ユーザープールのドメインを設定する

ドメインの設定は、ユーザープールを設定するオプションです。ユーザープールドメインは、ユーザー認証、サードパーティープロバイダーとのフェデレーション、および OpenID Connect (OIDC) フローについての機能をホストします。マネージドログイン、サインアップ、サインイン、パスワード復旧などの主要なオペレーション用の事前構築されたインターフェイスがあります。また、Machine to Machine (M2M) 認可、その他の OIDC および OAuth 2.0 認証と認可フローのために、authorize、userInfo、token などの OpenID Connect (OIDC) の標準エンドポイントもホストします。

ユーザーは、ユーザープールに関連付けられたドメインのマネージドログインページで認証されます。このドメインを設定するには、次の 2 つのオプションがあります。デフォルトの Amazon Cognito ホストドメインを使用することも、所有するカスタムドメインを設定することもできます。

カスタムドメインオプションには、柔軟性、セキュリティ、制御のためのオプションが多数用意されています。例えば、使い慣れた組織所有のドメインは、ユーザーの信頼を高めて、サインインプロセスが直感的にできます。ただし、カスタムドメインアプローチには、SSL 証明書の管理や DNS 設定など、追加のオーバーヘッドが必要です。

OIDC 検出エンドポイント (エンドポイント URL 用の /.well-known/openid-configuration、およびトークン署名キー用の /.well-known/jwks.json) はドメインでホストされません。詳細については、「ID プロバイダーと依拠しているパーティーエンドポイント」を参照してください。

ユーザープールのドメインを設定および管理する方法を理解することは、認証をアプリケーションに統合するための重要なステップです。ユーザープール API と AWS SDK を使用したサインインは、ドメインを設定する代わりに使用できます。API ベースのモデルは API レスポンスに直接トークンを配信しますが、ユーザープールの拡張機能を OIDC IdP として使用する実装の場合は、ドメインを設定する必要があります。ユーザープールで使用できる認証モデルの詳細については、「API、OIDC、マネージドログインページの認証について」を参照してください。

トピック

ユーザープールドメインについて知っておくべきこと

ユーザープールドメインは、アプリケーション内の OIDC の依拠しているパーティー向け、および UI 向けのサービスポイントです。ユーザープールのドメインの実装を計画する場合は、次の詳細を考慮してください。

予約済みの用語

Amazon Cognito プレフィックスドメイン名で aws、amazon、または cognito というテキストを使用することはできません。

検出エンドポイントが別のドメインにある

ユーザープール検出エンドポイントの .well-known/openid-configuration および .well-known/jwks.json は、ユーザープールのカスタムドメインまたはプレフィックスドメインにはありません。これらのエンドポイントへのパスは次のとおりです。

https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/openid-configuration
https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/jwks.json

ドメイン変更の有効な時間

Amazon Cognito がプレフィックスドメインのブランドバージョンを起動または更新するまでに最大 1 分かかる場合があります。カスタムドメインへの変更は、反映されるまでに最大 5 分かかる場合があります。新しいカスタムドメインの伝播には最大 1 時間かかる場合があります。

カスタムドメインとプレフィックスドメインを同時に

カスタムドメインとが所有するプレフィックスドメインの両方を使用してユーザープールを設定できます AWS。ユーザープール検出エンドポイントは別のドメインでホストされるため、カスタムドメインにのみ対応します。例えば、openid-configuration は "https://auth.example.com/oauth2/authorize" の "authorization_endpoint" に 1 つの値を提供します。

ユーザープールにカスタムドメインとプレフィックスドメインの両方がある場合、OIDC プロバイダーのすべての機能でカスタムドメインを使用できます。この設定を持つユーザープールのプレフィックスドメインには検出エンドポイントやトークン署名キーエンドポイントがないため、それに応じて使用する必要があります。

パスキーの証明書利用者 ID として優先されるカスタムドメイン

パスキーでユーザープール認証を設定するときは、証明書利用者 (RP) ID を設定する必要があります。カスタムドメインとプレフィックスドメインがある場合、RP ID はカスタムドメインとしてのみ設定できます。Amazon Cognito コンソールでプレフィックスドメインを RP ID として設定するには、カスタムドメインを削除するか、プレフィックスドメインの完全修飾ドメイン名 (FQDN) をサードパーティードメインとして入力します。

ドメイン階層の異なるレベルでカスタムドメインを使用しない

auth.example.com や auth2.example.com など、同じ最上位ドメイン (TLD) にカスタムドメインを持つように個別のユーザープールを設定できます。マネージドログインセッション Cookie は、カスタムドメインと *.auth.example.com などのすべてのサブドメインで有効です。このため、アプリケーションのユーザーは、親ドメインとサブドメインのマネージドログインにアクセスしないでください。カスタムドメインが同じ TLD を使用している場合は、同じサブドメインレベルで保持します。

カスタムドメイン auth.example.com を持つユーザープールがあるとします。次に、別のユーザープールを作成し、カスタムドメイン uk.auth.example.com を割り当てるとします。ユーザーは auth.example.com でサインインします。 は、ブラウザがワイルドカードパス *.auth.example.com の任意のウェブサイトに表示する Cookie を取得します。その後、uk.auth.example.com へのサインインを試みます。無効な Cookie をユーザープールドメインに渡し、サインインプロンプトの代わりにエラーを受け取ります。対照的に、*.auth.example.com 用の Cookie を持つユーザーは、auth2.example.com でサインインセッションを開始しても問題ありません。

ブランドバージョン

ドメインを作成するときは、ブランドバージョンを設定します。オプションは、新しいマネージドログインエクスペリエンスと従来のホストされた UI エクスペリエンスです。この選択は、ドメインでサービスをホストするすべてのアプリケーションクライアントに適用されます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

マネージドログイン

プレフィックスドメインを追加する