Amazon Cognito の一般的な用語と概念 - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Cognito の一般的な用語と概念

Amazon Cognito は、ウェブおよびモバイルアプリの認証情報を提供します。ID とアクセス管理 で一般的な用語から派生し、構築されます。ユニバーサルアイデンティティとアクセス条件に関する多くのガイドが用意されています。いくつか例を挙げます。

次のリストは、Amazon Cognito に固有の用語、または Amazon Cognito の特定のコンテキストを持つ用語を示しています。

全般

このリストの用語は Amazon Cognito に固有のものではなく、ID およびアクセス管理実務者の間で広く認識されています。以下は、用語の包括的なリストではなく、このガイドの特定の Amazon Cognito コンテキストのガイドです。

アプリケーション

通常、モバイルアプリケーションです。このガイドでは、Amazon Amazon Cognitoに接続するウェブアプリケーションまたはモバイルアプリの略語であることがよくあります。

属性ベースのアクセスコントロール (ABAC)

アプリケーションが、ユーザーの役職や部門などのユーザーのプロパティに基づいてリソースへのアクセスを決定するモデル。適用する Amazon Cognito ツールABACには、ユーザープールの ID トークンと ID プールのプリンシパルタグが含まれます。

認証サーバー

ウェブJSONトークン を生成するウェブベースのシステム。Amazon Cognito ユーザープールフェデレーションエンドポイントは、ユーザープールの 2 つの認証方法と認可方法の認証サーバーコンポーネントです。もう 1 つの方法は、ユーザープール APIです。

機密アプリケーション、サーバー側のアプリケーション

ユーザーがアプリケーションサーバー上のコードとシークレットへのアクセスを使用してリモートに接続するアプリケーション。これは通常、ウェブアプリケーションです。

ID プロバイダー (IdP)

ユーザー ID を保存して検証するサービス。Amazon Cognito は、外部プロバイダーに認証をリクエストし、アプリケーションへの IdP にすることができます。

JSON ウェブトークン (JWT)

認証されたユーザーに関するクレームを含むJSONフォーマットされたドキュメント。ID トークンはユーザーを認証し、アクセストークンはユーザーを認証し、更新トークンは認証情報を更新します。Amazon Cognito は外部プロバイダーからトークンを受け取り、アプリケーションまたは にトークンを発行します AWS STS。

多要素認証 (MFA)

ユーザーがユーザー名とパスワードを指定した後に追加の認証を提供する要件。Amazon Cognito ユーザープールには、ローカルユーザー MFAの機能があります。

OAuth 2.0 (ソーシャル) プロバイダー

JWT アクセストークンと更新トークンを提供するユーザープールまたは ID プールへの IdP。Amazon Cognito ユーザープールは、ユーザーの認証後にソーシャルプロバイダーとのやり取りを自動化します。

OpenID Connect (OIDC) プロバイダー

OAuth 仕様を拡張して ID トークンを提供するユーザープールまたは ID プールへの IdP。Amazon Cognito ユーザープールは、ユーザーが認証された後にOIDCプロバイダーとのやり取りを自動化します。

パブリックアプリ

シークレットにアクセスせずにローカルに保存されたコードを持つ、デバイス上に自己完結されたアプリケーション。これは通常、モバイルアプリです。

リソースサーバー

アクセスコントロールAPIを備えた 。Amazon Cognito ユーザープールは、リソースサーバーを使用して、 を操作するための設定を定義するコンポーネントを記述しますAPI。

ロールベースのアクセスコントロール (RBAC)

ユーザーの機能指定に基づいてアクセスを許可するモデル。Amazon Cognito ID プールは、IAMロールを区別RBACして実装します。

サービスプロバイダー (SP)、依存当事者 (RP)

IdP に依存して、ユーザーが信頼できると主張するアプリケーション。Amazon Cognito は、外部 の SP として機能し IdPs、アプリケーションベースの の IdP として機能しますSPs。

SAMLprovider

ユーザーが Amazon Cognito に渡すデジタル署名されたアサーションドキュメントを生成するユーザープールまたは ID プールへの IdP。

ユニバーサル一意識別子 (UUID)

オブジェクトに適用される 128 ビットラベル。Amazon Cognito UUIDsはユーザープールまたは ID プールごとに一意ですが、特定のUUID形式に準拠していません。

ユーザーディレクトリ

その情報を他のシステムに提供するユーザーとその属性のコレクション。Amazon Cognito ユーザープールはユーザーディレクトリであり、外部ユーザーディレクトリのユーザーを統合するためのツールでもあります。

ユーザープール

このガイドの以下のリストに用語が表示されている場合は、ユーザープールの特定の機能または設定を参照します。

Amazon Cognito user pools API

を使用してアプリに追加できる認証および認可APIオペレーションのセット AWS SDK。は、ローカルユーザーリンクされたユーザー にサインインAPIできます。

アダプティブ認証

潜在的な悪意のあるアクティビティを検出し、ユーザープロファイル に追加のセキュリティを適用する高度なセキュリティの機能。 ユーザープロファイル、ユーザーアカウント

高度なセキュリティ機能

ユーザーセキュリティ用のツールを追加するオプションのコンポーネント。

アプリケーションクライアント

ユーザープールの設定を 1 つのアプリケーションへの IdP として定義するコンポーネント。

コールバック URL、リダイレクト URI

アプリケーションクライアントの設定と、ユーザープールフェデレーションエンドポイント へのリクエストのパラメータ。コールバックURLは、アプリケーション で認証されたユーザーの最初の送信先です。

漏えいした認証情報

攻撃者が知っている可能性のあるユーザーパスワードを検出し、ユーザープロファイル に追加のセキュリティを適用する高度なセキュリティ機能。

確認

新しいユーザーがサインインできるように、前提条件が満たされていると判断するプロセス。確認は通常、E メールアドレスまたは電話番号の検証 を通じて行われます。

カスタム認証

Lambda トリガーを使用した認証プロセスの拡張。追加のユーザーチャレンジとレスポンスを定義します。

デバイス認証

を、信頼されたデバイスの ID を使用するサインインMFAに置き換える認証プロセス。

外部プロバイダー、サードパーティープロバイダー

ユーザープールと信頼関係がある IdP。

フェデレーティッドユーザー

外部プロバイダー によって認証されたユーザープール内のユーザー。

フェデレーションエンドポイント

ユーザープールドメイン上のウェブページのセット。 IdPs および アプリケーションとのやり取りのためにサービスをホストします。

ホストされた UI

ユーザー認証のためにサービスをホストするユーザープールドメイン上の一連のインタラクティブウェブページ。

Lambda トリガー

ユーザープール AWS Lambda がユーザー認証プロセスのキーポイントで自動的に呼び出すことができる 関数。Lambda トリガーを使用して認証結果をカスタマイズできます。

ローカルユーザー

ユーザープールユーザーディレクトリ内のユーザープロファイルで、外部プロバイダー による認証によって作成されなかったもの

リンクされたユーザー

ID がローカルユーザー とマージされる外部プロバイダーのユーザー。 ローカルユーザー

トークンのカスタマイズ

実行時にユーザーの ID またはアクセストークンを変更するトークン生成前の Lambda トリガーの結果。

ユーザープール、Amazon Cognito ID プロバイダー、cognito-idp、Amazon Cognito ユーザープール

と連携するアプリケーションの認証および認可サービスを持つ AWS リソースOIDC IdPs。

ユーザープールドメイン

ユーザープールに追加するウェブサイト名。ドメインは、ホストされた UI およびフェデレーションエンドポイント URLのベースです。

検証

ユーザーが E メールアドレスまたは電話番号を所有していることを確認するプロセス。ユーザープールは、新しい E メールアドレスまたは電話番号を入力したユーザーにコードを送信します。Amazon Cognito にコードを送信すると、メッセージの宛先の所有権が確認され、ユーザープールから追加のメッセージを受信できます。また、「確認」を参照してください。

ユーザープロファイル、ユーザーアカウント

ユーザーディレクトリ 内のユーザーのエントリ。すべてのユーザーは、ユーザープールにプロファイルを持っています。

アイデンティティプール

このガイドの次のリストに用語が表示されたら、アイデンティティプールの特定の機能または設定を参照します。

アクセスコントロールの属性

ID プールでの属性ベースのアクセスコントロールの実装。ID プールは、ユーザー認証情報にユーザー属性をタグとして適用します。

基本 (クラシック) 認証

ユーザー認証情報 のリクエストをカスタマイズできる認証プロセス。

デベロッパーが認証した ID

デベロッパー認証情報 を使用して ID プールのユーザー認証情報を承認する認証プロセス。 デベロッパーの認証情報

デベロッパーの認証情報

ID プール管理者のIAMAPIキー。

拡張認証

IAM ロールを選択し、アイデンティティプールで定義したロジックに従ってプリンシパルタグを適用する認証フロー。

アイデンティティ

アプリユーザーとそのユーザー認証情報を、アイデンティティプールと信頼関係がある外部ユーザーディレクトリ内のプロファイルUUIDにリンクする 。

ID プール、Amazon Cognito フェデレーティッド ID、Amazon Cognito ID、 cognito-identity

一時的な AWS 認証情報 を使用するアプリケーションの認証および認可サービスを持つ AWS リソース。

認証されていない ID

ID プール IdP でサインインしていないユーザー。認証の前に、ユーザーが 1 つのIAMロールに対して制限付きユーザー認証情報を生成することを許可できます。

ユーザー認証情報

ID プール認証後にユーザーが受け取る一時 AWS APIキー。