翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サードパーティー SAML ID プロバイダーの設定
SAML ID プロバイダー (IdP ) をユーザープールに追加する場合は、IdP の管理インターフェイスで設定を更新する必要があります。このセクションでは、IdP に提供する必要がある値をフォーマットする方法について説明します。また、IdP とそのユーザープールへのSAMLクレームを識別する静的またはアクティブなURLメタデータドキュメントを取得する方法についても説明します。
Amazon Cognito ユーザープールのフェデレーションで動作するようにサードパーティー SAML 2.0 ID プロバイダー (IdP) ソリューションを設定するには、次のアサーションコンシューマーサービス (ACS) にリダイレクトするように SAMLIdP を設定する必要がありますURL。 https://ユーザープールに Amazon Cognito ドメインがある場合、Amazon Cognito コンソールmydomain.us-east-1.amazoncognito.com/saml2/idpresponse
一部の SAML IdPs ではurn、オーディエンスURIまたは SP エンティティ ID とも呼ばれる を 形式で指定する必要がありますurn:amazon:cognito:sp:。ユーザープール ID は、Amazon Cognito コンソールのユーザープールの概要にあります。us-east-1_EXAMPLE
また、ユーザープールで必須属性として指定した属性の値を提供するように SAML IdP を設定する必要があります。通常、 emailはユーザープールに必要な属性です。この場合、IdP SAML はSAMLアサーションに何らかの形式のemailクレームを指定し、クレームをそのプロバイダーの 属性にマッピングする必要があります。
サードパーティーの 2.0 IdP SAML ソリューションの以下の設定情報は、Amazon Cognito ユーザープールでフェデレーションのセットアップを開始するのに適しています。最新情報については、プロバイダーのドキュメントを直接参照してください。
SAML リクエストに署名するには、ユーザープール署名証明書によって署名されたリクエストを信頼するように IdP を設定する必要があります。暗号化されたSAMLレスポンスを受け入れるには、ユーザープールへのすべてのSAMLレスポンスを暗号化するように IdP を設定する必要があります。プロバイダーには、これらの機能の設定に関するドキュメントがあります。Microsoft の例については、「Microsoft Entra SAMLトークン暗号化の設定
注記
Amazon Cognito では、ID プロバイダーのメタデータドキュメントのみが必要です。プロバイダーは 2.0 SAML との AWS アカウント フェデレーションの設定情報を提供する場合があります。この情報は Amazon Cognito の統合には関係ありません。
| ソリューション | 詳細情報 |
|---|---|
| Microsoft Active Directory フェデレーションサービス (AD FS) | フェデレーションメタデータエクスプローラー |
| Okta | IdP メタデータをダウンロードし、SAMLアプリケーション統合の証明書SAMLに署名する方法 |
| Auth0 | Auth0 を SAML ID プロバイダーとして設定する |
| Ping Identity (PingFederate) | からのSAMLメタデータのエクスポート PingFederate |
| JumpCloud | SAML 設定に関する注意事項 |
| SecureAuth | SAML アプリケーション統合 |
