翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ID プロバイダーと依拠しているパーティーエンドポイント
*フェデレーションエンドポイント*は、ユーザープールで使用される認証標準のいずれかの目的を果たすユーザープールエンドポイントです。これには、ID プロバイダーと依拠しているパーティーの両方として、ユーザープールロール用の SAML ACS URLs、OIDC 検出エンドポイント、サービスエンドポイントが含まれます。フェデレーションエンドポイントは、認証フローを開始し、IdP から認証の証拠を受け取り、クライアントにトークンを発行します。これらは IdP、アプリケーション、管理者とインタラクションを行いますが、ユーザーとはインタラクションを行いません。
このページの後に続くページ全体のトピックには、ユーザープールにドメインを追加したときに利用可能になる OAuth 2.0 および OIDC プロバイダーエンドポイントに関する詳細が記載されています。次のチャートは、すべてのフェデレーションエンドポイントのリストです。
[ユーザープールドメイン](cognito-user-pools-assign-domain.md)の例は以下のとおりです。
1. プレフィックスドメイン: `mydomain.auth.us-east-1.amazoncognito.com`
1. カスタムドメイン: `auth.example.com`
**ユーザープールのフェデレーションエンドポイント**
| エンドポイント URL | 説明 | アクセス方法 |
| --- | --- | --- |
| https://{{ユーザープールのドメイン}}/oauth2/authorize | ユーザーをマネージドログインにリダイレクトするか、IdP でサインインするようにリダイレクトします。 | ユーザー認証を開始するためにカスタマーブラウザで呼び出されます。「[認可エンドポイント](authorization-endpoint.md)」を参照してください。 |
| https://{{ユーザープールのドメイン}}/oauth2/token | 認可コードまたはクライアント認証情報リクエストに基づいてトークンを返します。 | トークンを取得するようにアプリケーションからリクエストされました。「[トークンエンドポイント](token-endpoint.md)」を参照してください。 |
| https://{{ユーザープールのドメイン}}/oauth2/userInfo | OAuth 2.0 のスコープとアクセストークンのユーザー ID に基づいてユーザー属性を返します。 | ユーザープロファイルを取得するようにアプリケーションからリクエストされました。「[userInfo エンドポイント](userinfo-endpoint.md)」を参照してください。 |
| https://{{ユーザープールのドメイン}}/oauth2/revoke | 更新トークンと関連するアクセストークンを取り消します。 | トークンを取り消すようにアプリケーションからリクエストされました。「[エンドポイントの取り消し](revocation-endpoint.md)」を参照してください。 |
| https://cognito-idp.{{リージョン}}.amazonaws.com/{{ユーザープール ID}}/.well-known/openid-configuration | ユーザープールの OIDC アーキテクチャのディレクトリ。[1](#cognito-federation-oidc-discovery-note) | ユーザープール発行者のメタデータを見つけるようにアプリケーションからリクエストされました。 |
| https://cognito-idp.{{リージョン}}.amazonaws.com/{{ユーザープール ID}}/.well-known/jwks.json | Amazon Cognito トークンの検証に使用できるパブリックキー。[2](#cognito-federation-oidc-jwks-note) | JWT を検証するようにアプリケーションからリクエストされました。 |
| https://{{ユーザープールドメイン}}/oauth2/idpresponse | ソーシャル ID プロバイダーは、認可コードを使用してユーザーをこのエンドポイントにリダイレクトする必要があります。Amazon Cognito は、フェデレーションユーザーを認証する際に、このコードをトークンに引き換えます。 | OIDC IdP サインインから IdP クライアントのコールバック URL としてリダイレクトされます。 |
| https://{{ユーザープールドメイン}}/saml2/idpresponse | SAML 2.0 ID プロバイダーと統合するためのアサーションコンシューマーサービス (ACS) の URL。 | SAML 2.0 IdP から ACS URL として、または IdP が開始したサインインの発信元ポイントとしてリダイレクトされます[3](#cognito-federation-idp-init-note)。 |
| https://{{ユーザープールのドメイン}}/saml2/logout | SAML 2.0 ID プロバイダーと統合するための[シングルログアウト](cognito-user-pools-saml-idp-sign-out.md#cognito-user-pools-saml-idp-sign-out.title) (SLO) の URL。 | シングルログアウト (SLO) URL として SAML 2.0 IdP からリダイレクトされました。POST バインディングのみを受け入れます。 |
1 `openid-configuration`ドキュメントは、エンドポイントを OIDC および OAuth2 仕様に準拠させるための追加情報を反映するために、随時更新される場合があります。
2 `jwks.json` JSON ファイルは、新しいパブリックトークン署名キーを反映するために、随時更新される場合があります。
3 IdP が開始した SAML サインインの詳細については、「」を参照してください[IdP が開始した SAML サインインを実装する](cognito-user-pools-SAML-session-initiation.md#cognito-user-pools-SAML-session-initiation-idp-initiation)。
OpenID および OAuth 標準の詳細については、「[OpenID 1.0](http://openid.net/specs/openid-connect-core-1_0.html)」および「[OAuth 2.0](https://tools.ietf.org/html/rfc6749)」を参照してください。
## OIDC 発行者としての Amazon Cognito ユーザープール
Amazon Cognito ユーザープールは OpenID Connect (OIDC) ID プロバイダーとして機能し、アプリケーションライブラリが OIDC フェデレーションに使用できる発行者として機能します。OIDC フェデレーションのアプリケーションライブラリは、以下で説明する 2 つの異なるパスを自動検出エンドポイントとして参照できます。このエンドポイントは、 の JSON ウェブキーセット (JWKS) `/.well-known/jwks.json`と の OIDC 検出メタデータへのアクセスを提供し`/.well-known/openid-configuration`、アプリケーションは認可、トークン、userInfo エンドポイントを検出できます。
OIDC 自動検出をサポートするアプリケーションは、これらのよく知られているエンドポイントをクエリすることで、自動的に自身を設定できます。自動検出をサポートしていないアプリケーションの場合、前のセクションにリストされている特定の OIDC エンドポイントを使用してアプリケーションをハードコードできます。ユーザープール発行者タイプ
**元の発行者**
ユーザープールの現在のデフォルトの発行者設定。発行者 URL はユーザープールのリージョンでホストされ、そのリージョンに固有の OIDC エンドポイントを提供します。
元の発行者は の形式を取ります`https://cognito-idp.{{us-east-1}}.amazonaws.com/{{us-east-1_EXAMPLE}}`。
**発行者の更新**
マルチリージョンレプリケーションを含むすべてのユーザープールに推奨されます。更新された発行者は、複数のリージョンで同じ JWKS コンテンツをホストするため、耐障害性と効率が向上します。
更新された発行者は の形式を取り`https://issuer-cognito-idp.{{us-east-1}}.amazonaws.com/{{us-east-1_EXAMPLE}}`ます。{{リージョン}}はユーザープール AWS リージョン のプライマリです。
**Topics**
+ [OIDC 発行者としての Amazon Cognito ユーザープール](#user-pool-oidc-issuer)
+ [リダイレクトエンドポイントと認可エンドポイント](authorization-endpoint.md)
+ [トークン発行者エンドポイント](token-endpoint.md)
+ [ユーザー属性エンドポイント](userinfo-endpoint.md)
+ [トークン取り消しエンドポイント](revocation-endpoint.md)
+ [IdP SAML アサーションエンドポイント](saml2-idpresponse-endpoint.md)