View a markdown version of this page

ID プロバイダーと依拠しているパーティーエンドポイント - Amazon Cognito
OIDC 発行者

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ID プロバイダーと依拠しているパーティーエンドポイント

フェデレーションエンドポイントは、ユーザープールで使用される認証標準のいずれかの目的を果たすユーザープールエンドポイントです。これには、ID プロバイダーと依拠しているパーティーの両方として、ユーザープールロール用の SAML ACS URLs、OIDC 検出エンドポイント、サービスエンドポイントが含まれます。フェデレーションエンドポイントは、認証フローを開始し、IdP から認証の証拠を受け取り、クライアントにトークンを発行します。これらは IdP、アプリケーション、管理者とインタラクションを行いますが、ユーザーとはインタラクションを行いません。

このページの後に続くページ全体のトピックには、ユーザープールにドメインを追加したときに利用可能になる OAuth 2.0 および OIDC プロバイダーエンドポイントに関する詳細が記載されています。次のチャートは、すべてのフェデレーションエンドポイントのリストです。

ユーザープールドメインの例は以下のとおりです。

  1. プレフィックスドメイン: mydomain.auth.us-east-1.amazoncognito.com

  2. カスタムドメイン: auth.example.com

ユーザープールのフェデレーションエンドポイント
エンドポイント URL 説明 アクセス方法
https://ユーザープールのドメイン/oauth2/authorize ユーザーをマネージドログインにリダイレクトするか、IdP でサインインするようにリダイレクトします。 ユーザー認証を開始するためにカスタマーブラウザで呼び出されます。「認可エンドポイント」を参照してください。
https://ユーザープールのドメイン/oauth2/token 認可コードまたはクライアント認証情報リクエストに基づいてトークンを返します。 トークンを取得するようにアプリケーションからリクエストされました。「トークンエンドポイント」を参照してください。
https://ユーザープールのドメイン/oauth2/userInfo OAuth 2.0 のスコープとアクセストークンのユーザー ID に基づいてユーザー属性を返します。 ユーザープロファイルを取得するようにアプリケーションからリクエストされました。「userInfo エンドポイント」を参照してください。
https://ユーザープールのドメイン/oauth2/revoke 更新トークンと関連するアクセストークンを取り消します。 トークンを取り消すようにアプリケーションからリクエストされました。「エンドポイントの取り消し」を参照してください。
https://cognito-idp.リージョン.amazonaws.com/ユーザープール ID/.well-known/openid-configuration ユーザープールの OIDC アーキテクチャのディレクトリ。1 ユーザープール発行者のメタデータを見つけるようにアプリケーションからリクエストされました。
https://cognito-idp.リージョン.amazonaws.com/ユーザープール ID/.well-known/jwks.json Amazon Cognito トークンの検証に使用できるパブリックキー。2 JWT を検証するようにアプリケーションからリクエストされました。
https://ユーザープールドメイン/oauth2/idpresponse ソーシャル ID プロバイダーは、認可コードを使用してユーザーをこのエンドポイントにリダイレクトする必要があります。Amazon Cognito は、フェデレーションユーザーを認証する際に、このコードをトークンに引き換えます。 OIDC IdP サインインから IdP クライアントのコールバック URL としてリダイレクトされます。
https://ユーザープールドメイン/saml2/idpresponse SAML 2.0 ID プロバイダーと統合するためのアサーションコンシューマーサービス (ACS) の URL。 SAML 2.0 IdP から ACS URL として、または IdP が開始したサインインの発信元ポイントとしてリダイレクトされます3
https://ユーザープールのドメイン/saml2/logout SAML 2.0 ID プロバイダーと統合するためのシングルログアウト (SLO) の URL。 シングルログアウト (SLO) URL として SAML 2.0 IdP からリダイレクトされました。POST バインディングのみを受け入れます。

1 openid-configurationドキュメントは、エンドポイントを OIDC および OAuth2 仕様に準拠させるための追加情報を反映するために、随時更新される場合があります。

2 jwks.json JSON ファイルは、新しいパブリックトークン署名キーを反映するために、随時更新される場合があります。

3 IdP が開始した SAML サインインの詳細については、「」を参照してくださいIdP が開始した SAML サインインを実装する

OpenID および OAuth 標準の詳細については、「OpenID 1.0」および「OAuth 2.0」を参照してください。

OIDC 発行者としての Amazon Cognito ユーザープール

Amazon Cognito ユーザープールは OpenID Connect (OIDC) ID プロバイダーとして機能し、アプリケーションライブラリが OIDC フェデレーションに使用できる発行者として機能します。OIDC フェデレーションのアプリケーションライブラリは、以下で説明する 2 つの異なるパスを自動検出エンドポイントとして参照できます。このエンドポイントは、 の JSON ウェブキーセット (JWKS) /.well-known/jwks.jsonと の OIDC 検出メタデータへのアクセスを提供し/.well-known/openid-configuration、アプリケーションは認可、トークン、userInfo エンドポイントを検出できます。

OIDC 自動検出をサポートするアプリケーションは、これらのよく知られているエンドポイントをクエリすることで、自動的に自身を設定できます。自動検出をサポートしていないアプリケーションの場合、前のセクションにリストされている特定の OIDC エンドポイントを使用してアプリケーションをハードコードできます。

ユーザープール発行者タイプ
元の発行者

ユーザープールの現在のデフォルトの発行者設定。発行者 URL はユーザープールのリージョンでホストされ、そのリージョンに固有の OIDC エンドポイントを提供します。

元の発行者は の形式を取りますhttps://cognito-idp.us-east-1.amazonaws.com/us-east-1_EXAMPLE

発行者の更新

マルチリージョンレプリケーションを含むすべてのユーザープールに推奨されます。更新された発行者は、複数のリージョンで同じ JWKS コンテンツをホストするため、耐障害性と効率が向上します。

更新された発行者は の形式を取りhttps://issuer-cognito-idp.us-east-1.amazonaws.com/us-east-1_EXAMPLEます。リージョンはユーザープール AWS リージョン のプライマリです。

トピック