ウェブ ID フェデレーションについて
モバイルデバイスで実行され、Amazon S3 および DynamoDB を使用してプレイヤーとスコアの情報を保存するゲームのような、AWS リソースにアクセスするモバイルアプリを作成しているとします。
このようなアプリを記述する場合、AWS アクセスキーで署名する必要がある AWS サービスに対してリクエストを実行します。ただし、暗号化されたストアであっても、ユーザーがデバイスにダウンロードするアプリに長期の AWS 認証情報を埋め込んだり配信したりしないことを強くお勧めします。代わりに、ウェブ ID フェデレーションを使用して、必要に応じて一時的な AWS セキュリティ認証情報を動的に要求するようにアプリを構築します。提供される一時的な認証情報は、モバイルアプリケーションで必要とされるタスクの実行に必要なアクセス許可のみを持つ AWS ロールにマッピングされます。
ウェブ ID フェデレーションを使用すると、カスタムサインインコードを作成したり独自のユーザー ID を管理したりする必要はありません。その代わりに、アプリのユーザーは、よく知られている外部 ID プロバイダー (IdP) (例: Login with Amazon、Facebook、Google などの OpenID Connect (OIDC)
ほとんどのシナリオでは、Amazon Cognito
Amazon Cognito を使用しない場合は、コードを記述して、ウェブ IdP (例: Facebook) とやり取りし、AssumeRoleWithWebIdentity
API を呼び出して、これらの IdP から取得した認証トークンを一時的な AWS セキュリティ認証情報と交換する必要があります。既存のアプリで既にこのアプローチを使用している場合は、それを使い続けることができます。
トピック