OIDC ユーザープール IdP 認証フロー - Amazon Cognito

OIDC ユーザープール IdP 認証フロー

ユーザーが OIDC IdP を使用してアプリケーションにサインインする場合の認証フローは以下のとおりです。

  1. ユーザーが Amazon Cognito の組み込みサインインページにアクセスすると、OIDC IdP (Salesforce など) を通じてサインインするオプションが提示されます。

  2. ユーザーは、OIDC IdP の authorization エンドポイントにリダイレクトされます。

  3. ユーザーが認証すると、認証コードを使用して OIDC IdP から Amazon Cognito にリダイレクトされます。

  4. Amazon Cognito は、OIDC IdP の認証コードをアクセストークンと交換します。

  5. Amazon Cognito はユーザープールのユーザーアカウントを作成または更新します。

  6. Amazon Cognito はアプリケーションのベアラートークンを発行します。これには ID、アクセス、更新の各トークンが含まれる場合があります。


                    OIDC ユーザープール IdP 認証フロー
注記

5 分以内に完了しなかったリクエストはキャンセルされ、ログインページにリダイレクトされて、Something went wrong エラーメッセージが表示されます。

OIDC は、OAuth 2.0 の上に位置する ID レイヤーです。OAuth 2.0 は、IdP から OIDC クライアントアプリ (証明書利用者) に発行される JSON 形式 (JWT) の ID トークンを指定します。Amazon Cognito を OIDC 証明書利用者として追加する方法については、OIDC IdP のドキュメントを参照してください。

ユーザーが認証されると、ユーザープールから ID、アクセス、更新トークンが返されます。ID トークンは ID 管理用の OIDC 標準トークンです。アクセストークンは OAuth 2.0 標準トークンです。