Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!
AD FS を Amazon Cognito ユーザープールの SAML ID プロバイダーとして設定する方法を教えてください。
Active Directory フェデレーションサービス (AD FS) を Amazon Cognito ユーザープールで SAML 2.0 ID プロバイダー (IdP) として使用したいです。
解決策
前提条件 Amazon Cognito ユーザープールで AD FS をセットアップするには、ドメインを所有している必要があります。ドメインを所有していない場合は、Amazon Route 53 またはその他のドメインネームシステム (DNS) サービスを使用して新規ドメインを登録してください。
マネージドログインで Amazon Cognito ユーザープールを作成する
Amazon Cognito ユーザープールを作成し、マネージドログインを設定します。
Amazon EC2 Windows インスタンスを設定する
次の手順を実行します。
- Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスを起動します。
- Amazon EC2 Windows インスタンスで AD FS サーバーとドメインコントローラーを設定します。
手順については、「Amazon EC2 Windows インスタンスで AD FS を設定し、Amazon Cognito ユーザープールと連携させる方法を教えてください」を参照してください。
Amazon Cognito で AD FS を SAML IdP として設定する
次の手順を実行します。
- ユーザープールに SAML 2.0 IdP を設定します。メタデータドキュメントのエンドポイント URL を貼り付けるか、.xml メタデータファイルをアップロードします。
- SAML IdP 属性をユーザープールのユーザープロファイルにマッピングします。必須の属性をすべて属性マップに含めてください。
アプリクライアント設定を更新する
次の手順を実行します。
- Amazon Cognito コンソールを開きます。
- [アプリケーション] で [アプリクライアント] を選択します。次に、リストからユーザープールのセットアッププロセスで生成されたアプリクライアントを選択します。
- [ログインページ] タブに移動して [編集] を選択し、次のオプションを選択します。
[コールバック URL] にログイン後にユーザーをリダイレクトする URL を入力します。
[サインアウト URL] にログアウト後にユーザーをリダイレクトする URL を入力します。
[ID プロバイダー] のドロップダウンリストから SAML IdP を選択します。
[OAuth 2.0 付与タイプ] で [認証コードの付与] と [暗黙的付与] にチェックを入れます。
[OpenID Connect スコープ] のドロップダウンリストからすべての [OIDC スコープ] を選択します。
[カスタムスコープ] で設定したカスタムスコープを選択します。 - [変更を保存] を選択します。
アプリクライアントの用語については、「アプリクライアント設定の用語」を参照してください。
設定をテストする
次の手順を実行します。
- ウェブブラウザに次の URL を入力します: https://domainNamePrefix.auth.region.amazoncognito.com/loginresponse_type=token&client_id=appClientId&redirect_uri=https://www.example.com
- Amazon Cognito コンソールを開きます。
- ナビゲーションペインで [ブランディング] を選択し、該当するドメインを選択します。
- ドメインの URL をコピーします。
注: domainNamePrefix.auth.region.amazoncognito.com を実際のドメインの URL に置き換えます。 - ナビゲーションペインの [アプリケーション] で [アプリクライアント] を選択します。次に、アプリクライアント ID をコピーします。
注: appClientId を実際のアプリクライアント ID に置き換えます。 - 該当するアプリクライアントを選択し、[ログインページ] タブを選択します。
- [ログインページ] タブに表示されたコールバック URL をコピーします。
注: https://www.example.com をコールバック URL に置き換えます。 - 変更した URL をブラウザに入力します。Amazon Cognito により、Cognito 認証ページにリダイレクトされます。
- サインインページで該当する SAML IdP を選択します。
- [組織アカウントでサインイン] を選択し、Active Directory ユーザーのユーザー名とパスワードを入力します。
- [サインイン] を選択します。
**注:**サインインに成功すると、AD FS は Amazon Cognito に SAML 応答を送信します。Amazon Cognito は SAML 応答を検証します。SAML 応答が有効な場合、Amazon Cognito はトークンを含むアプリケーションページにリダイレクトします。SAML 応答が無効な場合、Amazon Cognito はアプリケーションページにリダイレクトし、URL にエラーメッセージを表示します。SAML 応答には NameID 属性が含まれている必要があります。SAML 応答にこの属性が含まれていない場合、フェデレーションは失敗します。SAML 応答の詳細については、「ブラウザで SAML 応答を表示する」を参照してください。
関連情報
Amazon Cognito ユーザープールを使用してウェブアプリケーション用の ADFS フェデレーションを構築する
Amazon Cognito ユーザープールで SAML セッションを開始する
Amazon Cognito ユーザープールを使用してサードパーティの SAML ID プロバイダーをセットアップする方法を教えてください
- 言語
- 日本語
