マネージドログインに Amazon Cognito プレフィックスドメインを使用する - Amazon Cognito
前提条件Amazon Cognito ドメインプレフィックスを設定するサインインページを検証する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マネージドログインに Amazon Cognito プレフィックスドメインを使用する

マネージドログインのデフォルトのエクスペリエンスは、AWS が所有するドメインでホストされます。このアプローチでは、プレフィックス名を選択してアクティブにできるので、エントリに対する障壁は低くなりますが、カスタムドメインの信頼感を高める機能はありません。Amazon Cognito ドメインオプションとカスタムドメインオプションの間でコスト差はありません。唯一の違いは、ユーザーに指示するウェブアドレスのドメインです。サードパーティーの IdP リダイレクトとクライアント認証情報フローの場合、ホストされたドメインはほとんど表示されません。ユーザーがマネージドログインを使用してサインインし、アプリケーションドメインと一致しない認証ドメインとやり取りする場合は、カスタムドメインの方が適しています。

ホストされた Amazon Cognito ドメインには、選択したプレフィックスがありますが、ルートドメイン amazoncognito.com でホストされます。以下に例を示します。

https://cognitoexample.auth.ap-south-1.amazoncognito.com

すべてのプレフィックスドメインは、次の形式に従います: prefix.auth.AWS リージョン code.amazoncognito.comカスタムドメイン ユーザープールは、マネージドログインまたはホストされた UI ページを、所有している任意のドメインでホストできます。

注記

Amazon Cognito アプリケーションのセキュリティを強化するために、ユーザープールエンドポイントの親ドメインはパブリックサフィックスリスト (PSL) に登録されます。PSL は、ユーザーのウェブブラウザが、ユーザーが設定するユーザープールエンドポイントと Cookie を一貫して把握するのに役立ちます。

ユーザープールの親ドメインは、以下の形式になります。


auth.Region.amazoncognito.com
auth-fips.Region.amazoncognito.com

AWS マネジメントコンソールを使用してアプリケーションクライアントとユーザープールドメインを追加するには、「アプリクライアントの作成」を参照してください。

前提条件

開始するには、以下が必要です。

Amazon Cognito ドメインプレフィックスを設定する

AWS マネジメントコンソール 、AWS CLI または API のいずれかを使用して、ユーザプールドメインを設定できます。

Amazon Cognito console
ドメインを設定する

  1. [ブランディング] の下にある [ドメイン] メニューに移動します。

  2. [ドメイン] の横で [アクション][Cognito ドメインを作成] の順に選択します。ユーザープールのプレフィックスドメインを設定済みである場合は、新しいカスタムドメインを作成する前に、[Cognitoドメインの削除] を選択します。

  3. Amazon Cognito ドメインで使用するための使用可能なドメインプレフィックスを入力します。カスタムドメインの設定方法については、「マネージドログインに独自のドメインを使用する」を参照してください。

  4. [ブランディングバージョン] を選択します。ブランディングバージョンは、そのドメインのすべてのユーザーインタラクティブページに適用されます。ユーザープールは、すべてのアプリケーションクライアントでマネージドログインブランディングまたはホステッド UI ブランディングのいずれかをホストできます。

    注記

    カスタムドメインとプレフィックスドメインを持つことができますが、Amazon Cognito はカスタムドメイン用の /.well-known/openid-configuration エンドポイントのみを提供します。

  5. [作成] を選択します。

CLI/API

ドメインプレフィックスを作成してユーザープールに割り当てるには、次のコマンドを使用します。

ユーザープールのドメインを設定する

  • AWS CLI: aws cognito-idp create-user-pool-domain

    例: aws cognito-idp create-user-pool-domain --user-pool-id <user_pool_id> --domain <domain_name> --managed-login-version 2

  • ユーザープールの API オペレーション: CreateUserPoolDomain

ドメインに関する情報を取得する

  • AWS CLI: aws cognito-idp describe-user-pool-domain

    例: aws cognito-idp describe-user-pool-domain --domain <domain_name>

  • ユーザープールの API オペレーション: DescribeUserPoolDomain

ドメインを削除する

  • AWS CLI: aws cognito-idp delete-user-pool-domain

    例: aws cognito-idp delete-user-pool-domain --domain <domain_name>

  • ユーザープールの API オペレーション: DeleteUserPoolDomain

サインインページを検証する

  • Amazon Cognito でホストされるドメインから、サインインページが利用可能であることを検証します。

    
https://<your_domain>/login?response_type=code&client_id=<your_app_client_id>&redirect_uri=<your_callback_url>

ドメインは、Amazon Cognito コンソールの [ドメイン名] ページに表示されます。アプリクライアント ID およびコールバック URL は [App client settings] (アプリクライアントの設定) ページに表示されています。