OIDC ユーザープール IdP 認証フロー - Amazon Cognito

OIDC ユーザープール IdP 認証フロー

ユーザーが OIDC IdP を使用してアプリケーションにサインインすると、次の認証フローを通過します。

  1. ユーザーが Amazon Cognito の組み込みサインインページにアクセスすると、Salesforce などの OIDC IdP 経由でサインインするオプションが提示されます。

  2. ユーザーは、OIDC IdP の authorization エンドポイントにリダイレクトされます。

  3. ユーザーが認証されると、OIDC IdP が認証コードを使用して Amazon Cognito にリダイレクトします。

  4. Amazon Cognito が OIDC IdP の認証コードをアクセストークンと交換します。

  5. Amazon Cognito がユーザープールのユーザーアカウントを作成または更新します。

  6. Amazon Cognito がアプリケーションのベアラートークンを発行します。これには ID トークン、アクセストークン、および更新トークンが含まれる場合があります。


                    OIDC ユーザープール IdP 認証フロー
注記

Amazon Cognito は 5 分以内に完了しない認証リクエストをキャンセルし、ホストされた UI にユーザーをリダイレクトします。ページには、Something went wrong というエラーメッセージが表示されます。

OIDC は、OAuth 2.0 の上に位置する ID レイヤーです。OAuth 2.0 は、IdP から OIDC クライアントアプリ (証明書利用者) に発行される JSON 形式 (JWT) の ID トークンを指定します。Amazon Cognito の OIDC Relying Party としての追加に関する情報は、OIDC IdP のドキュメントを参照してください。

ユーザーが認証されると、ユーザープールから ID、アクセス、更新トークンが返されます。ID トークンは ID 管理用の OIDC 標準トークンです。アクセストークンは OAuth 2.0 標準トークンです。