2.0 ID SAML プロバイダーを追加する - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

2.0 ID SAML プロバイダーを追加する

アプリユーザーは 2.0 ID プロバイダー (IdP ) SAML でサインインできます。顧客が組織の内部顧客またはリンクされたビジネス IdPs である場合は、ソーシャル IdPs よりも SAML 2.0 を選択できます。ソーシャル IdP がすべてのユーザーにアカウントへの登録を許可する場合、IdP SAML は組織が管理するユーザーディレクトリとペアになる可能性が高くなります。ユーザーが直接サインインしても、サードパーティーを介してサインインしても、すべてのユーザーにはユーザープールにプロファイルがあります。SAML ID プロバイダーを介してサインインを追加しない場合は、このステップをスキップします。

詳細については、「ユーザープールでの SAML ID プロバイダーの使用」を参照してください。

SAML ID プロバイダーを更新し、ユーザープールを設定する必要があります。ユーザープールを SAML2.0 ID プロバイダーの依存当事者またはアプリケーションとして追加する方法については、SAMLID プロバイダーのドキュメントを参照してください。

また、アサーションコンシューマーサービス (ACS) エンドポイントを SAML ID プロバイダーに提供する必要があります。SAML ID プロバイダーの 2.0 SAML POSTバインディングのために、ユーザープールドメインで次のエンドポイントを設定します。ユーザープールドメインの詳細については、「」を参照してくださいユーザープールのドメインを設定する

https://Your user pool domain/saml2/idpresponse
With an Amazon Cognito domain:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
With a custom domain:
https://Your custom domain/saml2/idpresponse

Amazon Cognito コンソールドメイン名タブで、ユーザープールのドメインプレフィックスとリージョン値を確認できます。

SAML ID プロバイダーによっては、オーディエンスURIまたは SP エンティティ ID urnとも呼ばれるサービスプロバイダー (SP) を次の形式で提供する必要があります。

urn:amazon:cognito:sp:<yourUserPoolID>

ユーザープール ID は、Amazon Cognito コンソール[General settings] (全般設定) タブにあります。

また、ユーザープールに必要な属性の属性値を提供するように SAML ID プロバイダーを設定する必要があります。通常、email はユーザープールの必須属性です。この場合、SAMLアイデンティティプロバイダーはSAMLアサーションにemail値 (クレーム) を指定する必要があります。

Amazon Cognito ユーザープールは、バインディング後のエンドポイントによる SAML 2.0 フェデレーションをサポートしています。これにより、ユーザープールはユーザーエージェントを介して ID プロバイダーから直接レスポンスを受け取るため、アプリがSAMLアサーションSAMLレスポンスを取得または解析する必要がなくなります。

ユーザープールで 2.0 ID SAML プロバイダーを設定するには

  1. Amazon Cognito コンソールに移動します。プロンプトが表示されたら、 AWS 認証情報を入力します。

  2. [User Pools] (ユーザープール) を選択します。

  3. リストから既存のユーザープールを選択するか、ユーザープールを作成します。

  4. [Sign-in experience] (サインインエクスペリエンス) タブを選択します。[Federated sign-in] (フェデレーションサインイン) を検索し、[Add an identity provider] (ID プロバイダーの追加) を選択します。

  5. SAML ソーシャル ID プロバイダーを選択します。

  6. カンマで区切られた [Identifiers] (識別子) を入力します。識別子は、ユーザーがサインインするときに入力した E メールアドレスを確認する必要があることを Amazon Cognito に伝えます。次に、ドメインに対応するプロバイダーに誘導します。

  7. ユーザーがログアウトしたときに、Amazon Cognito が署名されたサインアウト要求をプロバイダーに送信するためには、[Add sign-out flow] (サインアウトフローの追加) を選択します。ホストされた UI SAML を設定するときに作成されるhttps://<your Amazon Cognito domain>/saml2/logoutエンドポイントにサインアウトレスポンスを送信するように 2.0 ID プロバイダーを設定する必要があります。saml2/logout エンドポイントはPOSTバインディングを使用します。

    注記

    このオプションが選択されていて、SAMLID プロバイダーが署名付きログアウトリクエストを予期している場合は、Amazon Cognito によって提供される署名証明書を SAML IdP で設定する必要があります。

    SAML IdP は署名付きログアウトリクエストを処理し、Amazon Cognito セッションからユーザーをログアウトします。

  8. [Metadata document source] (メタデータドキュメントソース) を選択します。ID プロバイダーがパブリック でSAMLメタデータを提供している場合はURL、メタデータドキュメントURLを選択して、そのパブリック を入力できますURL。それ以外の場合は、[Upload metadata document] (メタデータドキュメントをアップロード) を選択し、プロバイダーから以前ダウンロードしたメタデータファイルを選択します。

    注記

    ファイルをアップロードするのではなく、プロバイダーにパブリックエンドポイントURLがある場合は、メタデータドキュメントを入力することをお勧めします。これにより、Amazon Cognito はメタデータを自動的に更新できます。通常、メタデータの更新は 6 時間ごとまたはメタデータの有効期限が切れる前のいずれか早いタイミングで発生します。

  9. SAML プロバイダーとアプリ間の属性をマッピングを選択して、SAMLプロバイダー属性をユーザープールのユーザープロファイルにマッピングします。ユーザープールの必須属性を属性マップに含めます。

    例えば、ユーザープール属性 を選択した場合はemail、ID プロバイダーからのSAMLアサーションに表示されるSAML属性名を入力します。ID プロバイダーが参照用にサンプルSAMLアサーションを提供する場合があります。ID プロバイダーの中には、 などの単純な名前を使用するものもあればemail、次の例のように URL形式の属性名を使用するものもあります。

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. [Create] (作成) を選択します。