ID プール (フェデレーティッドアイデンティティ) の認証フロー
Amazon Cognito は、エンドユーザーのために、デバイスおよびプラットフォーム全体で整合性が維持される一意の識別子を作成するために役立ちます。Amazon Cognito は、AWS リソースにアクセスするための、権限が制限された一時的な認証情報もアプリケーションに提供します。このページでは、Amazon Cognito での認証の基礎と、ID プール内のアイデンティティのライフサイクルについて説明します。
外部プロバイダーの認証フロー
Amazon Cognito で認証されるユーザーは、その認証情報をブートストラップするために複数ステップのプロセスを経由します。Amazon Cognito には、パブリックプロバイダーでの認証に、拡張認証と基本認証の 2 つの異なるフローがあります。
これらのフローの 1 つを完了すると、ロールのアクセスポリシーで定義されている他の AWS のサービス にアクセスできます。デフォルトでは、Amazon Cognito コンソール
拡張 (簡略化) 認証フロー
拡張認証フローを使用する場合、アプリケーションは最初に、承認された Amazon Cognito ユーザープールまたはサードパーティー ID プロバイダーからの ID トークンを GetID リクエストに示します。アプリは、ID プール内のアイデンティティ ID とトークンを交換します。次に、アイデンティティ ID は、GetCredentialsForIdentity リクエスト内の同じ ID プロバイダートークンと共に使用されます。強化されたワークフローでは、GetOpenIdToken と AssumeRoleWithWebIdentity をバックグラウンドでユーザーの代わりに実行することにより、認証情報の取得が簡単になります。GetCredentialsForIdentity
は、ユーザーが AWS リソースにアクセスするのを 1 時間許可する AWS API 認証情報を返します。
-
GetId
-
GetCredentialsForIdentity

基本 (Classic) 認証フロー
基本認証フローを使用する場合、アプリケーションは最初に、承認された Amazon Cognito ユーザープールまたはサードパーティー ID プロバイダーからの ID トークンを GetID リクエストに示します。アプリは、ID プール内のアイデンティティ ID とトークンを交換します。次に、アイデンティティ ID は、GetOpenIdToken リクエスト内の同じ ID プロバイダートークンと共に使用されます。GetOpenIdToken
は ID プールによって発行された新しい OAuth 2.0 トークンを返します。その後、AssumeRoleWithWebIdentity リクエストで新しいトークンを使用して AWS API 認証情報を取得できます。基本ワークフローでは、ユーザーに配布する認証情報をより細かく制御できます。拡張認証フローの GetCredentialsForIdentity
リクエストは、アクセストークンの内容に基づいてロールをリクエストします。クラシックワークフローの AssumeRoleWithWebIdentity
リクエストにより、アプリケーションの権限が拡張され、十分な信頼ポリシーが設定された任意の AWS Identity and Access Management ロールへの認証情報をリクエストできるようになります。カスタムロールセッション期間をリクエストすることもできます。
-
GetId
-
GetOpenIdToken
-
AssumeRoleWithWebIdentity

デベロッパーが認証した ID の認証フロー
デベロッパーが認証したアイデンティティ (アイデンティティプール) を使用する場合、クライアントは独自の認証システムでユーザーを検証するために、Amazon Cognito 外部のコードが含まれる異なる認証フローを使用します。Amazon Cognito 外部のコードは、外部のものであることが示されます。
拡張認証フロー
-
デベロッパープロバイダー経由でのログイン (Amazon Cognito 外部のコード)
-
ユーザーログインの検証 (Amazon Cognito 外部のコード)

基本的な認証フロー
-
デベロッパープロバイダー経由でのログイン (Amazon Cognito 外部のコード)
-
ユーザーログインの検証 (Amazon Cognito 外部のコード)

使用するべき認証フロー
ほとんどのお客様にとって、[Enhanced Flow] が正しい選択であり、[Basic Flow] に対して多くのメリットがあります。
-
デバイスで認証情報を取得するための 1 つ少ないネットワーク呼び出し。
-
すべてのコールは Amazon Cognito に対して行われるので、ネットワーク接続が 1 つ減ることにもなります。
-
アプリケーションにロールを埋め込む必要はなくなり、認証情報のブートストラッピングを開始するために必要なものは、ID プールの ID とリージョンのみになります。
2015 年 2 月以降、Amazon Cognito コンソール
拡張フローがサポートされる最小の SDK バージョンを次に示します。
SDK (最小バージョン)
-
AWS SDK for iOS (2.0.14)
-
AWS SDK for Android (2.1.8)
-
AWS SDK for JavaScript (2.1.7)
-
AWS SDK for Unity (1.0.3)
-
AWS SDK for Xamarin (3.0.0.5)
コンソールで新しい ID プールを作成するときに、設定された複数のデフォルトロールを使用する場合は、[Basic Flow] を使用してください。
API の要約
- GetId
-
GetId
API コールは、Amazon Cognito で新しいアイデンティティを確立するために最初に呼び出す必要があります。- 非認証アクセス
-
Amazon Cognito には、アプリケーションで認証されていないゲストアクセスを許可できます。この機能が ID プールで有効になっている場合、ユーザーはいつでも
GetId
API 経由で新しいアイデンティティ ID をリクエストできます。Amazon Cognito に後続のコールを実行するため、アプリケーションにはこのアイデンティティ ID をキャッシュすることが期待されます。AWS Mobile SDK と AWS SDK for JavaScript in the Browser には、このキャッシングを処理する認証情報プロバイダーがあります。 - 認証されたアクセス
-
パブリックログインプロバイダー (Facebook、Google+、Login with Amazon、または「Apple でサインイン」など) のサポートでアプリケーションを設定すると、ユーザーは、これらのプロバイダーでユーザーを識別するトークン (OAuth または OpenID Connect) を提供できるようになります。
GetId
の呼び出しで使用されると、Amazon Cognito は新しい認証されたアイデンティティを作成するか、その特定のログインに既に関連付けられているアイデンティティを返します。Amazon Cognito は、プロバイダーでトークンを検証し、以下を確実にすることでこれを行います。-
トークンは有効で、設定されたプロバイダーからのものである。
-
トークンの有効期限が切れていない。
-
トークンがそのプロバイダーで作成されたアプリケーション識別子 (例えば、Facebook アプリ ID) と一致する。
-
トークンがユーザー識別子と一致する。
-
- GetCredentialsForIdentity
-
GetCredentialsForIdentity
API は、アイデンティティ ID を確立した後で呼び出すことができます。この API は、GetOpenIdToken
とAssumeRoleWithWebIdentity
を続けて呼び出すのと同じ機能を提供します。代わりに Amazon Cognito で
AssumeRoleWithWebIdentity
を呼び出す場合は、Amazon Cognito に関連付けられた IAM ロールが ID プールにある必要があります。これは、Amazon Cognito コンソールを使用して、または手動で SetIdentityPoolRoles オペレーションを使用して実行できます。 - GetOpenIdToken
-
アイデンティティ ID を確立した後で
GetOpenIdToken
API リクエストを行います。最初のリクエスト後にアイデンティティ ID をキャッシュし、GetOpenIdToken
を使用してその ID 以降の基本 (クラシック) セッションを開始します。GetOpenIdToken
API リクエストに対するレスポンスは、Amazon Cognito が生成するトークンです。このトークンは、AssumeRoleWithWebIdentity
リクエストのWebIdentityToken
パラメータとして送信できます。OpenID トークンを送信する前に、アプリで検証してください。SDK の OIDC ライブラリや aws-jwt-verify
のようなライブラリを使用して、Amazon Cognito がトークンを発行したことを確認できます。OpenID トークンの署名キー ID または kid
は、Amazon Cognito ID jwks_uriドキュメント† にリストされているもののいずれかです。これらのキーは変更される可能性があります。Amazon Cognito ID トークンを検証する関数は、jwks_uri ドキュメントからキーのリストを定期的に更新する必要があります。Amazon Cognito は、jwks_uri キャッシュコントロールレスポンスヘッダーで更新期間を設定しており、現在 max-age
の 30 日間に設定されています。- 非認証アクセス
-
認証されていない ID のトークンを取得するには、アイデンティティ ID そのもののみが必要です。認証された ID または無効にした ID の認証されていないトークンを取得することはできません。
- 認証されたアクセス
-
認証済みの ID がある場合、その ID に既に関連付けられたログイン用に、少なくとも 1 つのトークンを渡す必要があります。
GetOpenIdToken
の呼び出し中に渡されるすべてのトークンは、前に説明したのと同じ検証を渡す必要があります。いずれかのトークンが失敗すると、呼び出し全体が失敗します。GetOpenIdToken
呼び出しからの応答に、アイデンティティ ID が含まれることもあります。これは、渡すアイデンティティ ID が、返される ID とは限らないためです。 - ログインのリンク
-
既に任意の ID と関連付けられていないログインのトークンを送信すると、そのログインは関連付けられた ID に「リンクしている」と見なされます。パブリックプロバイダーごとに、1 つのログインのみをリンクできます。複数のログインをパブリックプロバイダーにリンクしようとすると、応答として
ResourceConflictException
エラーが発生します。ログインが単純に既存の アイデンティティ にリンクされている場合、GetOpenIdToken
から返されるアイデンティティ ID は、渡された ID と同じになります。 - ID の結合
-
現在、特定の ID にリンクされていないが、別の ID にリンクされているログインに対してトークンを渡すと、2 つの ID が結合されます。いったん結合されると、1 つの ID は、すべての関連ログインの親/所有者になり、もう 1 つは無視されます。この場合、親/所有者のアイデンティティ ID が返されます。この値が異なる場合は、ローカルキャッシュを更新する必要があります。AWS Mobile SDK または AWS SDK for JavaScript in the Browser のプロバイダーは、この操作を実行します。
- GetOpenIdTokenForDeveloperIdentity
-
GetOpenIdTokenForDeveloperIdentity
API は、デベロッパーが認証した ID を使用するときに、デバイスからのGetId
とGetOpenIdToken
の使用を置き換えます。この API コールは AWS 認証情報で署名されているため、Amazon Cognito は、API コールで指定されたユーザー識別子が有効であることを信頼できます。これは、Amazon Cognito が実行するトークン検証を外部プロバイダーに置き換えます。この API のペイロードには、デベロッパープロバイダーのキーとシステムでのユーザーの識別子としての値が含まれている必要があるログインマップが含まれます。ユーザー識別子がまだ既存のアイデンティティに既にリンクされていない場合は、Amazon Cognito が新しいアイデンティティを作成して、新しいアイデンティティ ID と、そのアイデンティティの OpenID Connect を返します。ユーザー識別子が既にリンクされている場合は、Amazon Cognito が既存のアイデンティティ ID と OpenID Connect トークンを返します。最初のリクエスト後にデベロッパーアイデンティティ ID をキャッシュし、
GetOpenIdTokenForDeveloperIdentity
を使用してその ID 以降の基本 (クラシック) セッションを開始します。GetOpenIdTokenForDeveloperIdentity
API リクエストに対するレスポンスは、Amazon Cognito が生成するトークンです。このトークンは、AssumeRoleWithWebIdentity
リクエストのWebIdentityToken
パラメータとして送信できます。OpenID Connect トークンを送信する前に、アプリで検証してください。SDK の OIDC ライブラリや aws-jwt-verify
のようなライブラリを使用して、Amazon Cognito がトークンを発行したことを確認できます。OpenID Connect トークンの署名キー ID または kid
は、Amazon Cognito ID jwks_uri ドキュメント† にリストされているもののいずれかです。これらのキーは変更される可能性があります。Amazon Cognito ID トークンを検証する関数は、jwks_uri ドキュメントからキーのリストを定期的に更新する必要があります。Amazon Cognito は、jwks_uri cache-control
レスポンスヘッダーで更新期間を設定しており、現在max-age
の 30 日間に設定されています。- ログインのリンク
-
外部プロバイダーと同様に、既に ID に関連付けられていない追加のログインを指定すると、それらのログインがその ID に暗黙的にリンクされます。外部プロバイダーのログインを ID にリンクする場合、ユーザーはそのプロバイダーで外部プロバイダーの認証フローを使用できます。ただし、
GetId
またはGetOpenIdToken
を呼び出すときに、ログインマップで開発者プロバイダ名を使用することはできません。 - ID の結合
-
Amazon Cognito は、デベロッパーが認証したアイデンティティを使用して、MergeDeveloperIdentities API を通じて暗黙的なマージと明示的なマージの両方をサポートします。明示的なマージにより、システムでユーザー識別子を持つ 2 つのアイデンティティを、1 つのアイデンティティとしてマークできます。ソースと宛先のユーザー識別子を指定すると、Amazon Cognito がそれらをマージします。次回にいずれかのユーザー識別子に対して OpenID Connect トークンをリクエストすると、同じアイデンティティ ID が返されます。
- AssumeRoleWithWebIdentity
-
OpenID Connect トークンを取得したら、AWS Security Token Service (STS) の
AssumeRoleWithWebIdentity
API コールを通じて、これを一時的な AWS 認証情報と交換することができます。このコールは、Facebook、Google+、Login with Amazon、または Apple でのサインインを直接使用している場合と変わりありません。唯一の例外は、いずれかのパブリックプロバイダーからのトークンの代わりに Amazon Cognito トークンを渡すことです。作成できる ID の数には制限がないため、ユーザーに付与するアクセス権限を理解することが重要です。アプリケーション用の異なるロールを設定します (1 つは認証されていないユーザー用で、もう 1 つは認証されたユーザー用)。Amazon Cognito コンソールは、最初に ID プールをセットアップするときにデフォルトでこれらを作成します。これら 2 つのロールのアクセスポリシーはまったく同じであり、Amazon Cognito Sync へのアクセス権がユーザーに付与され、ユーザーは Amazon Mobile Analytics にイベントを送信できます。必要に応じてロールを変更できます。
ロールの信頼とアクセス権限 の詳細を確認してください。
† デフォルトの Amazon Cognito ID の jwks_uri
AWS リージョン | jwks_uri ドキュメントへのパス |
---|---|
AWS GovCloud (US-West) | https://cognito-identity.us-gov-west-1.amazonaws.com/.well-known/jwks_uri |
China (Beijing) | https://cognito-identity.cn-north-1.amazonaws.com.cn/.well-known/jwks_uri |
Opt-in Regions like Europe (Milan) and Africa (Cape Town) | https://cognito-identity. |
また、発行者から jwks_uri を推定することも、Amazon Cognito から OpenID トークンで受け取った iss
を推定することもできます。OIDC 標準の検出エンドポイント <issuer>/.well-known/openid-configuration
には、トークンの jwks_uri へのパスがリストされます。