翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Cognito の一般的な用語と概念
Amazon Cognito は、ウェブアプリケーションおよびモバイルアプリケーションの認証情報を提供します。これは、*ID 管理とアクセス管理*の一般的な用語に基づいて構築されています。ID とアクセスで一般的に使用される用語については、多くのガイドがあります。いくつか例を挙げます。
+ IDPro ナレッジボディの[用語](https://bok.idpro.org/article/id/41/)
+ [AWS ID サービス](https://aws.amazon.com/identity/)
+ NIST CSRC の[用語集](https://csrc.nist.gov/glossary)
次のリストは、Amazon Cognito に固有の用語や、Amazon Cognito の特定のコンテキストがある用語を説明しています。
**Topics**
+ [全般](#cognito-terms-general)
+ [ユーザープール](#cognito-terms-user-pools)
+ [アイデンティティプール](#cognito-terms-identity-pools)
## 全般
このリストの用語は Amazon Cognito に固有のものではなく、Identity and Access Management 実務者の間で広く認識されているものです。以下は、用語の包括的なリストではなく、このガイド中の特定の Amazon Cognito コンテキストについてのガイドです。
**アクセストークン**
情報システムにアクセスするためのエンティティの[認可](#terms-authorization)に関する情報を含む JSON ウェブトークン (JWT)。
**アプリ、アプリケーション**
通常、モバイルアプリケーションを指します。このガイドで、*アプリケーション*とは、多くの場合、Amazon Cognito に接続するウェブアプリケーションまたはモバイルアプリケーションの略語です。
**属性ベースのアクセスコントロール (ABAC)**
ユーザーの役職や部門などのユーザーのプロパティに基づいてアプリケーションがリソースへのアクセスを決定するモデル。ABAC を適用するための Amazon Cognito ツールには、ユーザープールの ID トークンとアイデンティティプールの[プリンシパルタグ](#term-afac)が含まれます。
**認証**
情報システムへのアクセスを目的として本人確認を行うプロセス。Amazon Cognito は、サードパーティの ID プロバイダーからの認証証明を受け入れるとともに、ソフトウェアアプリケーションの認証プロバイダーにもなります。
**認可**
リソースにアクセス許可を付与するプロセス。ユーザープールの[アクセストークン](#terms-accesstoken)には、アプリケーションがユーザーやシステムに対してリソースへのアクセスを許可するための情報が含まれています。
**認可サーバー**
[JSON ウェブトークン](#terms-jwt)を生成する OAuth または OpenID Connect (OIDC) システム。Amazon Cognito ユーザープールの[マネージド認可サーバー](#terms-managedauthorizationserver)は、ユーザープールの 2 つの認証および認可方法の認可サーバーコンポーネントです。ユーザープールは、[SDK 認証](#terms-upapi)で API チャレンジレスポンスフローもサポートしています。
**機密アプリケーション、サーバー側アプリケーション**
ユーザーがアプリケーションサーバー上のコードとシークレットへのアクセスを使用してリモートに接続するアプリケーション。これは通常、ウェブアプリケーションです。
**ID プロバイダー (IdP)**
ユーザー ID を保存して検証するサービス。Amazon Cognito は、[外部プロバイダー](#terms-externalprovider)に認証をリクエストし、アプリケーションへの IdP として機能できます。
**JSON ウェブトークン (JWT)**
認証されたユーザーに関するクレームを含む JSON 形式のドキュメント。ID トークンはユーザーを認証し、アクセストークンはユーザーを認可し、更新トークンは認証情報を更新します。Amazon Cognito は[外部プロバイダー](#terms-externalprovider)からトークンを受け取り、アプリケーションまたは AWS STS にトークンを発行します。
**Machine to machine (M2M) 認可**
ウェブサーバーアプリケーション層など、非ユーザーインタラクティブなマシンエンティティの API エンドポイントへのリクエストを認可するプロセス。ユーザープールは、[アクセストークン](#terms-accesstoken)の OAuth 2.0 スコープを使用して、クライアント認証情報の付与における M2M 認可を提供します。
**多要素認証 (MFA)**
ユーザーがユーザー名とパスワードを入力した後に追加の認証を行う必要があるという要件。Amazon Cognito ユーザープールには、[ローカルユーザー](#terms-localuser)用の MFA 機能があります。
**OAuth 2.0 (ソーシャル) プロバイダー**
[JWT](#terms-jwt) アクセスと更新トークンを提供するユーザープールまたはアイデンティティプールへの IdP。Amazon Cognito ユーザープールは、ユーザーが認証された後にソーシャルプロバイダーとのインタラクションを自動化します。
**OpenID Connect (OIDC) プロバイダー**
[OAuth](#terms-oauth) 仕様を拡張して ID トークンを提供するユーザープールまたはアイデンティティプールへの IdP。Amazon Cognito ユーザープールは、ユーザーが認証された後に OIDC プロバイダーとのインタラクションを自動化します。
**パスキー、WebAuthn**
ユーザーのデバイス上の暗号化キー (パスキー) で認証の証明を行う認証形式。ユーザーは、ハードウェアやソフトウェア認証ツールの生体認証または PIN コードメカニズムを通じて本人確認を行います。パスキーは、フィッシング攻撃に耐性があり、特定のウェブサイトやアプリケーションにバインドされているため、パスワードなしで安全に操作できます。Amazon Cognito ユーザープールは、パスキーを使用したサインインをサポートしています。
**パスワードなし**
ユーザーがパスワードを入力する必要がない認証形式。パスワードなしのサインイン方法には、E メールアドレスと電話番号、およびパスキーに対して送信されるワンタイムパスワード (OTP) が含まれます。Amazon Cognito ユーザープールは、OTP とパスキーを使用したサインインをサポートしています。
**パブリックアプリケーション**
コードがローカルに保存され、シークレットへのアクセスを持たない、デバイス上で自己完結するアプリケーション。これは通常、モバイルアプリケーションです。
**リソースサーバー**
アクセスコントロールを持つ API。また、Amazon Cognito ユーザープールは、*リソースサーバー*を使用して、API を操作するための設定を定義するコンポーネントを記述します。
**ロールベースのアクセスコントロール (RBAC)**
ユーザーの職能指定に基づいてアクセスを許可するモデル。Amazon Cognito アイデンティティプールは、各 IAM ロールを区別して RBAC を実装します。
**サービスプロバイダー (SP)、依拠しているパーティー (RP)**
ユーザーが信頼できることをアサートするために IdP に依存するアプリケーション。Amazon Cognito は、外部 IdP の SP として、また、アプリケーションベースの SP の IdP として機能します。
**SAML プロバイダー**
ユーザーが Amazon Cognito に渡すデジタル署名されたアサーションドキュメントを生成するユーザープールまたはアイデンティティプールへの IdP。
**Universally Unique Identifier (UUID)**
オブジェクトに適用される 128 ビットのラベル。Amazon Cognito UUID はユーザープールまたはアイデンティティプールごとに一意ですが、特定の UUID 形式に準拠していません。
**ユーザーディレクトリ**
特定の情報を他のシステムに提供するユーザーとその属性の集合。Amazon Cognito ユーザープールはユーザーディレクトリであり、外部ユーザーディレクトリのユーザーを統合するためのツールでもあります。
## ユーザープール
このガイドで、次のリストの用語は、ユーザープールの特定の機能または設定を参照しています。
**アダプティブ認証**
潜在的な悪意のあるアクティビティを検出し、[ユーザープロファイル](#terms-userprofile)に追加のセキュリティを適用する[高度なセキュリティ](#term-advancedsecurity)の機能。
**アプリケーションクライアント**
ユーザープールの設定を 1 つのアプリケーションへの IdP として定義するコンポーネント。
**コールバック URL、リダイレクト URI、リターン URL**
[アプリケーションクライアント](#term-appclient)の設定と、ユーザープールの[認可サーバー](#terms-managedauthorizationserver)へのリクエストのパラメータ。コールバック URL は、[アプリケーション](#term-app)の認証済みユーザーの最初の送信先です。
**選択ベースの認証**
ユーザープールでの API 認証形式であり、各ユーザーは複数のサインイン方法から選択できます。ユーザー名とパスワード (MFA を使用または不使用)、パスキーによるサインイン、E メールまたは SMS メッセージのワンタイムパスワードによるパスワードなしのサインインなどから選択できます。アプリケーションは、認証オプションのリストをリクエストするか、希望するオプションを宣言することで、ユーザーが選択するプロセスを方向付けることができます。
[クライアントベースの認証](#terms-declarativeauthentication)と比較してください。
**クライアントベースの認証**
ユーザープールの API と AWS SDK で構築されたアプリケーションのバックエンドを使用した認証形式。宣言型認証の場合、アプリケーションはユーザーが実行すべきログインタイプを独自に決定し、そのタイプを事前にリクエストします。
[選択ベースの認証](#terms-choicebasedauthentication)と比較してください。
**漏えいした認証情報**
攻撃者が知っている可能性のあるユーザーパスワードを検出し、[ユーザープロファイル](#terms-userprofile)に追加のセキュリティを適用する[高度なセキュリティ](#term-advancedsecurity)機能。
**確認**
新しいユーザーがサインインできるように、前提条件が満たされていると判断するプロセス。確認は通常、E メールアドレスまたは電話番号の[検証](#terms-verification)を通じて行われます。
**カスタム認証**
[Lambda トリガー](#terms-triggers)を使用した認証プロセスの拡張で、追加のユーザーチャレンジとレスポンスを定義するもの。
**デバイス認証**
[MFA](#terms-mfa) を、信頼されたデバイスの ID を使用するサインインに置き換える認証プロセス。
**ドメイン、ユーザープールドメイン**
AWS で[マネージドログインページ](#terms-managedlogin)をホストするウェブドメイン。独自に所有するドメインで DNS を設定することも、AWS が所有するドメインで識別用のサブドメインプレフィックスを使用することもできます。
**エッセンシャルプラン**
ユーザープールの最新の開発が含まれた[機能プラン](#terms-featureplan)。エッセンシャルプランには、[プラスプラン](#terms-plusplan)の自動学習型セキュリティ機能は含まれていません。
**外部プロバイダー、サードパーティープロバイダー**
ユーザープールと信頼関係がある IdP。ユーザープールは、外部プロバイダーとアプリケーション間の中間エンティティとして機能し、SAML 2.0、OIDC、およびソーシャルプロバイダーによる認証プロセスを管理します。ユーザープールは、外部プロバイダーの認証結果を 1 つの IdP に統合するため、アプリケーションは単一の、OIDC に依拠しているパーティのライブラリで多数のユーザーを処理できます。
**機能プラン**
ユーザープールに選択できる機能のグループ。機能プランごとに AWS 請求のコストは異なります。新しいユーザープールには、デフォルトで[エッセンシャルプラン](#terms-essentialsplan)が適用されます。
**現在のプラン**
+ [ライトプラン](#terms-liteplan)
+ [エッセンシャルプラン](#terms-essentialsplan)
+ [プラスプラン](#terms-plusplan)
**フェデレーションユーザー、外部ユーザー**
[外部プロバイダー](#terms-externalprovider)によって認証されたユーザープール内のユーザー。
**ホストされた UI (クラシック)、ホストされた UI ページ**
ユーザープールドメインにおける認証フロントエンド、依拠しているパーティ、および ID プロバイダーサービスの初期バージョン。ホストされた UI は、基本的な機能セットと、シンプルな外観と操作感を備えています。ロゴ画像ファイルと事前定義済みの CSS スタイルセットを含むファイルをアップロードして、ホステッド UI ブランディングを適用できます。[マネージドログイン](#terms-managedlogin)と比較してください。
**Lambda トリガー**
ユーザープールがユーザー認証プロセスのキーポイントで自動的に呼び出すことができる AWS Lambda 関数。Lambda トリガーを使用して認証結果をカスタマイズできます。
**ローカルユーザー**
ユーザープール[ユーザーディレクトリ](#terms-userdirectory)内の[ユーザープロファイル](#terms-userprofile)で、[外部プロバイダー](#terms-externalprovider)による認証によって作成されなかったもの。
**リンクされたユーザー**
ID が[ローカルユーザー](#terms-localuser)とマージされる[外部プロバイダー](#terms-externalprovider)のユーザー。
**ライトプラン**
ユーザープールの最初にリリースされた機能が含まれている[機能プラン](#terms-featureplan)。ライトプランには、[エッセンシャルプラン](#terms-essentialsplan)の新機能や[プラスプラン](#terms-plusplan)の自動学習型セキュリティ機能は含まれていません。
**マネージド認可サーバー、ホストされた UI 認可サーバー、認可サーバー**
[マネージドログイン](#terms-managedlogin)のコンポーネントであり、[ユーザープールドメイン](#terms-domain)で、IdP とアプリケーションとのやり取り用のサービスをホストします。[ホストされた UI](#terms-hostedui) は、マネージドログインとは、提供するユーザーインタラクティブ機能が異なりますが、認可サーバー機能は同じです。
**マネージドログイン、マネージドログインページ**
[ユーザープールドメイン](#terms-domain)で、ユーザー認証用のサービスをホストする一連のウェブページ。これらのサービスには、[IdP](#terms-idp)、サードパーティ IdP に[依拠しているパーティ](#terms-relyingparty)、およびユーザーインタラクティブ認証 UI のサーバーとして動作する機能が含まれています。ユーザープールのドメインを設定すると、Amazon Cognito のすべてのマネージドログインページがオンラインになります。
アプリケーションは、OIDC ライブラリをインポートすることで、ユーザーのブラウザを起動してマネージドログイン UI に誘導し、サインアップ、サインイン、パスワード管理、その他の認証オペレーションを行います。認証後、OIDC ライブラリは認証リクエストの結果を処理できます。
**マネージドログイン認証**
ユーザーインタラクティブなブラウザページまたは HTTPS API リクエストを使用して、[ユーザープールドメイン](#terms-domain)のサービスにサインインします。アプリケーションは OpenID Connect (OIDC) ライブラリを使用してマネージドログイン認証を処理します。このプロセスには、[外部プロバイダー](#terms-externalprovider)によるサインイン、インタラクティブマネージドログインページによるローカルユーザーのサインイン、[M2M 認可](#terms-m2m)が含まれます。クラシックの[ホストされた UI](#terms-hostedui) による認証も、この用語に該当します。
[AWS SDK 認証](#terms-upapi)と比較してください。
**プラスプラン**
ユーザープールの最新の開発と高度なセキュリティ機能を備えた[機能プラン](#terms-featureplan)。
**SDK 認証、AWS SDK 認証**
AWS SDK を使用してアプリケーションのバックエンドに追加できる認証および認可 API オペレーションのセット。この認証モデルには、独自のカスタム構築したログインメカニズムが必要です。API は、[ローカルユーザー](#terms-localuser)と[リンクされたユーザー](#terms-linkeduser)にサインインできます。
[マネージドログイン認証](#terms-managedloginauthentication)と比較してください。
**脅威保護、高度なセキュリティ機能**
ユーザープールでの脅威保護とは、認証および認可メカニズムに対する脅威を軽減するように設計されたテクノロジーを指します。アダプティブ認証、漏えいした認証情報の検出、IP アドレスのブロックリストは、脅威保護のカテゴリに含まれます。
**トークンのカスタマイズ**
実行時にユーザーの ID またはアクセストークンを変更するトークン生成前の [Lambda トリガー](#terms-triggers)の結果。
**ユーザープール、Amazon Cognito ID プロバイダー、`cognito-idp`、Amazon Cognito ユーザープール**
OIDC IdP と連携するアプリケーションの認証および認可サービスを持つ AWS リソース。
**検証**
ユーザーが E メールアドレスまたは電話番号を所有していることを確認するプロセス。ユーザープールは、新しい E メールアドレスまたは電話番号を入力したユーザーにコードを送信します。Amazon Cognito にコードを送信すると、ユーザーがメッセージの送信先を所有していることを検証して、ユーザープールから追加のメッセージを受信できます。また、「[確認](#terms-confirmation)」を参照してください。
**ユーザープロファイル、ユーザーアカウント**
[ユーザーディレクトリ](#terms-userdirectory)内のユーザーのエントリ。サードパーティ IdP のユーザーを含むすべてのユーザーは、ユーザープールにプロファイルを持ちます。
## アイデンティティプール
このガイドで、次のリストの用語は、アイデンティティプールの特定の機能または設定を参照しています。
**アクセスコントロールの属性**
アイデンティティプールでの[属性ベースのアクセスコントロール](#terms-abac)の実装。アイデンティティプールは、ユーザー認証情報にユーザー属性をタグとして適用します。
**基本 (クラシック) 認証**
[ユーザー認証情報](#terms-usercredentials)のリクエストをカスタマイズできる認証プロセス。
**デベロッパーが認証した ID**
[デベロッパー認証情報](#terms-developercredentials)を使用してアイデンティティプールの[ユーザー認証情報](#terms-usercredentials)を認可する認証プロセス。
**デベロッパー認証情報**
アイデンティティプール管理者の IAM API キー。
**拡張認証**
IAM ロールを選択し、アイデンティティプールで定義したロジックに従ってプリンシパルタグを適用する認証フロー。
**ID**
アプリケーションユーザーとその[ユーザー認証情報](#terms-usercredentials)を、アイデンティティプールと信頼関係がある外部[ユーザーディレクトリ](#terms-userdirectory)内のプロファイルにリンクする [UUID](#terms-uuid)。
**アイデンティティプール、Amazon Cognito フェデレーティッド ID、Amazon Cognito ID、 `cognito-identity`**
[一時的な AWS 認証情報](#terms-usercredentials)を使用するアプリケーションの認証および認可サービスを持つ AWS リソース。
**認証されていない ID**
アイデンティティプール IdP でサインインしていないユーザー。認証前に、ユーザーが単一の IAM ロールに対して制限付きユーザー認証情報を生成することを許可できます。
**ユーザー認証情報**
アイデンティティプール認証後にユーザーが受け取る一時的な AWS API キー。