翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サードパーティーの SAML ID プロバイダーの設定
Amazon Cognito ユーザープールのフェデレーションと連携するようにサードパーティー SAML 2.0 ID プロバイダー (IdP) ソリューションを設定するには、次のアサーションコンシューマーサービス (ACS) URL にリダイレクトするように SAML IdP を設定する必要があります: https://
。ユーザープールに Amazon Cognito ドメインがある場合、Amazon Cognito コンソールmydomain.us-east-1.amazoncognito.com
/saml2/idpresponse
一部の SAML ではurn
、オーディエンス URI または SP エンティティ ID とも呼ばれる を 形式で指定 IdPs する必要がありますurn:amazon:cognito:sp:
。ユーザープール ID は、Amazon Cognito コンソールのユーザープールの概要で確認できます。us-east-1_EXAMPLE
また、SAML IdP を設定して、ユーザープールの必須属性として指定した属性の値を指定する必要があります。通常、 email
はユーザープールの必須属性です。その場合、SAML IdP は SAML アサーションで何らかの形式の email
クレームを提供する必要があり、クレームをそのプロバイダーの 属性にマッピングする必要があります。
サードパーティーの SAML 2.0 IdP ソリューションに関する次の設定情報は、Amazon Cognito ユーザープールとのフェデレーションの設定を開始するのに適しています。最新情報については、プロバイダーのドキュメントを直接参照してください。
SAML リクエストに署名するには、ユーザープールの署名証明書によって署名されたリクエストを信頼するように IdP を設定する必要があります。暗号化された SAML レスポンスを受け入れるには、ユーザープールへのすべての SAML レスポンスを暗号化するように IdP を設定する必要があります。プロバイダーには、これらの機能の設定に関するドキュメントがあります。Microsoft の例については、「Microsoft Entra SAML トークン暗号化の設定
注記
Amazon Cognito では、ID プロバイダーメタデータドキュメントのみが必要です。プロバイダーが SAML 2.0 とのAWS アカウントフェデレーションの設定情報を提供する場合があります。この情報は Amazon Cognito 統合とは関係ありません。
ソリューション | 詳細情報 |
---|---|
Microsoft Active Directory フェデレーションサービス (AD FS) | フェデレーションメタデータエクスプローラー |
Okta | SAML アプリケーション統合用の IdP メタデータと SAML 署名証明書をダウンロードする方法 |
Auth0 | Auth0 を SAML ID プロバイダーとして設定する |
Ping ID (PingFederate) | からの SAML メタデータのエクスポート PingFederate |
JumpCloud | SAML 設定ノート |
SecureAuth | SAML アプリケーション統合 |