ユーザープールでの SAML ID プロバイダーの追加と管理
Amazon Cognito を操作するように ID プロバイダーを設定したら、ユーザープールとアプリケーションクライアントに追加できます。次の手順は、Amazon Cognito ユーザープールで SAML プロバイダーの作成、変更、削除を行う方法を示しています。
ユーザープールを証明書利用者として追加するために SAML IdP をセットアップする
-
ユーザープールのサービスプロバイダー URN は
urn:amazon:cognito:sp:
です。Amazon Cognito には、SAML レスポンスでこの URN に一致するオーディエンス制限値が必要です。お客様の IdP は、次の POST バインディングエンドポイントを IdP-to-SP 応答メッセージに使用します。us-east-1_EXAMPLE
https://
mydomain.us-east-1.amazoncognito.com
/saml2/idpresponse -
SAML IdP によって、SAML アサーションの
NameID
およびユーザープール必須属性が入力されている必要があります。NameID
は、ユーザープールの SAML フェデレーションユーザーを一意に識別するために使用されます。IdP は、各ユーザーの SAML 名 ID を、大文字と小文字を区別する一貫した形式で渡す必要があります。ユーザー名 ID の値にバリエーションがあると、新しいユーザープロファイルが作成されます。
SAML 2.0 IDP にデジタル署名用証明書を提供するには
-
IdP が SAML ログアウトリクエストの検証に使用できるパブリックキーのコピーを Amazon Cognito からダウンロードするには、ユーザープールの [サインインエクスペリエンス] タブをクリックし、IdP を選択して、[署名用証明書を表示] で、[.crt としてダウンロード] を選択します。
Amazon Cognito コンソールを使用して、ユーザープールで設定した SAML プロバイダーを削除できます。
SAML プロバイダーを削除する
-
Amazon Cognito コンソール
にサインインします。 -
ナビゲーションペインで [User Pools] (ユーザープール) を選択してから、編集するユーザープールを選択します。
-
[サインインエクスペリエンス] タブを選択し、[フェデレーション ID プロバイダーサインイン] を検索します。
-
削除する SAML IdP の横のラジオボタンを選択します。
-
[Delete identity provider] (ID プロバイダーの削除) のプロンプトが表示されたら、SAML プロバイダー名を入力して削除を確認し、[Delete] (削除) を選択します。