マネージドログインの認証方法を設定する

マネージドログインページは、ユーザープール認証のウェブフロントエンドであり、ユーザーがサインイン、サインアウト、またはパスワードをリセットするときに呼び出すことができます。このモデルの場合、アプリケーションは OIDC ライブラリをインポートして、ユーザープールのマネージドログインページにより、ブラウザベースの認証試行を処理します。ユーザーが使用できる認証形式は、ユーザープールとアプリケーションクライアントの設定によって異なります。アプリケーションクライアントに ALLOW_USER_AUTH フローを実装すると、Amazon Cognito は使用可能なオプションからサインイン方法を選択するようユーザーに求めます。ALLOW_USER_PASSWORD_AUTH を実装して SAML プロバイダーを割り当てると、ログインページでユーザー名とパスワードを入力するか、IdP を介して接続するかを選択するオプションがユーザーに表示されます。

Amazon Cognito ユーザープールコンソールでは、アプリケーションのマネージドログイン認証の設定を開始できます。新しいユーザープールの作成時に開発対象のプラットフォームを指定すると、コンソールに OIDC および OAuth ライブラリの実装例と、サインインおよびサインアウトフローを実装するためのスターターコードが表示されます。マネージドログインは、多くの OIDC に依拠しているパーティの実装を使用して構築できます。可能な場合は、OIDC に依拠しているパーティの認定ライブラリを使用することをお勧めします。詳細については、「ユーザープールの開始方法」を参照してください。

通常、OIDC に依拠しているパーティのライブラリは、ユーザープールの .well-known/openid-configuration エンドポイントを定期的にチェックして、トークンエンドポイントや承認エンドポイントなどの発行者 URL を特定します。ベストプラクティスとして、必要な場合は、この自動検出動作を実装します。発行者エンドポイントを手動で設定すると、エラーが発生する可能性があります。例えば、ユーザープールのドメインを変更するとします。openid-configuration へのパスは、ユーザープールのドメインにリンクされていないため、サービスエンドポイントを自動検出するアプリケーションは、ドメインの変更を自動的に検出します。

マネージドログインのユーザープール設定

アプリケーションの複数のプロバイダーによるサインインを許可したり、Amazon Cognito を独立したユーザーディレクトリとして使用したりする場合があります。また、ユーザー属性を収集したり、MFA をセットアップしてプロンプトを表示したり、E メールアドレスをユーザー名として要求したりする場合も考えられます。マネージドログインとホストされた UI のフィールドを直接編集することはできません。代わりに、ユーザープールの設定により、マネージドログインの認証フローの処理が自動的に設定されます。

ユーザープール設定の以下の項目により、Amazon Cognito がマネージドログインとホストされた UI でユーザーに提示する認証方法が決まります。

User pool options (Sign-in menu)

以下のオプションは、Amazon Cognito コンソールのユーザープールの [サインイン] メニューにあります。

Cognito ユーザープールのサインインオプション

ユーザー名のオプションがあります。マネージドログインページとホストされた UI ページは、選択した形式のユーザー名のみを受け入れます。例えば、E メールを唯一のサインインオプションとしてユーザープールを設定すると、マネージドログインページは E メール形式のユーザー名のみを受け入れます。

必須の属性

ユーザープールで属性を必須として設定すると、ユーザーはマネージドログインでのサインアップ時に、属性の値の入力を求められます。

選択ベースのサインインのオプション

選択ベースの認証での認証方法の設定があります。ここでは、パスキーやパスワードなしなどの認証方法を有効または無効にできます。これらの方法は、マネージドログインのドメインとライト階層より上の機能プランを持つユーザープールでのみ使用できます。

多要素認証

マネージドログインとホストされた UI は、MFA の登録および認証オペレーションを処理します。ユーザープールで MFA が必須である場合、サインインページでは自動的に追加の要素を設定するようユーザーに求めます。また、MFA 設定を持つユーザーに MFA コードを使用して認証を完了するよう求めます。ユーザープールで MFA がオフまたはオプションである場合、サインインページでは MFA の設定を求めません。

ユーザーアカウントの復旧

ユーザープールのセルフサービスによるアカウントの復旧の設定により、ユーザーがパスワードをリセットできるリンクをサインインページに表示するかどうかが決まります。

User pool options (Domain menu)

以下のオプションは、Amazon Cognito コンソールのユーザープールの [ドメイン] メニューにあります。

ドメイン

ユーザープールのドメインを選択すると、認証のためにブラウザを起動したときにユーザーが開くリンクのパスが設定されます。

ブランディングバージョン

ブランディングバージョンを選択すると、ユーザープールのドメインにマネージドログインとホストされた UI のどちらが表示されるかが決まります。

User pool options (Social and external providers menu)

次のオプションは、Amazon Cognito コンソールのユーザープールの [ソーシャルプロバイダーと外部プロバイダー] メニューにあります。

プロバイダー

ユーザープールに追加した ID プロバイダー (IdP) は、ユーザープール内の各アプリケーションクライアントに対してアクティブまたは非アクティブのままにすることができます。

App client options

以下のオプションは、Amazon Cognito コンソールのユーザープールの [アプリケーションクライアント] メニューにあります。これらのオプションを確認するには、リストからアプリケーションクライアントを選択します。

Quick Setup アップガイド

Quick Setup ガイドには、さまざまな開発者環境向けのコード例が記載されています。コード例には、マネージドログイン認証をアプリケーションと統合するために必要なライブラリが含まれています。

アプリケーションクライアント情報

この設定を編集して、現在のアプリケーションクライアントに対応するアプリケーションに割り当てられた IdP を設定します。Amazon Cognito は、マネージドログインページにユーザーのための選択肢を表示します。これらの選択肢は、割り当てられた方法と IdP によって決まります。例えば、MySAML という名前の SAML 2.0 IdP とローカルユーザープールのログインを割り当てると、マネージドログインページには認証方法プロンプトと MySAML のボタンが表示されます。

認証設定

この設定を編集して、アプリケーションの認証方法を設定します。Amazon Cognito は、マネージドログインページにユーザーのための選択肢を表示します。これらの選択肢は、IdP としてユーザープールを利用できるかどうかと、割り当てた方法によって決まります。例えば、選択ベースの ALLOW_USER_AUTH 認証を割り当てると、マネージドログインページには、E メールアドレスの入力やパスキーによるサインインなど、利用可能な選択肢が表示されます。マネージドログインページには、割り当てた IdP のボタンも表示されます。

ログインページ

このタブで利用可能なオプションを使用して、マネージドログインまたはホストされた UI のユーザーインタラクティブページの視覚的な効果を設定します。詳細については、「マネージドログインページにブランディングを適用する」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

認証

SDK 認証