ユーザープールエンドポイントとホストされた UI リファレンス - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ユーザープールエンドポイントとホストされた UI リファレンス

Amazon Cognito には、ユーザープール認証APIと 2.0 認証サーバーという 2 OAuth つのモデルがあります。アプリケーションのバックエンドで を使用して OpenID Connect (OIDC) トークンを取得するAPI場合は、 AWS SDK を使用します。ユーザープールをOIDCプロバイダーとして実装する場合は、認証サーバーを使用します。認証サーバーは、フェデレーティッドサインイン APIアクセストークンスコープ による M2M 認証ホストされた UI などの機能を追加します。ユーザープールレベルまたはアプリケーションクライアントレベルで設定された APIおよび OIDCモデルを、それぞれ単独で、またはまとめて使用できます。このセクションは、OIDCモデルを実装するためのリファレンスです。2 つの認証モデルの詳細については、「」を参照してくださいユーザープールAPIと認証サーバーの使用

ユーザープールにドメインを割り当てると、Amazon Cognito はここにリストされているパブリックウェブページをアクティブにします。ドメインは、すべてのアプリクライアントの中央アクセスポイントとして機能します。これらには、ユーザーがサインアップしてサインイン (ログインエンドポイント) およびサインアウト (ログアウトエンドポイント) できるホストされた UI が含まれます。これらのリソースの詳細については、「ホストされた UI と認証サーバーの管理」を参照してください。

これらのページには、ユーザープールがサードパーティーの SAML、OpenID Connect (OIDC)、および 2.0 ID プロバイダー () OAuth と通信できるようにするパブリックウェブリソースも含まれていますIdPs。フェデレーティッド ID プロバイダーを使用してユーザーにサインインするには、ユーザーがインタラクティブホスト UI ログインエンドポイントまたは OIDC へのリクエストを開始する必要があります認可エンドポイント。Authorize エンドポイントは、ホストされている UI または IdP サインインページにユーザーをリダイレクトします。

アプリは、Amazon Cognito ユーザープール を使用してローカルユーザーにサインインすることもできます。 Amazon Cognito API ローカルユーザーは、外部 IdP を介したフェデレーションなしに、ユーザープールディレクトリにのみ存在します。

ホストされた UI とフェデレーションエンドポイントに加えて、Amazon Cognito は SDKs for Android、iOS JavaScriptなどと統合します。SDKs には、Amazon Cognito APIサービスエンドポイントでユーザープールAPIオペレーションを実行するためのツールが用意されています。サービスエンドポイントの詳細については、「Amazon Cognito Identity エンドポイントとクォータ」を参照してください。

警告

Amazon Cognito ドメインのエンドエンティティまたは中間 Transport Layer Security (TLS) 証明書をピン留めしないでください。 は、すべてのユーザープールエンドポイントとプレフィックスドメインのすべての証明書 AWS を管理します。Amazon Cognito 証明書をサポートする信頼チェーンの認証機関 (CAs) は動的にローテーションおよび更新します。アプリを中間証明書またはリーフ証明書にピン留めすると、 が証明書を AWS ローテーションすると、アプリが予告なく失敗する可能性があります。

代わりに、アプリケーションを利用できるすべての Amazon ルート証明書に固定します。詳細については、AWS Certificate Manager ユーザーガイドの「証明書のピンニング」にあるベストプラクティスと推奨事項を参照してください。