Amazon Cognito の一般的な用語と概念 - Amazon Cognito
全般ユーザープールアイデンティティプール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Cognito の一般的な用語と概念

Amazon Cognito は、ウェブアプリケーションおよびモバイルアプリケーションの認証情報を提供します。これは、ID 管理とアクセス管理の一般的な用語に基づいて構築されています。ID とアクセスで一般的に使用される用語については、多くのガイドがあります。いくつか例を挙げます。

次のリストは、Amazon Cognito に固有の用語や、Amazon Cognito の特定のコンテキストがある用語を説明しています。

全般

このリストの用語は Amazon Cognito に固有のものではなく、Identity and Access Management 実務者の間で広く認識されているものです。以下は、用語の包括的なリストではなく、このガイド中の特定の Amazon Cognito コンテキストについてのガイドです。

アクセストークン

情報システムにアクセスするためのエンティティの認可に関する情報を含む JSON ウェブトークン (JWT)。

アプリ、アプリケーション

通常、モバイルアプリケーションを指します。このガイドで、アプリケーションとは、多くの場合、Amazon Cognito に接続するウェブアプリケーションまたはモバイルアプリケーションの略語です。

属性ベースのアクセスコントロール (ABAC)

ユーザーの役職や部門などのユーザーのプロパティに基づいてアプリケーションがリソースへのアクセスを決定するモデル。ABAC を適用するための Amazon Cognito ツールには、ユーザープールの ID トークンとアイデンティティプールのプリンシパルタグが含まれます。

認証

情報システムへのアクセスを目的として本人確認を行うプロセス。Amazon Cognito は、サードパーティの ID プロバイダーからの認証証明を受け入れるとともに、ソフトウェアアプリケーションの認証プロバイダーにもなります。

認可

リソースにアクセス許可を付与するプロセス。ユーザープールのアクセストークンには、アプリケーションがユーザーやシステムに対してリソースへのアクセスを許可するための情報が含まれています。

認可サーバー

JSON ウェブトークンを生成する OAuth または OpenID Connect (OIDC) システム。Amazon Cognito ユーザープールのマネージド認可サーバーは、ユーザープールの 2 つの認証および認可方法の認可サーバーコンポーネントです。ユーザープールは、SDK 認証で API チャレンジレスポンスフローもサポートしています。

機密アプリケーション、サーバー側アプリケーション

ユーザーがアプリケーションサーバー上のコードとシークレットへのアクセスを使用してリモートに接続するアプリケーション。これは通常、ウェブアプリケーションです。

ID プロバイダー (IdP)

ユーザー ID を保存して検証するサービス。Amazon Cognito は、外部プロバイダーに認証をリクエストし、アプリケーションへの IdP として機能できます。

JSON ウェブトークン (JWT)

認証されたユーザーに関するクレームを含む JSON 形式のドキュメント。ID トークンはユーザーを認証し、アクセストークンはユーザーを認可し、更新トークンは認証情報を更新します。Amazon Cognito は外部プロバイダーからトークンを受け取り、アプリケーションまたは AWS STS にトークンを発行します。

Machine to machine (M2M) 認可

ウェブサーバーアプリケーション層など、非ユーザーインタラクティブなマシンエンティティの API エンドポイントへのリクエストを認可するプロセス。ユーザープールは、アクセストークンの OAuth 2.0 スコープを使用して、クライアント認証情報の付与における M2M 認可を提供します。

多要素認証 (MFA)

ユーザーがユーザー名とパスワードを入力した後に追加の認証を行う必要があるという要件。Amazon Cognito ユーザープールには、ローカルユーザー用の MFA 機能があります。

OAuth 2.0 (ソーシャル) プロバイダー

JWT アクセスと更新トークンを提供するユーザープールまたはアイデンティティプールへの IdP。Amazon Cognito ユーザープールは、ユーザーが認証された後にソーシャルプロバイダーとのインタラクションを自動化します。

OpenID Connect (OIDC) プロバイダー

OAuth 仕様を拡張して ID トークンを提供するユーザープールまたはアイデンティティプールへの IdP。Amazon Cognito ユーザープールは、ユーザーが認証された後に OIDC プロバイダーとのインタラクションを自動化します。

パスキー、WebAuthn

ユーザーのデバイス上の暗号化キー (パスキー) で認証の証明を行う認証形式。ユーザーは、ハードウェアやソフトウェア認証ツールの生体認証または PIN コードメカニズムを通じて本人確認を行います。パスキーは、フィッシング攻撃に耐性があり、特定のウェブサイトやアプリケーションにバインドされているため、パスワードなしで安全に操作できます。Amazon Cognito ユーザープールは、パスキーを使用したサインインをサポートしています。

パスワードなし

ユーザーがパスワードを入力する必要がない認証形式。パスワードなしのサインイン方法には、E メールアドレスと電話番号、およびパスキーに対して送信されるワンタイムパスワード (OTP) が含まれます。Amazon Cognito ユーザープールは、OTP とパスキーを使用したサインインをサポートしています。

パブリックアプリケーション

コードがローカルに保存され、シークレットへのアクセスを持たない、デバイス上で自己完結するアプリケーション。これは通常、モバイルアプリケーションです。

リソースサーバー

アクセスコントロールを持つ API。また、Amazon Cognito ユーザープールは、リソースサーバーを使用して、API を操作するための設定を定義するコンポーネントを記述します。

ロールベースのアクセスコントロール (RBAC)

ユーザーの職能指定に基づいてアクセスを許可するモデル。Amazon Cognito アイデンティティプールは、各 IAM ロールを区別して RBAC を実装します。

サービスプロバイダー (SP)、依拠しているパーティー (RP)

ユーザーが信頼できることをアサートするために IdP に依存するアプリケーション。Amazon Cognito は、外部 IdP の SP として、また、アプリケーションベースの SP の IdP として機能します。

SAML プロバイダー

ユーザーが Amazon Cognito に渡すデジタル署名されたアサーションドキュメントを生成するユーザープールまたはアイデンティティプールへの IdP。

Universally Unique Identifier (UUID)

オブジェクトに適用される 128 ビットのラベル。Amazon Cognito UUID はユーザープールまたはアイデンティティプールごとに一意ですが、特定の UUID 形式に準拠していません。

ユーザーディレクトリ

特定の情報を他のシステムに提供するユーザーとその属性の集合。Amazon Cognito ユーザープールはユーザーディレクトリであり、外部ユーザーディレクトリのユーザーを統合するためのツールでもあります。

ユーザープール

このガイドで、次のリストの用語は、ユーザープールの特定の機能または設定を参照しています。

アダプティブ認証

潜在的な悪意のあるアクティビティを検出し、ユーザープロファイルに追加のセキュリティを適用する高度なセキュリティの機能。

アプリケーションクライアント

ユーザープールの設定を 1 つのアプリケーションへの IdP として定義するコンポーネント。

コールバック URL、リダイレクト URI、リターン URL

アプリケーションクライアントの設定と、ユーザープールの認可サーバーへのリクエストのパラメータ。コールバック URL は、アプリケーションの認証済みユーザーの最初の送信先です。

選択ベースの認証

ユーザープールでの API 認証形式であり、各ユーザーは複数のサインイン方法から選択できます。ユーザー名とパスワード (MFA を使用または不使用)、パスキーによるサインイン、E メールまたは SMS メッセージのワンタイムパスワードによるパスワードなしのサインインなどから選択できます。アプリケーションは、認証オプションのリストをリクエストするか、希望するオプションを宣言することで、ユーザーが選択するプロセスを方向付けることができます。

クライアントベースの認証と比較してください。

クライアントベースの認証

ユーザープールの API と AWS SDK で構築されたアプリケーションのバックエンドを使用した認証形式。宣言型認証の場合、アプリケーションはユーザーが実行すべきログインタイプを独自に決定し、そのタイプを事前にリクエストします。

選択ベースの認証と比較してください。

漏えいした認証情報

攻撃者が知っている可能性のあるユーザーパスワードを検出し、ユーザープロファイルに追加のセキュリティを適用する高度なセキュリティ機能。

確認

新しいユーザーがサインインできるように、前提条件が満たされていると判断するプロセス。確認は通常、E メールアドレスまたは電話番号の検証を通じて行われます。

カスタム認証

Lambda トリガーを使用した認証プロセスの拡張で、追加のユーザーチャレンジとレスポンスを定義するもの。

デバイス認証

MFA を、信頼されたデバイスの ID を使用するサインインに置き換える認証プロセス。

ドメイン、ユーザープールドメイン

AWS でマネージドログインページをホストするウェブドメイン。独自に所有するドメインで DNS を設定することも、AWS が所有するドメインで識別用のサブドメインプレフィックスを使用することもできます。

エッセンシャルプラン

ユーザープールの最新の開発が含まれた機能プラン。エッセンシャルプランには、プラスプランの自動学習型セキュリティ機能は含まれていません。

外部プロバイダー、サードパーティープロバイダー

ユーザープールと信頼関係がある IdP。ユーザープールは、外部プロバイダーとアプリケーション間の中間エンティティとして機能し、SAML 2.0、OIDC、およびソーシャルプロバイダーによる認証プロセスを管理します。ユーザープールは、外部プロバイダーの認証結果を 1 つの IdP に統合するため、アプリケーションは単一の、OIDC に依拠しているパーティのライブラリで多数のユーザーを処理できます。

機能プラン

ユーザープールに選択できる機能のグループ。機能プランごとに AWS 請求のコストは異なります。新しいユーザープールには、デフォルトでエッセンシャルプランが適用されます。

現在のプラン
フェデレーションユーザー、外部ユーザー

外部プロバイダーによって認証されたユーザープール内のユーザー。

ホストされた UI (クラシック)、ホストされた UI ページ

ユーザープールドメインにおける認証フロントエンド、依拠しているパーティ、および ID プロバイダーサービスの初期バージョン。ホストされた UI は、基本的な機能セットと、シンプルな外観と操作感を備えています。ロゴ画像ファイルと事前定義済みの CSS スタイルセットを含むファイルをアップロードして、ホステッド UI ブランディングを適用できます。マネージドログインと比較してください。

Lambda トリガー

ユーザープールがユーザー認証プロセスのキーポイントで自動的に呼び出すことができる AWS Lambda 関数。Lambda トリガーを使用して認証結果をカスタマイズできます。

ローカルユーザー

ユーザープールユーザーディレクトリ内のユーザープロファイルで、外部プロバイダーによる認証によって作成されなかったもの。

リンクされたユーザー

ID がローカルユーザーとマージされる外部プロバイダーのユーザー。

ライトプラン

ユーザープールの最初にリリースされた機能が含まれている機能プラン。ライトプランには、エッセンシャルプランの新機能やプラスプランの自動学習型セキュリティ機能は含まれていません。

マネージド認可サーバー、ホストされた UI 認可サーバー、認可サーバー

マネージドログインのコンポーネントであり、ユーザープールドメインで、IdP とアプリケーションとのやり取り用のサービスをホストします。ホストされた UI は、マネージドログインとは、提供するユーザーインタラクティブ機能が異なりますが、認可サーバー機能は同じです。

マネージドログイン、マネージドログインページ

ユーザープールドメインで、ユーザー認証用のサービスをホストする一連のウェブページ。これらのサービスには、IdP、サードパーティ IdP に依拠しているパーティ、およびユーザーインタラクティブ認証 UI のサーバーとして動作する機能が含まれています。ユーザープールのドメインを設定すると、Amazon Cognito のすべてのマネージドログインページがオンラインになります。

アプリケーションは、OIDC ライブラリをインポートすることで、ユーザーのブラウザを起動してマネージドログイン UI に誘導し、サインアップ、サインイン、パスワード管理、その他の認証オペレーションを行います。認証後、OIDC ライブラリは認証リクエストの結果を処理できます。

マネージドログイン認証

ユーザーインタラクティブなブラウザページまたは HTTPS API リクエストを使用して、ユーザープールドメインのサービスにサインインします。アプリケーションは OpenID Connect (OIDC) ライブラリを使用してマネージドログイン認証を処理します。このプロセスには、外部プロバイダーによるサインイン、インタラクティブマネージドログインページによるローカルユーザーのサインイン、M2M 認可が含まれます。クラシックのホストされた UI による認証も、この用語に該当します。

AWS SDK 認証と比較してください。

プラスプラン

ユーザープールの最新の開発と高度なセキュリティ機能を備えた機能プラン

SDK 認証、AWS SDK 認証

AWS SDK を使用してアプリケーションのバックエンドに追加できる認証および認可 API オペレーションのセット。この認証モデルには、独自のカスタム構築したログインメカニズムが必要です。API は、ローカルユーザーリンクされたユーザーにサインインできます。

マネージドログイン認証と比較してください。

脅威保護、高度なセキュリティ機能

ユーザープールでの脅威保護とは、認証および認可メカニズムに対する脅威を軽減するように設計されたテクノロジーを指します。アダプティブ認証、漏えいした認証情報の検出、IP アドレスのブロックリストは、脅威保護のカテゴリに含まれます。

トークンのカスタマイズ

実行時にユーザーの ID またはアクセストークンを変更するトークン生成前の Lambda トリガーの結果。

ユーザープール、Amazon Cognito ID プロバイダー、cognito-idp、Amazon Cognito ユーザープール

OIDC IdP と連携するアプリケーションの認証および認可サービスを持つ AWS リソース。

検証

ユーザーが E メールアドレスまたは電話番号を所有していることを確認するプロセス。ユーザープールは、新しい E メールアドレスまたは電話番号を入力したユーザーにコードを送信します。Amazon Cognito にコードを送信すると、ユーザーがメッセージの送信先を所有していることを検証して、ユーザープールから追加のメッセージを受信できます。また、「確認」を参照してください。

ユーザープロファイル、ユーザーアカウント

ユーザーディレクトリ内のユーザーのエントリ。サードパーティ IdP のユーザーを含むすべてのユーザーは、ユーザープールにプロファイルを持ちます。

アイデンティティプール

このガイドで、次のリストの用語は、アイデンティティプールの特定の機能または設定を参照しています。

アクセスコントロールの属性

アイデンティティプールでの属性ベースのアクセスコントロールの実装。アイデンティティプールは、ユーザー認証情報にユーザー属性をタグとして適用します。

基本 (クラシック) 認証

ユーザー認証情報のリクエストをカスタマイズできる認証プロセス。

デベロッパーが認証した ID

デベロッパー認証情報を使用してアイデンティティプールのユーザー認証情報を認可する認証プロセス。

デベロッパー認証情報

アイデンティティプール管理者の IAM API キー。

拡張認証

IAM ロールを選択し、アイデンティティプールで定義したロジックに従ってプリンシパルタグを適用する認証フロー。

ID

アプリケーションユーザーとそのユーザー認証情報を、アイデンティティプールと信頼関係がある外部ユーザーディレクトリ内のプロファイルにリンクする UUID

アイデンティティプール、Amazon Cognito フェデレーティッド ID、Amazon Cognito ID、 cognito-identity

一時的な AWS 認証情報を使用するアプリケーションの認証および認可サービスを持つ AWS リソース。

認証されていない ID

アイデンティティプール IdP でサインインしていないユーザー。認証前に、ユーザーが単一の IAM ロールに対して制限付きユーザー認証情報を生成することを許可できます。

ユーザー認証情報

アイデンティティプール認証後にユーザーが受け取る一時的な AWS API キー。