エンタープライズアプリケーションの Amazon Cognito 認証フローを選択する - AWS 規範ガイダンス
概要前提条件と制限事項アーキテクチャツールエピック関連リソース追加情報

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

エンタープライズアプリケーションの Amazon Cognito 認証フローを選択する

Michael Daehnert、Fabian Jahnke (Amazon Web Services)

概要

Amazon Cognito は、ウェブおよびモバイルアプリの認証、認可、およびユーザー管理機能を提供します。フェデレーティッド ID の認証向けに、便利ないくつもの機能を提供します。これを稼働させるために、テクニカルアーキテクトは各機能の使用方法を決定する必要があります。

Amazon Cognito は、認証リクエストの複数のフローをサポートしています。これらのフローは、ユーザーが ID を検証する方法を定義するものです。どの認証フローを使用するかの決定は、アプリケーションの特定の要件によって異なり、複雑になることもあります。このパターンは、エンタープライズアプリケーションに最適な認証フローを決定するのに役立ちます。Amazon Cognito、OpenID Connect (OIDC)、フェデレーションに関する基本的な知識が既にあることを前提として、さまざまなフェデレーション認証フローの詳細を説明します。

このソリューションは、技術的な意思決定者を対象としています。さまざまな認証フローを理解し、各フローをアプリケーション要件にマッピングするのに役立ちます。テクニカルリードは、Amazon Cognito の統合を開始するために必要なインサイトを収集する必要があります。エンタープライズ組織は主に SAML フェデレーションに焦点を当てているため、このパターンでは SAML フェデレーションを使用する Amazon Cognito ユーザープールについても説明します。

前提条件と制限事項

前提条件

  • アクティブな AWS アカウント

  • AWS Identity and Access Management (IAM) ロール、および Amazon Cognito へフルアクセスできる権限

  • (オプション) Microsoft Entra ID、Active Directory フェデレーションサービス (AD FS)、Okta などの ID プロバイダー (IdP) へのアクセス

  • 使用するアプリケーションに関する高度な専門知識

  • Amazon Cognito、OpenID Connect (OIDC)、フェデレーションの基本知識

制限事項

  • このパターンは、Amazon Cognito ユーザープールと ID プロバイダーに焦点を当てています。Amazon Cognito ID プールの詳細については、「追加情報」セクションを参照してください。

アーキテクチャ

次の表は、認証フローの選択に役立ちます。各フローについては、このセクション内で詳しく説明します。

マシン間の認証が必要ですか?

対象アプリケーションは、フロントエンドがサーバー側でレンダリングされる、ウェブベースのアプリケーションですか?

対象アプリケーションは、シングルページアプリケーション (SPA) またはモバイルベースのフロントエンドアプリケーションですか?

対象アプリケーションには、「サインインしたままにする」機能の更新トークンが必要ですか?

フロントエンドはブラウザベースのリダイレクトメカニズムを提供しますか?

推奨される Amazon Cognito フロー

はい

なし

なし

なし

不可

クライアント認証情報フロー

不可

あり

なし

はい

はい

認可コードフロー

いいえ

なし

はい

はい

はい

Proof Key for Code Exchange (PKCE) を使用した認可コードフロー

いいえ

なし

なし

なし

不可

リソース所有者のパスワードフロー*

* リソース所有者のパスワードフローは、どうしても必要となる場合にのみ使用してください。詳細については、このパターンの「リソース所有者のパスワードフロー」セクションを参照してください。

クライアント認証情報フロー

クライアント認証情報フローは、Amazon Cognito フローの中で最も短いフローです。システムまたはサービスが、ユーザーを仲介させずに相互に通信する場合に使用します。リクエスト元のシステムは、クライアント ID とクライアントシークレットを使用してアクセストークンを取得します。どちらのシステムもユーザーとのやり取りなしで動作するため、追加の同意ステップは必要ありません。

Amazon Cognito のクライアント認証情報フロー

この図は、以下を示すものです。

  1. アプリケーション 1 は、クライアント ID とクライアントシークレットを含む認証リクエストを Amazon Cognito エンドポイントに送信し、アクセストークンを取得します。

  2. これ以降、アプリケーション 1 は、アプリケーション 2 への呼び出しごとにこのアクセストークンを使用します。

  3. アプリケーション 2 は、Amazon Cognito を使用してアクセストークンを検証します。

このフローは、以下の状況で使用する必要があります。

  • ユーザーとのやり取りのないアプリケーション間の通信

以下の状況では、このフローを使用しないでください。

  • ユーザーとのやり取りが発生する可能性のある通信

認可コードフロー

認可コードフローは、従来のウェブベースの認証用です。このフローでは、すべてのトークン交換とストレージがバックエンドで処理されます。ブラウザベースのクライアントには、実際のトークンは表示されません。このソリューションは、.NET Core、Jakarta Faces、Jakarta Server Pages (JSP) などのフレームワークで記述されたアプリケーションに使用されます。

認可コードフローはリダイレクトベースのフローです。クライアントは、ウェブブラウザまたは同様のクライアントとやり取りできる必要があります。クライアントは認証サーバーにリダイレクトされ、このサーバーに対して認証されます。クライアントが正常に認証されると、サーバーにリダイレクトされます。

Amazon Cognito の承認コードフロー

この図表は、以下を示すものです:

  1. クライアントがリクエストをサーバーに送信します。

  2. ウェブサーバーは HTTP 302 ステータスコードを使用して、クライアントを Amazon Cognito にリダイレクトします。クライアントはこのリダイレクトに自動的に従い、設定済みの IdP ログインを実行します。

  3. IdP 側では、IdP が既存のブラウザセッションの有無を確認します。存在しない場合、ユーザーはユーザー名とパスワードを入力して認証を受けるように促されます。IdP は Amazon Cognito への応答として、SAML トークンを提供します。

  4. Amazon Cognito は成功の場合、JSON ウェブトークン (JWT)、特にコードトークンを返します。ウェブサーバーは /oauth2/token を呼び出して、コードトークンをアクセストークンと交換します。ウェブサーバーは検証のため、クライアント ID とクライアントシークレットを Amazon Cognito に送信します。

  5. これ以降、他のアプリケーションへの呼び出しのつど、アクセストークンが使用されます。

  6. 他のアプリケーションも、Amazon Cognito でアクセストークンを検証します。

このフローは、以下の状況で使用する必要があります。

  • ユーザーがウェブブラウザまたはクライアントとやり取りできる場合。ブラウザ上でシークレットが公開されないように、アプリケーションコードはサーバー側で実行およびレンダリングされます。

以下の状況では、このフローを使用しないでください。

  • 単一ページのアプリケーション (SPA) またはモバイルアプリケーションの場合は、レンダリングがクライアント側で行われるため、クライアントシークレットを使用しないでください。

PKCE を使用した認可コードフロー

単一ページのアプリケーションとモバイルアプリケーションには、Proof Key for Code Exchange (PKCE) を使用した認可コードフローを使用する必要があります。これは暗黙的なフローの後継であり、PKCE を使用するため、より安全です。PKCE は、パブリッククライアント向けの OAuth 2.0 認可コード付与の拡張機能です。PKCE は、傍受された認可コードの引き換えから保護します。

Amazon Cognito の PKCE を使用した認可コードフロー

この図表は、以下を示すものです:

  1. アプリケーションがコード検証機能とコードチャレンジを作成します。これらは明確に定義された一意の値であり、今後の参照のために Amazon Cognito に送信されます。

  2. アプリケーションが Amazon Cognito の /oauth2/authorization エンドポイントを呼び出します。これにより、設定された IdP ログイン画面に、ユーザーが自動的にリダイレクトされます。

  3. IdP は既存のセッションの有無をチェックします。存在しない場合、ユーザーはユーザー名とパスワードを入力して認証を受けるように促されます。IdP は Amazon Cognito への応答として、SAML トークンを提供します。

  4. 成功した場合、Amazon Cognito はコードトークンを返します。ウェブサーバーは /oauth2/token を呼び出して、コードトークンをアクセストークンと交換します。

  5. これ以降、他のアプリケーションへの呼び出しのつど、アクセストークンが使用されます。

  6. 他のアプリケーションは、Amazon Cognito でアクセストークンを検証します。

このフローは、以下の状況で使用する必要があります。

  • SPA またはモバイルアプリケーション

以下の状況では、このフローを使用しないでください。

  • アプリケーションのバックエンドで認証が処理される場合

リソース所有者のパスワードフロー

リソース所有者のパスワードフローは、リダイレクト機能のないアプリケーションを対象としています。このフローを構築するには、対象のアプリケーション内でログインフォームを作成します。ログインの実行は、リダイレクトフローに依存するのではなく、CLI または SDK 呼び出しを介して Amazon Cognito でチェックされます。フェデレーションにはブラウザベースのリダイレクトが必要なため、この認証フローではフェデレーションを実行できません。

Amazon Cognito を使用したリソース所有者のパスワードフロー

この図表は、以下を示すものです:

  1. ユーザーは、アプリケーションが提供するログインフォームに認証情報を入力します。

  2. AWS コマンドラインインターフェイス (AWS CLI) は、Amazon Cognito に対して admin-initiated-auth 呼び出しを行います。

    注記

    または、AWS CLI の代わりに AWS SDK を使用することもできます。

  3. Amazon Cognito はアクセストークンを返します。

  4. これ以降、他のアプリケーションへの呼び出しのつど、アクセストークンが使用されます。

  5. 他のアプリケーションは、Amazon Cognito でアクセストークンを検証します。

このフローは、以下の状況で使用する必要があります。

  • 保存された認証情報をアクセストークンに変換して、直接認証ロジック (基本アクセス認証やダイジェストアクセス認証など) を使用する既存のクライアントを OAuth に移行する場合

以下の状況では、このフローを使用しないでください。

  • フェデレーティッド ID を使用する場合

  • アプリケーションがリダイレクトをサポートしている場合

ツール

AWS サービス

  • Amazon Cognito は、ウェブおよびモバイルアプリの認証、認可、およびユーザー管理機能を提供します。

その他のツール

エピック

タスク説明必要なスキル

認証要件の定義

特定の認証要件に従ってアプリケーションを評価します。

アプリ開発者、アプリアーキテクト

要件を認証フローに合わせる

アーキテクチャ」セクションで、フローの決定表とそれぞれの説明を参考にして、使用する Amazon Cognito 認証フローを選択します。

アプリ開発者、AWS 全般、アプリアーキテクト
タスク説明必要なスキル

ユーザープールの作成

  1. AWS マネジメントコンソールにサインインし、Amazon Cognito コンソールを開きます。

  2. Cognito ユーザープールを作成します。手順については、「Amazon Cognito user pools」を参照してください。

  3. ユーザープールの設定と属性を必要に応じて更新します。例えば、ユーザープールのパスワードポリシーを設定します。アプリケーションクライアントはまだ作成しないでください。

AWS 全般

(オプション) ID プロバイダーの設定

  1. Amazon Cognito のユーザープールに、SAML ID プロバイダーを作成します。手順については、「Adding and managing SAML identity providers in a user pool」を参照してください。

  2. サードパーティーの SAML ID プロバイダーを、Amazon Cognito ユーザープールのフェデレーションと連携するように設定します。詳細については、「Configuring your third-party SAML identity provider」を参照してください。AD FS を使用している場合は、「Building AD FS Federation for your Web App using Amazon Cognito User Pools」(AWS ブログ記事) を参照してください。

AWS 全般、フェデレーション管理者

アプリケーションクライアントの作成

  1. ユーザープールのアプリケーションクライアントを作成します。手順については、「Creating an app client」を参照してください。次の点に注意してください。

    • トークンの有効期限など、必要に応じて設定を変更します。

    • 認証フローにクライアントシークレットが必要ない場合は、[クライアントシークレットを生成] チェックボックスをオフにします。

  2. [アプリクライアントの設定] を選択して、その統合を、ユーザープールログイン (ユーザー名とパスワード)、または SAML ベースの IdP 経由のフェデレーティッドログインに変更します。

  3. URL を定義し、必要に応じて OAuth フローまたはスコープを定義して、IdP を有効にします。

AWS 全般
タスク説明必要なスキル

Amazon Cognito との統合の詳細をやり取りする

認証フローに応じて、ユーザープール ID やアプリケーションクライアント ID などの Amazon Cognito 情報をアプリケーションと共有します。

アプリ開発者、AWS 全般

Amazon Cognito 認証を実装する

この手順は、選択した認証フロー、プログラミング言語、使用しているフレームワークによって異なります。「関連リソース」セクションでは、手順を開始するためのいくつかのリンクを紹介しています。

アプリ開発者

関連リソース

AWS ドキュメント

AWS ブログ投稿

実装パートナー

追加情報

よくある質問

暗黙的なフローが廃止されるのはなぜですか?

OAuth 2.1 フレームワークのリリース以降、暗黙的なフローはセキュリティ上の理由から非推奨としてマークされています。代わりの方法として、「アーキテクチャ」セクションで説明している、PKCE を使用した認可コードフローを使用してください。

必要な機能が Amazon Cognito によって提供されていない場合はどうしたらいいですか?

AWS パートナーにより、認証および認可ソリューションに対するさまざまな統合機能が提供されています。詳細については、「AWS Partners for authentication solutions」を参照してください。

Amazon Cognito ID プールフローとはどのような機能ですか?

Amazon Cognito ユーザープールとフェデレーション ID は認証用です。Amazon Cognito ID プールは、一時的な AWS 認証情報をリクエストして AWS リソースへのアクセスを承認するために使用されます。ID プールの ID トークンとアクセストークンの交換については、このパターンでは説明していません。詳細については、「Amazon Cognito ユーザープールとアイデンティティプールの違いは何ですか?」および「Common Amazon Cognito scenarios」を参照してください。

次のステップ

このパターンでは、Amazon Cognito 認証フローの概要について説明しました。次のステップとして、アプリケーションのプログラミング言語の詳細な実装を選択する必要があります。いくつもの言語から、Amazon Cognito で使用可能な SDK とフレームワークが提供されています。有益な関連情報については、「関連リソース」セクションを参照してください。