ユーザープールエンドポイントとホストされた UI リファレンス
Amazon Cognito には、ユーザープール認証として、ユーザープール API を用いたものと、OAuth 2.0 認可サーバーを用いたものの 2 つのモデルがあります。アプリケーションのバックエンドで AWS SDK を使用して OpenID Connect (OIDC) トークンを取得する場合は、API を使用します。ユーザープールを OIDC プロバイダーとして実装する場合は、認可サーバーを使用します。認可サーバーは、フェデレーティッドサインイン、アクセストークンスコープを使用した API および M2M 認可、ホストされた UI などの機能を追加します。API モデルと OIDC モデルは、ユーザープールレベルまたはアプリケーションクライアントレベルでの設定により、それぞれ単独で使用することも、併用することもできます。このセクションでは、OIDC モデルの実装に関するリファレンスを示します。これら 2 つの認可モデルの詳細については、「ユーザープール API と認可サーバーの使用」を参照してください。
ユーザープールにドメインを割り当てると、Amazon Cognito はここにリストされているパブリックウェブページをアクティブにします。ドメインは、すべてのアプリクライアントの中央アクセスポイントとして機能します。これらには、ユーザーがサインアップしてサインイン (ログインエンドポイント) およびサインアウト (ログアウトエンドポイント) できるホストされた UI が含まれます。これらのリソースの詳細については、「ホストされた UI と認可サーバーの管理」を参照してください。
これらのページには、ユーザープールがサードパーティーの SAML、OpenID Connect (OIDC)、および OAuth 2.0 ID プロバイダー (IdPs) と通信できるようにするパブリックウェブリソースも含まれています。フェデレーション ID プロバイダーを使用してユーザーをサインインするには、ユーザーは、インタラクティブなホストされた UI ログインエンドポイント または OIDC 認可エンドポイント に対してリクエストを開始する必要があります。Authorize エンドポイントは、ホストされている UI または IdP サインインページにユーザーをリダイレクトします。
アプリは、Amazon Cognito ユーザープール API を使用してローカルユーザーをサインインすることもできます。ローカルユーザーは、外部 IdP を介したフェデレーションなしに、ユーザープールディレクトリにのみ存在します。
ホストされた UI とフェデレーションエンドポイントに加えて、Amazon Cognito は、Android、iOS、JavaScript など用の SDK とも統合できます。SDK は、Amazon Cognito API サービスエンドポイントにユーザープール API オペレーションを実行するためのツールを提供します。サービスエンドポイントの詳細については、「Amazon Cognito Identity エンドポイントとクォータ」を参照してください。
警告
Amazon Cognito ドメインのエンドエンティティ証明書または中間 Transport Layer Security (TLS) 証明書を固定しないでください。AWS では、すべてのユーザープールエンドポイントとプレフィックスドメインのすべての証明書を管理します。Amazon Cognito 証明書をサポートする信頼チェーン内の認証局 (CA) は、動的にローテーションし、更新されます。アプリを中間証明書またはリーフ証明書に固定すると、AWS が証明書をローテーションしたときにアプリが予告なく失敗することがあります。
代わりに、アプリケーションを利用できるすべての Amazon ルート証明書