Amazon Cognito ユーザープールでの SAML セッション開始 - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Cognito ユーザープールでの SAML セッション開始

Amazon Cognito は、サービスプロバイダーが開始する (SP が開始する) シングルサインオン (SSO) と IdP が開始する SSO をサポートしています。セキュリティのベストプラクティスとして、ユーザープールに SP 開始 SSO を実装します。SAML V2.0 技術概要のセクション 5.1.2 では、SP で開始される SSO について説明します。Amazon Cognito は、アプリケーションの ID プロバイダー (IdP) です。アプリケーションは、認証されたユーザーのトークンを取得するサービスプロバイダー (SP) です。ただし、サードパーティー IdP を使用してユーザーを認証する場合、Amazon Cognito は SP です。SAML 2.0 ユーザーが SP 開始フローで認証するときは、まず Amazon Cognito にリクエストを行い、認証のために IdP にリダイレクトする必要があります。

一部のエンタープライズユースケースでは、内部アプリケーションへのアクセスは Enterprise IdP がホストするダッシュボードのブックマークから始まります。ユーザーがブックマークを選択すると、IdP は SAML 応答を生成して SP に送信し、アプリケーションでユーザーを認証します。

IdP が開始する SSO をサポートするように、ユーザープールで SAML IdP を設定できます。IdP 開始認証をサポートしている場合、Amazon Cognito は SAML リクエストで認証を開始しないため、Amazon Cognito は受信した SAML レスポンスを要求したことを検証できません。SP 開始 SSO では、Amazon Cognito は元のリクエストに対して SAML レスポンスを検証する状態パラメータを設定します。SP 主導のサインインを使用すると、クロスサイトリクエスト偽造 (CSRF) を防ぐこともできます。

ユーザーがユーザープールでホストされた UI とやり取りしたくない環境で SP 開始 SAML を構築する方法の例については、「」を参照してくださいシナリオ例: エンタープライズダッシュボードで Amazon Cognito アプリケーションをブックマークする