ユーザープールエンドポイントとマネージドログインリファレンス - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ユーザープールエンドポイントとマネージドログインリファレンス

Amazon Cognito には、ユーザープール認証として、ユーザープール API を用いたものと、OAuth 2.0 認可サーバーを用いたものの 2 つのモデルがあります。アプリケーションのバックエンドで AWS SDK を使用して OpenID Connect (OIDC) トークンを取得する場合は、 API を使用します。ユーザープールを OIDC プロバイダーとして実装する場合は、認可サーバーを使用します。認可サーバーは、フェデレーティッドサインインアクセストークンスコープを使用した API および M2M 認可マネージドログインなどの機能を追加します。API モデルと OIDC モデルは、ユーザープールレベルまたはアプリケーションクライアントレベルでの設定により、それぞれ単独で使用することも、併用することもできます。このセクションでは、OIDC モデルの実装に関するリファレンスを示します。これら 2 つの認可モデルの詳細については、「API、OIDC、マネージドログインページの認証について」を参照してください。

ユーザープールにドメインを割り当てると、Amazon Cognito はここにリストされているパブリックウェブページをアクティブにします。ドメインは、すべてのアプリクライアントの中央アクセスポイントとして機能します。これには、ユーザーがサインアップおよびサインイン (ログインエンドポイント)、サインアウト () できるマネージドログインが含まれますログアウトエンドポイント。これらのリソースの詳細については、「ユーザープールマネージドログイン」を参照してください。

これらのページには、ユーザープールがサードパーティーの SAML、OpenID Connect (OIDC)、および OAuth 2.0 ID プロバイダー (IdPs) と通信できるようにするパブリックウェブリソースも含まれています。フェデレーティッド ID プロバイダーを使用してユーザーにサインインするには、ユーザーがインタラクティブマネージドログインログインエンドポイントまたは OIDC へのリクエストを開始する必要があります認可エンドポイント。Authorize エンドポイントは、マネージドログインページまたは IdP サインインページにユーザーをリダイレクトします。

アプリは、Amazon Cognito ユーザープール API を使用してローカルユーザーをサインインすることもできます。ローカルユーザーは、外部 IdP を介したフェデレーションなしに、ユーザープールディレクトリにのみ存在します。

マネージドログインに加えて、Amazon Cognito は Android、iOS、JavaScript などの SDKs と統合します。SDK は、Amazon Cognito API サービスエンドポイントにユーザープール API オペレーションを実行するためのツールを提供します。サービスエンドポイントの詳細については、「Amazon Cognito Identity エンドポイントとクォータ」を参照してください。

警告

Amazon Cognito ドメインのエンドエンティティ証明書または中間 Transport Layer Security (TLS) 証明書を固定しないでください。 は、すべてのユーザープールエンドポイントとプレフィックスドメインのすべての証明書 AWS を管理します。Amazon Cognito 証明書をサポートする信頼チェーン内の認証局 (CA) は、動的にローテーションし、更新されます。アプリを中間証明書またはリーフ証明書に固定すると、 が証明書を AWS ローテーションするときに、アプリが予告なしに失敗する可能性があります。

代わりに、アプリケーションを利用できるすべての Amazon ルート証明書に固定します。詳細については、AWS Certificate Manager ユーザーガイドの「証明書のピンニング」にあるベストプラクティスと推奨事項を参照してください。