ユーザープールでの SAML ID プロバイダーの使用

Microsoft Active Directory フェデレーションサービス () や Shibboleth などの SAML ID プロバイダー (IdP ) を介してウェブおよびモバイルアプリのユーザーにサインインさせるように選択できます。 ADFS2.0 SAML 標準 をサポートする IdP を選択する必要があります。 SAML

ホストされた UI とフェデレーションエンドポイントを使用すると、Amazon Cognito はローカルおよびサードパーティーの IdP ユーザーを認証し、JSONウェブトークン () を発行しますJWTs。Amazon Cognito が発行するトークンを使用すると、複数の ID ソースをすべてのアプリケーションにわたるユニバーサル OpenID Connect (OIDC) 標準に統合できます。Amazon Cognito は、サードパーティープロバイダーからのSAMLアサーションをそのSSO標準に処理できます。SAML IdP は、、 AWS Management Console、 AWS CLIまたは Amazon Cognito ユーザープール で作成および管理できますAPI。で最初の SAMLIdP を作成するには AWS Management Console、「」を参照してくださいユーザープールでの SAML ID プロバイダーの追加と管理。

IdP 設定のクイックリファレンス

リクエストを受け入れ、ユーザープールにレスポンスを送信するように SAML IdP を設定する必要があります。SAML IdP のドキュメントには、ユーザープールを 2.0 IdP SAML の依存当事者またはアプリケーションとして追加する方法に関する情報が含まれています。次のドキュメントでは、SP エンティティ ID とアサーションコンシューマーサービス (ACS) に指定する必要がある値を示しますURL。

ID プロバイダーをサポートするようにユーザープールを設定する必要があります。外部 IdP SAML を追加する大まかなステップは次のとおりです。

SAML ユーザー名の大文字と小文字の区別

フェデレーティッドユーザーがサインインしようとすると、SAMLID プロバイダー (IdP ) はユーザーのSAMLアサーションで Amazon Cognito NameIdに一意の を渡します。Amazon Cognito は、NameId請求によってSAMLフェデレーティッドユーザーを識別します。ユーザープールの大文字と小文字を区別する設定に関係なく、Amazon Cognito は、一意の大文字と小文字を区別するNameIdクレームを渡すときにSAML、IdP から返されるフェデレーティッドユーザーを認識します。email のような属性を NameId にマッピングし、ユーザーが E メールアドレスを変更すると、アプリケーションにサインインできません。

値が変更されない IdP 属性からSAMLアサーションをマッピングNameIdします。

例えば、Carlos には、NameId値 を渡した Active Directory フェデレーションサービス (ADFS) SAMLアサーションからの大文字と小文字を区別しないユーザープールにユーザープロファイルがありますCarlos@example.com。次に Carlos がサインインを試みると、IdP ADFS は NameId の値に渡しますcarlos@example.com。NameId は大文字と小文字が完全に一致する必要があるため、サインインは成功しません。

NameID を変更した後、ユーザーがログインできない場合は、ユーザープールからそのユーザーのプロファイルを削除してください。Amazon Cognito は、次回サインインしたときに新しいユーザープロファイルを作成します。