シナリオ例: エンタープライズダッシュボードで Amazon Cognito アプリケーションをブックマークする - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

シナリオ例: エンタープライズダッシュボードで Amazon Cognito アプリケーションをブックマークする

ウェブアプリケーションへの Amazon Cognito ユーザープール SSO アクセスを提供するブックマークを SAML または OIDC IdP ダッシュボードに作成できます。Amazon Cognito には、ユーザーがホストされた UI でサインインする必要のない方法でリンクできます。これを行うには、次の形式で Amazon Cognito ユーザープール認可エンドポイントの にリダイレクトするサインインブックマークをポータルに追加します。

https://mydomain.us-east-1.amazoncognito.com/authorize?response_type=code&identity_provider=MySAMLIdP&client_id=1example23456789&redirect_uri=https://www.example.com

注記

認証エンドポイントへのリクエストで、identity_provider パラメータの代わりに idp_identifier パラメータを使用することもできます。IdP 識別子は、ユーザープールに ID プロバイダーを作成するときに設定できる代替名または E メールドメインです。SAML ID プロバイダーの名前と識別子 を参照してください。

リクエストで適切なパラメータを使用すると、/authorize では、Amazon Cognito は SP が開始したサインインフローをサイレントに開始し、IdP でサインインするようにユーザーをリダイレクトします。

開始するには、ユーザープールに SAML IdP を追加します。サインインに SAML IdP を使用し、承認されたコールバック URL としてアプリの URL を持つアプリクライアントを作成します。アプリクライアントの詳細については、「ユーザープールアプリクライアント」を参照してください。

この認証されたアクセスをポータルにデプロイする前に、ホストされた UI からアプリケーションへの SP 開始サインインをテストします。Amazon Cognito で SAML IdP を設定する方法の詳細については、「サードパーティーの SAML ID プロバイダーの設定」を参照してください。

次の図表は、IDP 開始 SSO をエミュレートする認証フローを示しています。ユーザーは、会社ポータルのリンクから Amazon Cognito で認証できます。

エンタープライズアプリケーションのダッシュボードから始まる Amazon Cognito SAML サインイン。

要件を満たしたら、 identity_providerまたは idp_identifierパラメータ認可エンドポイントを含むブックマークを に作成します。ユーザー認証は次のように進行します。

  1. ユーザーは SSO IdP ダッシュボードにサインインします。ユーザーがアクセスを許可されているエンタープライズアプリケーションには、このダッシュボードが表示されます。

  2. ユーザーが Amazon Cognito で認証するアプリケーションへのリンクを選択します。多くの SSO ポータルでは、カスタムアプリリンクを追加できます。SSO ポータルでパブリック URL へのリンクを作成するために使用できる機能はすべて機能します。

  3. SSO ポータル内のカスタムアプリリンクは、ユーザーをユーザープール 認可エンドポイント に誘導します。リンクには、response_typeclient_idredirect_uri および identity_provider のパラメータが含まれます。identity_provider パラメータは、ユーザープールで IdP に付けた名前です。identity_provider パラメータの代わりに idp_identifier パラメータを使用することもできます。ユーザーは、 idp_identifierまたは identity_providerパラメータを含むリンクからフェデレーションエンドポイントにアクセスします。このユーザーはサインインページをバイパスし、IdP で認証するために直接ナビゲートします。SAML の命名の詳細については IdPs、「」を参照してくださいSAML ID プロバイダーの名前と識別子

    URL の例

    https://mydomain.us-east-1.amazoncognito.com/authorize? response_type=code& identity_provider=MySAMLIdP& client_id=1example23456789& redirect_uri=https://www.example.com
  4. Amazon Cognito は、SAML リクエストを使用してユーザーセッションを IdP にリダイレクトします。

  5. ユーザーがダッシュボードにサインインしたときに、IdP からセッション Cookie を受信した可能性があります。IdP はこの cookie を使用してユーザーをそのまま検証し、SAML レスポンスで Amazon Cognito idpresponse エンドポイントにリダイレクトします。アクティブなセッションが存在しない場合、IdP は SAML レスポンスを投稿する前にユーザーを再認証します。

  6. Amazon Cognito は SAML レスポンスを検証し、SAML アサーションに基づいてユーザープロファイルを作成または更新します。

  7. Amazon Cognito は、認証コードを使用してユーザーを内部アプリケーションにリダイレクトします。内部アプリ URL をアプリクライアントの承認されたリダイレクト URL として設定しました。

  8. アプリは認証コードを Amazon Cognito トークンと交換します。詳細については、「トークンエンドポイント」を参照してください。