ステップ 10: (オプション) Amazon Cognito にその他の ID プロバイダーを設定する - AWS での Cloud Migration Factory

ステップ 10: (オプション) Amazon Cognito にその他の ID プロバイダーを設定する

スタックの起動時、[Cognito で追加の ID プロバイダーを設定できるようにする] パラメータに true を選択した場合、既存の SAML IdP を使用してサインインできるように Amazon Cognito に追加の IdP を設定することができます。外部 IdP を設定するプロセスはプロバイダーによって異なります。このセクションでは、Amazon Cognito の設定と、外部 IdP を設定するための一般的な手順について説明します。

Amazon Cognito から情報を収集して外部 IdP に提供するには、次のステップを実行します。

  1. AWS CloudFormation コンソールに移動してから、[AWS での Cloud Migration Factory] スタックを選択します。

  2. [出力] タブを選択します。

  3. [キー] 列で、[UserPoolId] を検索してから、後でセットアップ時に使用する [値] を記録してください。

  4. Amazon Cognitoコンソール に移動します。

  5. ソリューションスタックの出力から、ユーザープール ID と一致するユーザープールを選択します。

  6. [アプリ統合] タブをクリックし、後でセットアップ時に使用する [Cognito ドメイン] を記録します。

既存の IdP の管理インターフェイスで以下の手順を実行します。

注記

これらの手順は一般的なもので、プロバイダーによって異なります。SAML アプリケーションの設定の詳細については、IdP のドキュメントを参照してください。

  1. IdP の管理インターフェイスに移動します。

  2. アプリケーションを追加するか、アプリケーションに SAML 認証を設定するオプションを選択し、新しいアプリケーションを作成または追加します。

  3. この SAML アプリケーションのセットアップ中には、次の値の入力を求められます。

    1. 識別子 (エンティティ ID) またはそれに類するもの。次の値を指定します。

      urn:amazon:cognito:sp:<UserPoolId recorded earlier>

    2. 返信 URL (アサーションコンシューマサービスの URL)またはそれに類するもの。次の値を指定します。

      https://<Amazon Cognito domain recorded earlier>/saml2/idpresponse

    3. 属性とクレームまたはそれに類するもの。ユーザーのメールアドレスを提供する属性とともに、少なくとも一意の識別子または件名が設定されていることを確認してください。

  4. メタデータ URL またはメタデータ XML ファイルをダウンロードする機能のいずれかです。ファイルのコピーをダウンロードするか、後でセットアップ時に使用するために提供された URL を記録します。

  5. セットアップ中に、CMF アプリケーションへのサインインを許可される IdP のユーザーのアクセスリストを設定します。IdP 内のアプリケーションへのアクセスを許可されたすべてのユーザーに、CMF コンソールへの読み取り専用アクセス権が自動的に付与されます。

以下のステップを実行して、スタックのデプロイ時に作成された Amazon Cognito ユーザープールに新しい IdP を追加します。

  1. Amazon Cognitoコンソール に移動します。

  2. ソリューションスタックの出力から、ユーザープール ID と一致するユーザープールを選択します。

  3. [Sign-in experience] (サインインエクスペリエンス) タブを選択します。

  4. [ID プロバイダーを追加] を選択し、サードパーティプロバイダーとして [SAML] を選択します。

  5. プロバイダーの名前を入力します。この名前は CMF サインイン画面でユーザーに表示されます。

  6. [メタデータ、ドキュメントソース] セクションで、IDP SAML セットアップからキャプチャされた [メタデータ URL] を指定するか、または [メタデータ XML] ファイルをアップロードします。

  7. [マップ属性] セクションで、[別の属性の追加] を選択します。

  8. [ユーザープール属性] 値に [E メール] を設定します。[SAML 属性] には、外部 IdP がメールアドレスを提供する属性の名前を入力します。

  9. [ID プロバイダーを追加] を選択して、この設定を保存します。

  10. [App integration] (アプリケーションの統合) タブを選択します。

  11. [アプリクライアントリスト] セクション内から、名前をクリックすることにより Migration Factory アプリケーションクライアントを選択します (リストには 1 つしかないはずです)。

  12. [ホスト UI] セクションから、[編集] を選択します。

  13. ステップ 5 で追加した新しい IdP 名を選択して、[Cognito ユーザープール] の選択を解除することにより、選択済みの [ID プロバイダー] を更新します。

    注記

    Cognito ユーザープールは CMF サインイン画面に組み込まれているため、必要ありません。選択した場合は、2 回表示されます。

  14. [Save changes] (変更の保存) をクリックします。

これで、設定は完了です。CMF サインインページに、[企業 ID でサインイン] ボタンが表示されます。このオプションを選択すると、以前に設定したプロバイダーが表示されます。このオプションを選択したユーザーはサインインするように指示され、正常にサインインすると CMF コンソールに戻ります。