認可エンドポイント - Amazon Cognito
GET /oauth2/authorize肯定応答を含むリクエストの例否定応答の例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

認可エンドポイント

/oauth2/authorize エンドポイントは、2 つのリダイレクト先をサポートするリダイレクトエンドポイントです。URL に identity_provider または idp_identifier のパラメータを含めると、ユーザーはその ID プロバイダー (IdP) のサインインページにそのままリダイレクトされます。それ以外の場合は、リクエストに含まれるものと同じ URL パラメータを持つ ログインエンドポイント にリダイレクトされます。

認証エンドポイントは、ホストされている UI または IdP サインインページのどちらかにリダイレクトされます。このエンドポイントにおけるユーザーセッションの送信先は、ユーザーがブラウザで直接操作する必要があるウェブページです。

認証エンドポイントを使用するには、ユーザープールに以下のユーザープールの詳細に関する情報を提供するパラメータを使用して、ユーザーのブラウザを /oauth2/authorize で呼び出します。

  • サインインするアプリクライアント。

  • 終了させたいコールバック URL。

  • ユーザーのアクセストークンでリクエストする OAuth 2.0 スコープ。

  • サインインに使用するサードパーティーの IdP (任意)。

また、Amazon Cognito が受信クレームの検証に使用する state および nonce パラメータを提供することもできます。

GET /oauth2/authorize

/oauth2/authorize エンドポイントは HTTPS GET のみをサポートします。アプリは通常、このリクエストをユーザーのブラウザで開始します。/oauth2/authorize エンドポイントへのリクエストは、HTTPS でのみ行うことができます。

OpenID Connect (OIDC) 標準における認可エンドポイントの定義の詳細については、「Authorization Endpoint」(認可エンドポイント) を参照してください。

リクエストパラメータ

response_type

(必須) レスポンスタイプ。code または token を指定する必要があります。

response_typecode のリクエストに成功すると、認証コード付与を返します。認証コード付与とは、Amazon Cognito がリダイレクト URL に追加する code パラメータです。アプリは トークンエンドポイント と、アクセス、ID、更新の各トークンとコードを交換することができます。セキュリティ上のベストプラクティスとして、またユーザーに更新トークンを受け取るには、アプリで認証コード付与を使用します。

response_typetoken のリクエストに成功すると、暗黙的な付与を返します。暗黙的な付与とは、Amazon Cognito がリダイレクト URL に追加する ID とアクセストークンのことです。暗黙的な付与は、トークンと潜在的な識別情報をユーザーに公開するため、安全性が低くなります。アプリクライアントの設定で、暗黙的な付与のサポートを無効にできます。

client_id

(必須) アプリクライアント ID。

client_id の値は、リクエストを行うユーザープール内のアプリクライアントの ID である必要があります。アプリクライアントは、Amazon Cognito ローカルユーザーまたは少なくとも 1 つのサードパーティー IdP によるサインインをサポートしている必要があります。

redirect_uri

(必須) Amazon Cognito がユーザーを認証した後に認証サーバーがブラウザをリダイレクトする URL。

リダイレクト Uniform Resource Identifier (URI) には次の属性が必要です。

  • 絶対 URI である。

  • URI を事前にクライアントに登録しておく必要があります。

  • フラグメントコンポーネントが含まれていない。

OAuth 2.0 - リダイレクトエンドポイント」を参照してください。

Amazon Cognito では、テスト目的のコールバック URL として設定できる http://localhost を除き、リダイレクト URI に HTTPS を使用することが必要です。

Amazon Cognito では、myapp://example のようなアプリのコールバック URL もサポートしています。

state

(オプション、推奨) アプリケーションがリクエストに 状態パラメータを追加すると、/oauth2/authorizeエンドポイントがユーザーをリダイレクトするときに Amazon Cognito はその値をアプリケーションに返します。

この値をリクエストに追加して CSRF 攻撃から保護します。

state パラメータの値を、URL でエンコードされた JSON 文字列に設定することはできません。state パラメータでこの形式に一致する文字列を渡すには、文字列を base64 にエンコードし、アプリでデコードします。

identity_provider

(オプション) このパラメータを追加してホストされた UI をバイパスし、ユーザーをプロバイダーのサインインページにリダイレクトします。identity_provider パラメータの値はユーザープールに表示される ID プロバイダー (IdP) の名前です。

  • ソーシャルプロバイダーの場合、identity_providerFacebookGoogleLoginWithAmazon、および を使用できますSignInWithApple

  • Amazon Cognito ユーザープールの場合は、値 を使用しますCOGNITO

  • SAML 2.0 および OpenID Connect (OIDC) ID プロバイダー (IdPs) の場合は、ユーザープールの IdP に割り当てた名前を使用します。

idp_identifier

(オプション) このパラメータを追加して、identity_provider 名の代替名を持つプロバイダーにリダイレクトします。SAML 2.0 と OIDC の識別子は、Amazon Cognito コンソールのサインインエクスペリエンスタブ IdPs から入力できます。

scope

(オプション) クライアントに関連付けられているシステム予約スコープまたはカスタムスコープの組み合わせにすることができます。スコープはスペースで区切る必要があります。システム予約されたスコープは openidemailphoneprofile、および aws.cognito.signin.user.admin です。使用されるスコープは、いずれもクライアントに関連付けられている必要があり、関連付けられていなければ、ランタイム時に無視されます。

クライアントがスコープをリクエストしない場合、認証サーバーはクライアントに関連付けられているすべてのスコープを使用します。

ID トークンは openid スコープがリクエストされた場合にのみ返されます。Amazon Cognito ユーザープールに対してアクセストークンを使用できるのは、aws.cognito.signin.user.admin スコープがリクエストされている場合のみです。phoneemail、および profile スコープは、openid スコープがリクエストされた場合にのみリクエストできます。これらのスコープは ID トークン内でクレームを記述します。

code_challenge_method

(オプション) チャレンジの生成に使用したハッシュプロトコル。PKCE RFC では S256 および plain の 2 つのメソッドが定義されていますが、Amazon Cognito 認証サーバーでは S256 のみがサポートされています。

code_challenge

(オプション) から生成したチャレンジcode_verifier

code_challenge_method パラメータを指定した場合にのみ必須です。

nonce

(オプション) リクエストに追加できるランダムな値。指定したノンス値は、Amazon Cognito が発行する ID トークンに含まれます。リプレイ攻撃を防ぐために、アプリは ID トークンの nonce クレームを検査し、生成したものと比較することができます。nonce クレームの詳細については、「OpenID Connect standard」(OpenID Connect 標準) の「ID token validation」(ID トークンの検証) を参照してください。

肯定応答を含むリクエストの例

次の例は、 /oauth2/authorizeエンドポイントへの HTTP リクエストの形式を示しています。

認証コード付与

これは、認証コード付与のリクエスト例です。

例 - GET リクエスト

次のリクエストは、セッションを開始して、ユーザーがredirect_uri送信先のアプリに渡す認証コードを取得します。このセッションは、ユーザー属性と Amazon Cognito セルフサービス API オペレーションへのアクセスのスコープをリクエストします。

GET https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize?
response_type=code&
client_id=1example23456789&
redirect_uri=https://www.example.com&
state=abcdefg&
scope=openid+profile+aws.cognito.signin.user.admin
例 - レスポンス

Amazon Cognito 認証サーバーは、承認コードとステートを伴ってリダイレクトしアプリに戻ります。認証コードは 5 分間有効です。

HTTP/1.1 302 Found
Location: https://www.example.com?code=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111&state=abcdefg

PKCE を使用した認可コード付与

これは、PKCE を使用した認証コード付与のリクエスト例です。

例 - GET リクエスト

次のリクエストは、前のリクエストに code_challengeパラメータを追加します。トークンのコード交換を完了するには、/oauth2/tokenエンドポイントへのリクエストに code_verifierパラメータを含める必要があります。

GET https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize?
response_type=code&
client_id=1example23456789&
redirect_uri=https://www.example.com&
state=abcdefg&
scope=aws.cognito.signin.user.admin&
code_challenge_method=S256&
code_challenge=a1b2c3d4...
例 - レスポンス

認証サーバーは、認証コードと状態を使用してアプリケーションにリダイレクトします。コードと状態は、フラグメントではなくクエリ文字列パラメータで返される必要があります。

HTTP/1.1 302 Found
Location: https://www.example.com?code=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111&state=abcdefg

openid スコープを使用しないトークン付与

これは、暗黙的な許可を生成し、JWTs をユーザーのセッションに直接返すリクエストの例です。

例 - GET リクエスト

次のリクエストは、認証サーバーからの暗黙的な付与用です。Amazon Cognito からのアクセストークンは、セルフサービス API オペレーションを承認します。

GET https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize?
response_type=token&
client_id=1example23456789&
redirect_uri=https://www.example.com&
state=abcdefg&
scope=aws.cognito.signin.user.admin
例 - レスポンス

Amazon Cognito 認証サーバーはアクセストークンを伴ってリダイレクトし、アプリに戻ります。openid スコープがリクエストされなかったため、Amazon Cognito は ID トークンを返しません。また、Amazon Cognito はこのフローで更新トークンを返しません。Amazon Cognito は、クエリ文字列ではなくフラグメントでアクセストークンと状態を返します。

HTTP/1.1 302 Found
Location: https://YOUR_APP/redirect_uri#access_token=ACCESS_TOKEN&token_type=bearer&expires_in=3600&state=STATE

openid スコープを使用したトークン付与

これは、暗黙的な許可を生成し、JWTs をユーザーのセッションに直接返すリクエストの例です。

例 - GET リクエスト

次のリクエストは、認証サーバーからの暗黙的な付与用です。Amazon Cognito からのアクセストークンは、ユーザー属性とセルフサービス API オペレーションへのアクセスを許可します。

GET
https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize? 
response_type=token& 
client_id=1example23456789& 
redirect_uri=https://www.example.com& 
state=abcdefg&
scope=aws.cognito.signin.user.admin+openid+profile
例 - レスポンス

認証サーバーは、アクセストークンと ID トークンを使用してアプリにリダイレクトします (openidスコープが含まれていたため)。

HTTP/1.1 302 Found
Location: https://www.example.com#id_token=eyJra67890EXAMPLE&access_token=eyJra12345EXAMPLE&token_type=bearer&expires_in=3600&state=abcdefg

否定応答の例

Amazon Cognito はリクエストを拒否する場合があります。負のリクエストには、リクエストパラメータを修正するために使用できる HTTP エラーコードと説明が付属しています。以下は、ネガティブなレスポンスの例です。

  • client_idredirect_uriが有効で、リクエストパラメータが正しくフォーマットされていない場合、認証サーバーはエラーをクライアントの にリダイレクトredirect_uriし、URL パラメータにエラーメッセージを追加します。以下は、不正なフォーマットの例です。

    • リクエストには response_typeパラメータは含まれません。

    • 認証リクエストは code_challengeパラメータを提供しましたが、 code_challenge_methodパラメータは提供していません。

    • code_challenge_method パラメータの値は ではありませんS256

    以下は、形式が正しくないリクエスト例に対するレスポンスです。

    HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request

  • クライアントが tokencodeまたは をリクエストしてもresponse_type、これらのリクエストに対するアクセス許可がない場合、Amazon Cognito 認証サーバーはredirect_uri次のようにクライアントの unauthorized_clientに を返します。

    HTTP 1.1 302 Found Location: https://client_redirect_uri?error=unauthorized_client

  • クライアントが無効、不明、または有効ではない形式のスコープをリクエストする場合は、以下にあるように、Amazon Cognito 認証サーバーが invalid_scope をクライアントの redirect_uri に返します。

    HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_scope

  • サーバーに予期しないエラーが発生した場合、認証サーバーはクライアントの server_errorに戻りますredirect_uri。HTTP 500 エラーはクライアントに送信されないため、エラーはユーザーのブラウザに表示されません。認証サーバーは次のエラーを返します。

    HTTP 1.1 302 Found Location: https://client_redirect_uri?error=server_error

  • Amazon Cognito がサードパーティー へのフェデレーションを通じて認証すると IdPs、Amazon Cognito で次のような接続の問題が発生する可能性があります。

    • IdP からトークンをリクエストしているときに接続タイムアウトが発生した場合、認証サーバーは以下のようにエラーをクライアントの redirect_uri にリダイレクトします。

      HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=Timeout+occurred+in+calling+IdP+token+endpoint

    • ID トークンの検証のためにjwks_uriエンドポイントを呼び出すときに接続タイムアウトが発生した場合、認証サーバーはredirect_uri次のようにエラーでクライアントの にリダイレクトします。

      HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=error_description=Timeout+in+calling+jwks+uri

  • サードパーティーの にフェデレーションして認証する場合 IdPs、プロバイダーはエラーレスポンスを返すことがあります。これは、設定エラーや次のようなその他の理由で発生する可能性があります。

    • 他のプロバイダーからエラーレスポンスを受け取った場合、認証サーバーは以下のようにエラーをクライアントの redirect_uri にリダイレクトします。

      HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=[IdP name]+Error+-+[status code]+error getting token

    • Google からエラーレスポンスを受け取った場合、認証サーバーは以下のようにエラーをクライアントの redirect_uri にリダイレクトします。

      HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=Google+Error+-+[status code]+[Google-provided error code]

  • Amazon Cognito が外部 IdP に接続するときに通信例外が発生すると、認証サーバーは次のいずれかのメッセージredirect_uriを使用してエラーでクライアントの にリダイレクトします。

    • HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=Connection+reset
    • HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=Read+timed+out