Amazon Cognito ユーザープールで Security Assertion Markup Language 2.0 (SAML 2.0) ID プロバイダー (IdP) として Active Directory Federation Services (AD FS) を使用したいと考えています。どのように設定すればよいですか?
Amazon Cognito ユーザープールでは、AD FS などの SAML IdP を含め、サードパーティー (フェデレーション) を介してサインインすることができます。詳細については、「サードパーティーを介したユーザープールサインインの追加」および「ユーザープールへの SAML ID プロバイダーの追加」をご参照ください。
Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスに AD FS サーバーとドメインコントローラーを設定し、Amazon Cognito のホストされたウェブの UI を使用して設定をユーザープールと統合できます。
重要: この解決方法では、所有しているドメイン名が必要です。ドメインを所有していない場合は、Amazon Route 53 または別のドメインネームシステム (DNS) サービスを使って新しいドメインを登録できます。
詳細については、「チュートリアル: ユーザープールの作成」と「Amazon Cognito コンソールでホストされた UI を設定する」をご参照ください。
注: ユーザープールを作成する場合、標準属性の E メールがデフォルトで選択されます。ユーザープールの属性の詳細については、「ユーザープールの属性の設定」をご参照ください。
EC2 Windows インスタンスを設定して起動し、そのインスタンスに AD FS サーバーとドメインコントローラーをセットアップします。詳細については、「Amazon Cognito ユーザープールのフェデレーションと連携するように Amazon EC2 Windows インスタンスで AD FS を設定する方法」をご参照ください。
詳細については、「ユーザープールの SAML ID プロバイダーの作成と管理 (AWS マネジメントコンソール) 」をご参照いただき、「ユーザープールで SAML 2.0 ID プロバイダーを設定する方法」の手順に従ってください。
SAML IdP を作成する場合、メタデータドキュメントについては、メタデータドキュメントのエンドポイント URL を貼り付けるか、.xml メタデータファイルをアップロードします。
詳細については、「ユーザープールの ID プロバイダー属性マッピングの指定」をご参照いただき、「SAML プロバイダー属性マッピングを指定する方法」の指示に従ってください。
SAML 属性を追加する場合、[SAML Attribute] (SAML 属性) に、http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress と入力します。[User pool attribute] (ユーザープール属性) で、リストから [Email] (E メール) を選択します。
Amazon Cognito ユーザープールを使用してウェブアプリケーション用の ADFS フェデレーションを構築する
サードパーティーの SAML ID プロバイダと Amazon Cognito ユーザープールの統合
SAML ユーザプール IdP 認証フロー
Amazon Cognito ユーザープールでサードパーティーの SAML ID プロバイダーをセットアップするにはどうすればよいですか?