基本プランの機能 - Amazon Cognito
アクセストークンのカスタマイズE メール MFAパスワードの再利用防止マネージドログイン選択ベースの認証

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

基本プランの機能

基本機能プランには、Amazon Cognito ユーザープールの最も優れた最新機能があります。Lite から Essentials プランに切り替えると、マネージドログインページの新機能、E メールメッセージワンタイムパスワードによる多要素認証、拡張パスワードポリシー、カスタムアクセストークンを利用できます。新しいユーザープール機能up-to-date情報を入手するには、ユーザープールの 基本プランを選択します。

以下のセクションでは、Essentials プランでアプリケーションに追加できる機能の概要を説明します。詳細については、以下のページを参照してください。

追加リソース

アクセストークンのカスタマイズ

ユーザープールアクセストークンは、API へのアクセスuserInfo エンドポイントからのユーザー属性の取得、または外部システムのグループメンバーシップの確立のために、アプリケーションにアクセス許可を付与します。高度なシナリオでは、実行時にアプリケーションが決定する追加の仮パラメータを、ユーザープールディレクトリのデフォルトのアクセストークンデータに追加することが考えられます。例えば、Amazon Verified Permissions を使用してユーザーの API アクセス許可を検証し、それに応じてアクセストークンのスコープを調整する場合です。

Essentials プランは、トークン生成前トリガーの既存の関数に を追加します。下位階層プランでは、追加のクレーム、ロール、グループメンバーシップを使用して ID トークンをカスタマイズできます。Essentials を使用すると、クレーム、ロール、グループメンバーシップ、OAuth スコープを使用してアクセストークンをさらにカスタマイズできます。アクセストークンのカスタマイズは、Machine to Machine (M2M) クライアント認証情報の付与では使用できません。

アクセストークンをカスタマイズするには

  1. ベーシックまたはプラス機能プランを選択します。

  2. トリガーのための Lambda 関数を作成します。サンプル関数を使用するには、Node.js に設定します。

  3. Lambda 関数にサンプルコードを入力するか、独自のコードを作成します。関数は、Amazon Cognito からのリクエストオブジェクトを処理し、含める変更を返す必要があります。

  4. 新しい関数をバージョン 2 トークン生成前トリガーとして割り当てます。

詳細

E メール MFA

Amazon Cognito ユーザープールは、多要素認証 (MFA) の 2 番目の要素として E メールを使用するように設定できます。E メール MFA を使用すると、Amazon Cognito は、認証プロセスを完了するために入力する必要がある検証コードを含む E メールをユーザーに送信できます。これにより、ユーザーログインフローに重要なセキュリティレイヤーが追加されます。E メールベースの MFA を有効にするには、デフォルトの E メール設定ではなく、Amazon SES E メール送信設定を使用するようにユーザープールを設定する必要があります。

ユーザーが E メールメッセージによる MFA を選択すると、Amazon Cognito は、サインインの試行の都度、ユーザーの登録済み E メールアドレスに 1 回限りの検証コードを送信します。その後、認証フローを完了してアクセスするには、このコードをユーザープールに返す必要があります。これにより、ユーザーのユーザー名とパスワードが漏えいした場合でも、アプリケーションリソースにアクセスする前に、E メールで送信されたコードという追加の要素を提供する必要があるように設定されます。

詳細については、「 SMS メッセージ MFA と E メールメッセージ MFA」を参照してください。以下は、E メール MFA でのユーザープールとユーザーを設定する方法の概要です。

Amazon Cognito コンソールで E メール MFA を設定するには

  1. ベーシックまたはプラス機能プランを選択します。

  2. ユーザープールのサインインメニューで、多要素認証を編集します。

  3. 設定する [MFA 強制適用] のレベルを選択します。[MFA を要求する] にすると、API のユーザーは MFA を使用して設定、確認、サインインのためのチャレンジを自動的に受け取ります。MFA を必要とするユーザープールでは、マネージドログインは MFA 要素を選択して設定するよう促します。[オプションの MFA] にすると、アプリケーションは、MFA の設定と、E メール MFA のユーザー希望を設定するオプションをユーザーに提供する必要があります。

  4. [MFA の方法] で、[E メールメッセージ] をオプションの 1 つとして選択します。

詳細

パスワードの再利用防止

デフォルトでは、Amazon Cognito ユーザープールのパスワードポリシーは、パスワードの長さと文字タイプの要件、および仮パスワードの有効期限を設定します。基本プランには、パスワード履歴を適用する機能が追加されています。ユーザーがパスワードのリセットを試みると、ユーザープールは、ユーザーが以前のパスワードに設定できなくなるようにできます。パスワードポリシーの設定の詳細については、「ユーザープールのパスワードの追加要件」を参照してください。以下は、パスワード履歴ポリシーを使用してユーザープールを設定する方法の概要です。

Amazon Cognito コンソールでパスワード履歴を設定するには

  1. ベーシックまたはプラス機能プランを選択します。

  2. ユーザープールの認証方法メニューで、パスワードポリシーを見つけて編集を選択します。

  3. 使用可能な他のオプションを設定し、[以前のパスワードの使用の防止] の値を設定します。

詳細

マネージドログインのホスト型サインインおよび認可サーバー

Amazon Cognito ユーザープールには、OpenID Connect (OIDC) IdP、サードパーティー IdP へのサービスプロバイダーまたは証明書利用者 IdPs 、サインアップとサインインのためのパブリックユーザーインタラクティブページなどの機能をサポートするオプションのウェブページがあります。これらのページは、総称してマネージドログインと呼ばれます。ユーザープールのドメインを選択すると、Amazon Cognito は自動的にこれらのページをアクティブ化します。Lite プランにホストされた UI がある場合、Essentials プランはこの高度なバージョンのサインアップページとサインインページを開きます。

マネージドログインページには、ブランドやスタイルをカスタマイズするための機能とオプションが追加された、クリーンでup-to-dateインターフェイスがあります。基本プランは、マネージドログインへのアクセスをロック解除する最も低いプランレベルです。

Amazon Cognito コンソールでマネージドログインを設定するには

  1. 設定メニューから、Essentials または Plus 機能プランを選択します。

  2. ドメインメニューから、ドメインをユーザープールに割り当てブランドバージョンのマネージドログインを選択します。

  3. マネージドログインメニューのスタイルタブで、スタイルの作成 を選択してアプリクライアントに割り当てるか、新しいアプリクライアントを作成します。

詳細

選択ベースの認証

Essentials 階層では、拡張 UI および SDK ベースの API オペレーションで認証オペレーションに新しい認証フローが導入されます。このフローは、選択ベースの認証です。選択ベースの認証は、ユーザーの認証がサインイン方法のアプリケーション側の宣言ではなく、可能なサインイン方法のクエリに続けて選択を行う方法です。選択肢ベースの認証をサポートし、ユーザー名パスワード、パスワードレス、パスキー認証のロックを解除するようにユーザープールを設定できます。API では、これがUSER_AUTHフローです。

Amazon Cognito コンソールで選択ベースの認証を設定するには

  1. ベーシックまたはプラス機能プランを選択します。

  2. ユーザープールのサインインメニューで、選択ベースのサインインのオプションを編集します。選択ベースの認証で有効にする認証方法を選択して設定します。

  3. ユーザープールの認証方法メニューで、サインインオペレーションの設定を編集します。

詳細