사전 토큰 생성 Lambda 트리거

토큰 생성 전에 Amazon Cognito가 이 트리거를 간접 호출하기 때문에 사용자 풀 토큰 신청을 사용자 지정할 수 있습니다. 버전 1 또는 V1_0 사전 토큰 생성 트리거 이벤트의 기본 기능을 사용하여 ID 토큰을 사용자 지정할 수 있습니다. 고급 보안 기능이 활성화된 사용자 풀에서는 액세스 토큰 사용자 지정을 통해 버전 2 또는 V2_0 트리거 이벤트를 생성할 수 있습니다.

Amazon Cognito는 ID 토큰에 쓸 데이터와 함께 V1_0 이벤트를 요청으로서 함수에 보냅니다. V2_0 이벤트는 Amazon Cognito가 ID 및 액세스 토큰 모두에 쓸 데이터가 포함된 단일 요청입니다. 두 토큰을 모두 사용자 지정하려면 최신 트리거 버전을 사용하도록 함수를 업데이트하고 동일한 응답으로 두 토큰의 데이터를 전송해야 합니다.

이 Lambda 트리거는 Amazon Cognito가 앱에 클레임을 발행하기 전에 ID 및 액세스 토큰의 일부 클레임을 추가, 제거 및 수정할 수 있습니다. 이 기능을 사용하려면 Amazon Cognito 사용자 풀 콘솔에서 Lambda 함수를 연결하거나 AWS Command Line Interface(AWS CLI)를 통해 사용자 풀 LambdaConfig를 업데이트합니다.

이벤트 버전

Your user pool can deliver different versions of a pre token generation trigger event to your Lambda function. A V1_0 trigger delivers the parameters for modification of ID tokens. A V2_0 trigger delivers parameters for modification of ID tokens and access tokens. User pools deliver V1_0 events by default. To configure your user pool to send a V2_0 event, choose a 트리거 이벤트 버전 of 기본 기능+액세스 토큰 사용자 지정 when you configure your trigger in the Amazon Cognito console. You can also set the value of LambdaVersion in the LambdaConfig parameters in an UpdateUserPool or CreateUserPool API request. Additional costs apply to access token customization with V2_0 events. For more information, see Amazon Cognito 요금.

제외된 클레임 및 범위

Amazon Cognito는 액세스 및 자격 증명 토큰에서 추가, 수정 또는 억제할 수 있는 클레임 및 범위를 제한합니다. Lambda 함수가 이러한 클레임 값을 설정하려고 시도하면 Amazon Cognito는 원래 클레임 값이 있는 토큰을 요청에서 발행합니다(요청에 클레임 값이 있는 경우).

공유 클레임

• acr

• amr

• at_hash

• auth_time

• azp

• exp

• iat

• iss

• jti

• nbf

• nonce

• origin_jti

• sub

• token_use

ID 토큰 클레임

• identities

• aud

• cognito:username

액세스 토큰 클레임

• username

• client_id

• scope

  참고

  scopesToAdd 및 scopesToSuppress 응답 값을 사용하여 액세스 토큰의 범위를 변경할 수 있지만, scope 클레임을 직접 수정할 수는 없습니다. 사용자 풀의 예약된 범위 aws.cognito.signin.user.admin 등 aws.cognito로 시작하는 범위는 추가할 수 없습니다.

• device_key

• event_id

• version

다음과 같은 접두사를 사용하여 클레임을 추가하거나 덮어쓸 수는 없지만 클레임을 숨기거나 토큰에 나타나지 않게 할 수는 있습니다.

• dev:

• cognito:

액세스 토큰에 aud 클레임을 추가할 수 있지만 해당 값은 현재 세션의 앱 클라이언트 ID와 일치해야 합니다. event.callerContext.clientId의 요청 이벤트에서 클라이언트 ID를 파생할 수 있습니다.

자격 증명 토큰 사용자 지정

사전 토큰 생성 Lambda 트리거를 사용하면 사용자 풀에서 자격 증명(ID) 토큰의 콘텐츠를 사용자 지정할 수 있습니다. ID 토큰은 웹 또는 모바일 앱에 로그인하기 위한 신뢰할 수 있는 ID 소스의 사용자 속성을 제공합니다. ID 토큰에 대한 자세한 내용은 ID 토큰 사용 섹션을 참조하세요.

사전 토큰 생성 Lambda 트리거를 ID 토큰과 함께 사용하는 방법은 다음과 같습니다.

• 사용자가 자격 증명 풀에서 요청하는 IAM 역할을 런타임에서 변경합니다.

• 외부 소스의 사용자 속성을 추가합니다.

• 기존 사용자 속성 값을 추가하거나 바꿉니다.

• 사용자의 승인된 범위와 앱 클라이언트에 부여한 속성에 대한 읽기 액세스 권한으로 인해 앱에 달리 전달될 수 있는 사용자 속성의 공개를 차단합니다.

액세스 토큰 사용자 지정

사전 토큰 생성 Lambda 트리거를 사용하면 사용자 풀에서 액세스 토큰의 콘텐츠를 사용자 지정할 수 있습니다. 액세스 토큰은 Amazon Cognito 토큰 인증 API 작업 및 서드 파티 API와 같은 액세스 보호 리소스에서 정보를 검색할 수 있는 권한을 사용자에게 부여합니다. Amazon Cognito에서 클라이언트 보안 인증 정보 부여를 통해 M2M(Machine-to-Machine) 인증 액세스 토큰을 생성할 수는 있지만, M2M 요청은 사전 토큰 생성 트리거 함수를 간접 호출하지 않으며 사용자 지정 액세스 토큰을 발행할 수 없습니다. 액세스 토큰에 대한 자세한 내용은 액세스 토큰 사용 섹션을 참조하세요.

사전 토큰 생성 Lambda 트리거를 액세스 토큰과 함께 사용하는 방법은 다음과 같습니다.

• scope 클레임에 OAuth 2.0 범위를 추가하거나 숨깁니다. 예를 들어 범위 aws.cognito.signin.user.admin만 할당하는 Amazon Cognito 사용자 풀 API 인증을 통해 생성된 액세스 토큰에 범위를 추가할 수 있습니다.

• 사용자 풀 그룹의 사용자 멤버십을 변경합니다.

• Amazon Cognito 액세스 토큰에 아직 존재하지 않는 클레임을 추가합니다.

• 앱으로 달리 전달될 수 있는 클레임의 공개를 차단합니다.

사용자 풀의 액세스 사용자 지정을 지원하려면 트리거 요청의 업데이트된 버전을 생성하도록 사용자 풀을 구성해야 합니다. 다음 절차에 나오는 대로 사용자 풀을 업데이트합니다.

AWS Management Console

사전 토큰 생성 Lambda 트리거에서 액세스 토큰 사용자 지정의 지원

1. Amazon Cognito 콘솔로 이동한 다음 사용자 풀(User Pools)을 선택합니다.

2. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

3. 아직 활성화하지 않았다면 앱 통합 탭에서 고급 보안 기능을 활성화하십시오.

4. [사용자 풀 속성(User pool properties)] 탭을 선택하고 [Lambda 트리거(Lambda triggers)]를 찾습니다.

5. 사전 토큰 생성 트리거를 추가 또는 편집합니다.

6. Lambda 함수 할당에서 Lambda 함수를 선택합니다.

7. 기본 기능+액세스 토큰 사용자 지정의 트리거 이벤트 버전을 선택하십시오. 이 설정은 Amazon Cognito가 함수에 보내는 요청 파라미터를 업데이트하여 액세스 토큰 사용자 지정을 위한 필드를 포함합니다.

User pools API

사전 토큰 생성 Lambda 트리거에서 액세스 토큰 사용자 지정의 지원

CreateUserPool 또는 UpdateUserPool API 요청을 생성합니다. 기본값으로 설정하지 않으려는 모든 파라미터의 값을 지정해야 합니다. 자세한 내용은 사용자 풀 구성 업데이트 섹션을 참조하세요.

요청의 LambdaVersion 파라미터에 다음 콘텐츠를 포함합니다. V2_0의 LambdaVersion 값을 지정하면 사용자 풀이 액세스 토큰 사용자 지정을 위한 파라미터를 추가합니다. 특정 함수 버전을 간접 호출하려면 함수 버전을 LambdaArn의 값으로 포함하는 Lambda 함수 ARN을 사용하세요.

"PreTokenGenerationConfig": { 
   "LambdaArn": "arn:aws:lambda:us-west-2:123456789012:function:MyFunction",
   "LambdaVersion": "V2_0"
},

사전 토큰 생성 Lambda 트리거 소스

triggerSource 값	Event
TokenGeneration_HostedAuth	인증하는 동안 Amazon Cognito 호스트된 UI 로그인 페이지에서 호출됩니다.
TokenGeneration_Authentication	사용자 인증 흐름이 완료된 이후 호출됩니다.
TokenGeneration_NewPasswordChallenge	사용자가 관리자에 의해 생성된 후 호출됩니다. 이 흐름은 사용자가 임시 비밀번호를 변경해야 할 때 호출됩니다.
TokenGeneration_AuthenticateDevice	사용자 디바이스 인증 마지막에 호출됩니다.
TokenGeneration_RefreshTokens	사용자가 자격 증명 및 액세스 토큰을 새로 고치려 할 때 호출됩니다.

사전 토큰 생성 Lambda 트리거 파라미터

Amazon Cognito가 이 Lambda 함수에 전달하는 요청은 아래 파라미터와 Amazon Cognito가 모든 요청에 추가하는 공통 파라미터의 조합입니다. 사전 토큰 생성 Lambda 트리거를 사용자 풀에 추가할 때 트리거 버전을 선택할 수 있습니다. 이 버전은 Amazon Cognito가 액세스 토큰 사용자 지정을 위한 추가 파라미터와 함께 Lambda 함수에 요청을 전달할지 여부를 결정합니다.

Version 1

{
    "request": {
        "userAttributes": {"string": "string"},
        "groupConfiguration": {
                "groupsToOverride": [
                    "string",
                    "string"
                ],
                "iamRolesToOverride": [
                    "string",
                    "string"
                ],
                "preferredRole": "string"
        },
        "clientMetadata": {"string": "string"}
    },
    "response": {
        "claimsOverrideDetails": {
            "claimsToAddOrOverride": {"string": "string"},
            "claimsToSuppress": [
                "string",
                "string"
            ],
            "groupOverrideDetails": {
                "groupsToOverride": [
                    "string",
                    "string"
                ],
                "iamRolesToOverride": [
                    "string",
                    "string"
                ],
                "preferredRole": "string"
            }
        }
    }
}

Version 2

{
    "request": {
        "userAttributes": {
            "string": "string"
        },
        "scopes": ["string", "string"],
        "groupConfiguration": {
            "groupsToOverride": ["string", "string"],
            "iamRolesToOverride": ["string", "string"],
            "preferredRole": "string"
        },
        "clientMetadata": {
            "string": "string"
        }
    },
    "response": {
        "claimsAndScopeOverrideDetails": {
            "idTokenGeneration": {
                "claimsToAddOrOverride": {
                    "string": "string"
                },
                "claimsToSuppress": ["string", "string"]
            },
            "accessTokenGeneration": {
                "claimsToAddOrOverride": {
                    "string": "string"
                },
                "claimsToSuppress": ["string", "string"],
                "scopesToAdd": ["string", "string"],
                "scopesToSuppress": ["string", "string"]
            },
            "groupOverrideDetails": {
                "groupsToOverride": ["string", "string"],
                "iamRolesToOverride": ["string", "string"],
                "preferredRole": "string"
            }
        }
    }
}

사전 토큰 생성 요청 파라미터

명칭	Description	최소 트리거 이벤트 버전
userAttributes	사용자 풀에 있는 사용자의 사용자 프로필 속성입니다.	1
groupConfiguration	현재 그룹 구성을 포함하는 입력 객체입니다. 이 객체에는 groupsToOverride, iamRolesToOverride 및 preferredRole이 포함됩니다.	1
groupsToOverride	사용자가 속한 사용자 풀 그룹입니다.	1
iamRolesToOverride	사용자 풀 그룹을 AWS Identity and Access Management(IAM) 역할과 연결할 수 있습니다. 이 요소는 사용자가 속한 그룹의 모든 IAM 역할 목록입니다.	1
preferredRole	사용자 풀 그룹의 우선 순위를 설정할 수 있습니다. 이 요소에는 groupsToOverride 요소에서 우선 순위가 가장 높은 그룹의 IAM 역할 이름이 포함됩니다.	1
clientMetadata	사용자가 지정하고 사전 토큰 생성 트리거에 Lambda 함수에 대한 사용자 지정 입력으로 제공할 수 있는 하나 이상의 키-값 페어입니다. 이 데이터를 Lambda 함수에 전달하려면 AdminRespondToAuthChallenge 및 RespondToAuthChallenge API 작업에서 ClientMetadata 파라미터를 사용합니다. Amazon Cognito는 사전 토큰 생성 함수로 전달하는 요청 내 AdminInitiateAuth 및 InitiateAuth API 작업의 ClientMetadata 파라미터의 데이터는 포함하지 않습니다.	1
scopes	사용자의 OAuth 2.0 범위입니다. 액세스 토큰에 표시되는 범위는 사용자가 요청하고 앱 클라이언트에 발급을 승인한 사용자 풀 표준 및 사용자 지정 범위입니다.	2

사전 토큰 생성 응답 파라미터

명칭	Description	최소 트리거 이벤트 버전
claimsOverrideDetails	A container for all elements in a V1_0 trigger event.	1
claimsAndScopeOverrideDetails	V2_0 트리거 이벤트의 모든 요소를 담는 컨테이너입니다.	2
idTokenGeneration	사용자 ID 토큰에서 재정의, 추가 또는 차단하려는 클레임입니다. 이 상위 ID 토큰 사용자 지정 값은 버전 2 이벤트에만 나타나지만 하위 요소는 버전 1 이벤트에 나타납니다.	2
accessTokenGeneration	사용자 액세스 토큰에서 재정의, 추가 또는 차단하려는 클레임 및 범위입니다. 이 상위 액세스 토큰 사용자 지정 값은 버전 2 이벤트에서만 나타납니다.	2
claimsToAddOrOverride	추가 또는 수정하려는 하나 이상의 클레임 및 해당 값이 표시된 맵입니다. 그룹 관련 클레임의 경우 대신 groupOverrideDetails를 사용합니다. 버전 2 이벤트에서 이 요소는 accessTokenGeneration 및 idTokenGeneration에 모두 나타납니다.	1
claimsToSuppress	Amazon Cognito가 차단하길 원하는 클레임의 목록입니다. 함수가 신청 값을 억제하고 대체하는 경우 Amazon Cognito는 신청을 억제합니다. 버전 2 이벤트에서 이 요소는 accessTokenGeneration 및 idTokenGeneration에 모두 나타납니다.	1
groupOverrideDetails	현재 그룹 구성을 포함하는 입력 객체입니다. 이 객체에는 groupsToOverride, iamRolesToOverride 및 preferredRole이 포함됩니다. 함수가 groupOverrideDetails 객체를 사용자가 제공하는 객체로 바꿉니다. 응답에서 비어 있는 객체 또는 Null 객체를 제공하면 Amazon Cognito가 그룹을 억제합니다. 기존 그룹 구성을 동일하게 유지하려면 요청의 groupConfiguration 객체 값을 응답의 groupOverrideDetails 객체로 복사합니다. 그런 다음 해당 객체를 서비스로 다시 전달합니다. Amazon Cognito ID 및 액세스 토큰 둘 다에 cognito:groups 클레임이 포함되어 있습니다. groupOverrideDetails 객체는 액세스 토큰과 ID 토큰의 cognito:groups 클레임을 대체합니다.	1
scopesToAdd	사용자의 액세스 토큰에서 scope 클레임에 추가할 OAuth 2.0 범위 목록입니다. 하나 이상의 공백 문자가 포함된 범위 값은 추가할 수 없습니다.	2
scopesToSuppress	사용자의 액세스 토큰에서 scope 클레임을 제거할 OAuth 2.0 범위 목록입니다.	2

사전 토큰 트리거 이벤트 버전 2 예시: 클레임, 범위 및 그룹 추가 및 억제

이 예시에서는 사용자 토큰을 다음과 같이 수정합니다.

1. ID 토큰에서 family_name을 Doe와 동일하게 설정합니다.

2. ID 토큰에 email 및 phone_number 클레임이 나타나지 않도록 합니다.

3. ID 토큰 cognito:roles 클레임을 "arn:aws:iam::123456789012:role\/sns_callerA","arn:aws:iam::123456789012:role\/sns_callerC","arn:aws:iam::123456789012:role\/sns_callerB"로 설정합니다.

4. ID 토큰 cognito:preferred_role 클레임을 arn:aws:iam::123456789012:role/sns_caller로 설정합니다.

5. 액세스 토큰에 범위 openid, email, solar-system-data/asteroids.add를 추가합니다.

6. 액세스 토큰에서 범위 phone_number 및 aws.cognito.signin.user.admin을 억제합니다. phone_number를 제거하면 userInfo에서 사용자 전화 번호를 검색할 수 없습니다. aws.cognito.signin.user.admin를 제거하면 Amazon Cognito 사용자 풀 API로 자신의 프로필을 읽고 수정하려는 사용자의 API 요청이 방지됩니다.

   참고

   액세스 토큰의 나머지 범위에 openid 및 하나 이상의 표준 범위가 포함된 경우에만 범위에서 phone_number를 제거하면 사용자 전화 번호를 검색할 수 없습니다. 자세한 내용은 범위에 대한 정보 섹션을 참조하세요.

7. ID 및 액세스 토큰 cognito:groups 클레임을 "new-group-A","new-group-B","new-group-C"로 설정합니다.

JavaScript

export const handler = function(event, context) {
  event.response = {
    "claimsAndScopeOverrideDetails": {
      "idTokenGeneration": {
        "claimsToAddOrOverride": {
          "family_name": "Doe"
    },
        "claimsToSuppress": [
          "email",
          "phone_number"
    ]
      },
      "accessTokenGeneration": {
        "scopesToAdd": [
          "openid",
          "email",
          "solar-system-data/asteroids.add"
        ],
        "scopesToSuppress": [
          "phone_number",
          "aws.cognito.signin.user.admin"
        ]
      },
      "groupOverrideDetails": {
        "groupsToOverride": [
		  "new-group-A",
		  "new-group-B",
		  "new-group-C"
		],
        "iamRolesToOverride": [
          "arn:aws:iam::123456789012:role/new_roleA",
          "arn:aws:iam::123456789012:role/new_roleB",
          "arn:aws:iam::123456789012:role/new_roleC"
        ],
        "preferredRole": "arn:aws:iam::123456789012:role/new_role",
      }
    }
  };
  // Return to Amazon Cognito
  context.done(null, event);
};

Amazon Cognito는 이벤트 정보를 Lambda 함수에 전달합니다. 그런 다음 함수는 응답이 변경되면 동일한 이벤트 객체를 Amazon Cognito에 반환합니다. Lambda 콘솔에서 해당 Lambda 트리거와 관련 있는 데이터로 테스트 이벤트를 설정할 수 있습니다. 다음은 이 코드 샘플의 테스트 이벤트입니다.

JSON

{
    "version": "2",
    "triggerSource": "TokenGeneration_Authentication",
    "region": "us-east-1",
    "userPoolId": "us-east-1_EXAMPLE",
    "userName": "JaneDoe",
    "callerContext": {
        "awsSdkVersion": "aws-sdk-unknown-unknown",
        "clientId": "1example23456789"
    },
    "request": {
        "userAttributes": {
            "sub": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "cognito:user_status": "CONFIRMED",
            "email_verified": "true",
            "phone_number_verified": "true",
            "phone_number": "+12065551212",
            "family_name": "Zoe",
            "email": "Jane.Doe@example.com"
        },
        "groupConfiguration": {
            "groupsToOverride": ["group-1", "group-2", "group-3"],
            "iamRolesToOverride": ["arn:aws:iam::123456789012:role/sns_caller1", "arn:aws:iam::123456789012:role/sns_caller2", "arn:aws:iam::123456789012:role/sns_caller3"],
            "preferredRole": ["arn:aws:iam::123456789012:role/sns_caller"]
        },
        "scopes": [
            "aws.cognito.signin.user.admin", "openid", "email", "phone_number"
        ]
    },
    "response": {
        "claimsAndScopeOverrideDetails": []
    }
}

사전 토큰 생성 이벤트 버전 1 예시: 새 클레임 추가 및 기존 클레임 억제

이 예시에서는 사전 토큰 생성 Lambda 함수와 버전 1 트리거 이벤트를 사용하여 새 클레임을 추가하고 기존 클레임을 차단합니다.

Node.js

const handler = async (event) => {
  event.response = {
    claimsOverrideDetails: {
      claimsToAddOrOverride: {
        my_first_attribute: "first_value",
        my_second_attribute: "second_value",
      },
      claimsToSuppress: ["email"],
    },
  };

  return event;
};

export { handler };

Amazon Cognito는 이벤트 정보를 Lambda 함수에 전달합니다. 그런 다음 함수는 응답이 변경되면 동일한 이벤트 객체를 Amazon Cognito에 반환합니다. Lambda 콘솔에서 해당 Lambda 트리거와 관련 있는 데이터로 테스트 이벤트를 설정할 수 있습니다. 다음은 이 코드 샘플에 대한 테스트 이벤트입니다. 이 코드 예에서는 요청 파라미터를 처리하지 않기 때문에 빈 요청에 테스트 이벤트를 사용할 수 있습니다. 공통 요청 파라미터에 대한 자세한 내용은 사용자 풀 Lambda 트리거 이벤트 섹션을 참조하세요.

JSON

{
  "request": {},
  "response": {}
}

사전 토큰 생성 이벤트 버전 1 예시: 사용자의 그룹 멤버십 수정

이 예시에서는 사전 토큰 생성 Lambda 함수와 버전 1 트리거 이벤트를 사용하여 사용자의 그룹 멤버십을 수정합니다.

Node.js

const handler = async (event) => {
  event.response = {
    claimsOverrideDetails: {
      groupOverrideDetails: {
        groupsToOverride: ["group-A", "group-B", "group-C"],
        iamRolesToOverride: [
          "arn:aws:iam::XXXXXXXXXXXX:role/sns_callerA",
          "arn:aws:iam::XXXXXXXXX:role/sns_callerB",
          "arn:aws:iam::XXXXXXXXXX:role/sns_callerC",
        ],
        preferredRole: "arn:aws:iam::XXXXXXXXXXX:role/sns_caller",
      },
    },
  };

  return event;
};

export { handler };

Amazon Cognito는 이벤트 정보를 Lambda 함수에 전달합니다. 그런 다음 함수는 응답이 변경되면 동일한 이벤트 객체를 Amazon Cognito에 반환합니다. Lambda 콘솔에서 해당 Lambda 트리거와 관련 있는 데이터로 테스트 이벤트를 설정할 수 있습니다. 다음은 이 코드 샘플의 테스트 이벤트입니다.

JSON

{
  "request": {},
  "response": {}
}