  
ユーザープールのドメインを選択すると、認証のためにブラウザを起動したときにユーザーが開くリンクのパスが設定されます。

**ブランディングバージョン**  
ブランディングバージョンを選択すると、ユーザープールのドメインにマネージドログインとホストされた UI のどちらが表示されるかが決まります。

------
#### [ User pool options (Social and external providers menu) ]

次のオプションは、Amazon Cognito コンソールのユーザープールの **[ソーシャルプロバイダーと外部プロバイダー]** メニューにあります。

**プロバイダー**  
ユーザープールに追加した ID プロバイダー (IdP) は、ユーザープール内の各アプリケーションクライアントに対してアクティブまたは非アクティブのままにすることができます。

------
#### [ App client options ]

以下のオプションは、Amazon Cognito コンソールのユーザープールの **[アプリケーションクライアント]** メニューにあります。これらのオプションを確認するには、リストからアプリケーションクライアントを選択します。

**Quick Setup アップガイド**  
Quick Setup ガイドには、さまざまな開発者環境向けのコード例が記載されています。コード例には、マネージドログイン認証をアプリケーションと統合するために必要なライブラリが含まれています。

**アプリケーションクライアント情報**  
この設定を編集して、現在のアプリケーションクライアントに対応するアプリケーションに割り当てられた IdP を設定します。Amazon Cognito は、マネージドログインページにユーザーのための選択肢を表示します。これらの選択肢は、割り当てられた方法と IdP によって決まります。例えば、`MySAML` という名前の SAML 2.0 IdP とローカルユーザープールのログインを割り当てると、マネージドログインページには認証方法プロンプトと `MySAML` のボタンが表示されます。

**認証設定**  
この設定を編集して、アプリケーションの認証方法を設定します。Amazon Cognito は、マネージドログインページにユーザーのための選択肢を表示します。これらの選択肢は、IdP としてユーザープールを利用できるかどうかと、割り当てた方法によって決まります。例えば、選択ベースの `ALLOW_USER_AUTH` 認証を割り当てると、マネージドログインページには、E メールアドレスの入力やパスキーによるサインインなど、利用可能な選択肢が表示されます。マネージドログインページには、割り当てた IdP のボタンも表示されます。

**ログインページ**  
このタブで利用可能なオプションを使用して、マネージドログインまたはホストされた UI のユーザーインタラクティブページの視覚的な効果を設定します。詳細については、「[マネージドログインページにブランディングを適用する](managed-login-branding.md)」を参照してください。

------