ログイン  
こんにちは!

助けが必要? 私たちはここにいます!

サポートアイコン
miniOrange メールサポート
成功

お問い合わせいただきありがとうございます。弊社のチームがすぐにご連絡させていただきます。

24時間以内に連絡がない場合は、お気軽にフォローアップメールをお送りください。 info@xecurify.com

検索結果:

×

AWS Cognito を SSO の OAuth IDP として設定する

miniOrange Identity Brokerサービスソリューションは、クロスプロトコル認証を可能にします。AWS Cognitoをアプリケーション/ウェブサイトへのシングルサインオン(SSO)のIDPとして設定できます。ここで、AWS Cognitoは アイデンティティプロバイダー (IDP) miniOrange がブローカーとして機能します。

AWS Cognito との統合用に構築済みのソリューションを提供しており、より簡単かつ迅速に実装できます。また、当社のチームは、アプリケーションにログインするための OIDC IDP として AWS Cognito を設定するお手伝いもできます。


無料のインストールヘルプを受ける


miniOrangeは、システムエンジニアとの相談電話を通じて、AWS CognitoをIDPとして使用してさまざまなアプリのSSOを構成するための無料サポートを提供しています。 30日無料トライアル.

これを行うには、次のメールアドレスにメールを送信してください。 idpsupport@xecurify.com スロットを予約していただければ、すぐにお手伝いさせていただきます。



前提条件

組織のブランディングがすでに設定されていることを確認してください。 カスタマイズ >> ログインと登録のブランディング ダッシュボードの左側のメニューにあります。


AWS Cognito シングルサインオン (SSO) については、以下のステップバイステップガイドに従ってください。

1. AWS Cognito で miniOrange をサービスプロバイダーとして設定する


注意: AWS ログイン ページをカスタマイズする場合は、ユーザーストアとして AWS を選択してください。デフォルトの AWS ログイン ページの場合は、IdP 構成として AWS を使用できます。




    1.1 AWS Cognito で miniOrange をサービスプロバイダー (SP) として設定する

    • にサインイン AWSアマゾン.
      • AWS Cognito シングルサインオン (SSO): Amazon コンソールにログイン

    • 検索する コグニート 会場は AWSサービス 以下に示すように検索バー。
      • SSOを設定するにはAWSサービスでCognitoを検索してください

    • ソフトウェアの制限をクリック ユーザープールの作成 新しいユーザー プールを作成するためのボタン。
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO): ユーザープールの作成をクリックします

    • あなたの属性を選択してください Cognito ユーザープール サインインプロセス中に使用されます。
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO): Cognito ユーザープールの属性を選択する

    • 強力なパスワードを設定してセキュリティ要件を構成します。 先に進んでください 「MFAなし」 ユーザーが単一の認証要素でのみサインインできるようにする場合は、このオプションを使用します。 ご希望の場合は MFA (多要素認証) を有効にする Amazon SNS によって別途課金される SMS メッセージが必要になります。 詳細についてはこちらをご覧ください こちらに設定します。 OK をクリックします。 次へ.
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO): MFA なしで進む

      AWS Cognito OAuth/OpenID シングルサインオン (SSO)

    • 属性の構成 ユーザーのサインアップフロー中に必要になります。
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO): 属性の設定

    • 必要に応じて、追加の属性を選択します。 クリック 次へ.
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO): 次へをクリック

    • ユーザープールがユーザーに電子メールメッセージを送信する方法を構成します。
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO): 送信とメールメッセージを選択する

    • ユーザー プールの名前を次の場所にも入力します ホストされた認証ページチェック 「Cognito ホスト型 UI を使用する」.
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO): ユーザープールの名前を入力します

    • 次に、「ドメイン」セクションでドメインの種類を選択します。 「Cognito ドメインを使用する」。 Cognito アプリのドメイン名を入力します。
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO): ドメイン名を入力してください

    • 初期アプリクライアント セクション、アプリクライアントの名前を入力し、チェックボックスをオンにします クライアントシークレットを生成する.
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO): アプリクライアントの名前を入力してください

    • さあ、行きましょう miniOrange 管理コンソール.
    • 左側のナビゲーションバーから選択します アイデンティティプロバイダー をクリックします IDプロバイダーの追加
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO): ID プロバイダーに移動

    • 選択する OAuth 2.0 そしてコピー OAuth コールバック URL次のステップで必要になります。
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO): OAuth 2.0 を選択

    • 今あなたを入力してください OAuth コールバック URL これはクライアント側にある miniOrange プラグインから取得し、 許可されるコールバック URL テキストフィールド。 選択については、次の画像も参照してください。 認証フロー あなたのアプリのために。
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO)

    • さあ、アンダー アプリクライアントの詳細設定選択 ID プロバイダー as Cognito ユーザープール & 認証コード付与を選択OAuth 2.0 付与タイプ また、 OpenID、メール、プロフィールを選択してください の下のチェックボックス OpenID Connect のスコープ セクション(下の画像を参照してください)。
    • 以下を行うには、 [次へ]ボタン 構成を保存します。
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO)

    • 次に、要件の選択を確認します。 クリック ユーザープールの作成 選択を確認してユーザープールを作成します。
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO)

      AWS Cognito OAuth/OpenID シングルサインオン (SSO)

    • ユーザープールが正常に作成されたら、 プール名を選択してください プールのリストからユーザーの作成を開始します。
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO)

    • に行きます [ユーザー]タブ、クリック ユーザーを作成.
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO)

    • などの詳細を入力します。 ユーザー名、メールアドレス、パスワード。 をクリックしてください ユーザーを作成 詳細を保存します。
      • AWS Cognito OAuth/OpenID シングルサインオン (SSO)

    • AWS Cognito 側の設定が正常に完了しました。

1.1 AWS Cognito で miniOrange をユーザーストアとして設定する

    A] ユーザープールを構成する手順

    • にサインイン AWSアマゾン.
    • 検索テキストボックスに「Cognito」と入力し、ドロップダウンからCognitoを選択します。
      • AWS Cognito SSO ログイン Cognito

    • に行く 「ユーザープールを管理する」.
      • OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS cognito SSO ログイン ユーザープールの管理

    • ソフトウェアの制限をクリック 「ユーザープールを作成する」.
      • OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS cognito SSO ログイン ユーザープールの作成

    • プール名を追加して選択します 「デフォルトを確認する」.
      • OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS cognito SSO ログインレビューのデフォルト

    • ソフトウェアの制限をクリック 編集アイコン 下の図のようになります。
      • OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS Cognito SSO ログイン編集

    • ここで、有効にします。 メールアドレスと電話番号 オプションをクリックして 次のステップ
      • OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS Cognito SSO でメールアドレスと電話番号を設定する

      OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS cognito SSO ログイン アプリクライアントの追加

    • ソフトウェアの制限をクリック 「アプリクライアントの追加」 そしてクリックしてください アプリクライアントを追加する.
      • OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS cognito SSO ログイン アプリクライアントの追加

    • アプリクライアント名を入力 & クライアントシークレットの生成を無効にする オプション。 を有効にする ユーザー名パスワードベースの認証 オプションを選択し、クリックします 「アプリクライアントの作成」.
      • OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS cognito SSO ログイン アプリクライアントの作成

      OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS cognito SSO ログイン アプリクライアントの作成

    • ソフトウェアの制限をクリック プールの詳細に戻る をクリックして設定に戻ります。
      • OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS Cognito SSO ログインが AWS プールに戻る

    • ソフトウェアの制限をクリック プールの作成 ボタンをクリックして設定を保存し、ユーザー プールを作成します。
      • OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS Cognito SSO ログイン AWS ユーザープールの作成

    • 左側にあるナビゲーション バーで、 アプリクライアント設定 アプリ統合メニューのオプション。
      • OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS Cognito SSO ログイン、アプリクライアント設定に移動

    • Cognito ダッシュボードに移動し、選択します 「Cognitoユーザープール」前提条件からコピーしたコールバック URL を追加します。
    • アプリケーションのホームページ URL を追加する必要があります サインアウト URL.
    • また、 認証コードの付与 「許可されたOAuthフロー」として選択し、 メール、OpenID、プロフィール 「許可された OAuth スコープ」として。
    • すべての詳細を選択したら、 をクリックします 変更を保存します
      • OAuth/OpenID/OIDC シングル サインオン (SSO)、AWS cognito SSO ログイン 変更を保存

    • に行く 「アプリクライアント」 をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します "詳細を表示" クライアント ID を取得します。(クライアント ID は後で必要になるので、手元に保管しておいてください。)
      • OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS Cognito SSO ログインでクライアント ID の詳細を取得

    • に行く ドメイン名 アプリのドメイン名を入力します。ドメイン名を追加したら、「使用可能かどうかを確認」ボタンをクリックして、使用可能かどうかを確認できます。有効なドメイン名を入力したら、「変更を保存」ボタンをクリックします。
      • OAuth/OpenID/OIDC シングルサインオン (SSO) - AWS Cognito SSO ログインドメイン名

    • 完全なドメイン名: miniOrangeダッシュボードに入力する必要がある完全なドメイン名は次のとおりです。 {ドメイン名}.auth.{リージョン名}.amazoncognito.com
    • ユーザー/グループを Cognito アプリに追加: に行く ユーザーとグループ クリックして ユーザー。 この後、 をクリックします ユーザーを作成.
      • OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS cognito SSO ログイン ユーザー/グループの追加

    • 必要な情報をすべて入力してクリックしてください ユーザーを作成.
      • OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS cognito SSO ログイン ユーザーの作成

    • ソフトウェアの制限をクリック グループ クリックして グループを作る.
      • OAuth/OpenID/OIDC シングル サインオン (SSO)、AWS cognito SSO ログイン グループ
    • 必要な情報をすべて入力してクリックしてください グループを作る.
      • OAuth/OpenID/OIDC シングルサインオン (SSO)、AWS cognito SSO ログイン グループの作成

    B] アイデンティティプールを構成する手順

    • に行く フェデレーション ID をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します 新しいアイデンティティプールを作成する
      • AWS Cognito SSO ログイン: ID プールの選択

    • Enter ID プール名 有効にする 認証されていないアイデンティティ および 認証フローの設定、 次にをクリックしてください プールを作成する
      • AWS Cognito SSO ログイン: 新しいユーザー プールの作成

    • ソフトウェアの制限をクリック 許可する ボタンを押すと ID プール ID.
      • AWS Cognito OAuth SSO: Cognito Identity Pool ID を取得する

2. miniOrangeでAWS CognitoをユーザーストアまたはIDPとして設定する



  • に行く miniOrange 管理コンソール.
  • 左側のナビゲーションバーから選択します ID プロバイダー >> ID プロバイダーの追加。 選択する OAuth 2.0.
    • AWS Cognito SSO: IDプロバイダーの選択

    OAuthを選択

  • アプリ統合セクションに移動します AWSアマゾン 次の形式で完全なドメイン名をコピーします。 {ドメイン名}.auth.{リージョン名}.amazoncognito.com 後で使用するため。
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO)

  • まだで アプリの統合 タブで、下にスクロールして アプリクライアントと分析 セクションでアプリクライアント名をクリックすると、 顧客ID および クライアントシークレット.
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO): アプリ統合でアプリクライアントと分析にスクロール

    AWS Cognito OAuth/OpenID シングルサインオン (SSO): クライアントIDとクライアントシークレットをコピーする

  • miniOrange 管理コンソールで、必要に応じて値を入力します。
    IdP名 カスタムプロバイダー
    IdP 表示名 適切な名前を選択してください
    OAuth 承認エンドポイント https://{Cognito アプリ ドメイン}/oauth2/承認
    OAuth アクセス トークン エンドポイント https://{Cognito アプリ ドメイン}/oauth2/トークン
    OAuth ユーザー情報取得エンドポイント (オプション) https://{Cognito アプリ ドメイン}/oauth2/ユーザー情報
    顧客ID 上のステップから
    クライアントの秘密 上のステップから
    対象領域 OpenID メール 電話 プロフィール
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO): AWS Cognito IDP の詳細を入力します

  • に行く miniOrange 管理コンソール.
  • 左側のナビゲーションバーから選択します 外部ディレクトリ をクリックします ディレクトリを追加
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO): 外部ディレクトリに移動し、ディレクトリの追加をクリックします。

  • 選択する AWSコグニート.
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO): AWS Cognito ディレクトリの選択

  • 次の値を入力します。
    AWS Cognito 識別子 プロバイダ名
    AWS Cognito リージョン ユーザープールからCognitoリージョンを取得(例:us-east-2)
    ID プール ID ステップ1.2から
    ユーザープールID ステップ1.1から
    顧客ID ステップ1.1から
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO): AWS ユーザーストアの値を入力します

  • 今、あなたはクリックすることができます Save.

3. テスト接続

  • 訪問する ログインページのURL.
  • に行く アイデンティティプロバイダー タブには何も表示されないことに注意してください。
  • アプリを検索し、「アクション」メニューの3つの点をクリックして、 試験用接続 設定したアイデンティティプロバイダー (IDP) に対して。
    • AWS Cognito-IDP-TestConnection

  • 有効な AWS Cognito 認証情報 (AWS Cognito で作成されたアプリに割り当てられたユーザーの認証情報) を入力すると、下の画面に示すようなポップアップ ウィンドウが表示されます。
    • SucessTestConn-AWS Cognito-IDP

  • これで、miniOrange での IDP としての AWS Cognito の設定が正常に完了しました。

注意:

あなたが従うことができます このガイド設定したい場合は SAML/WS-FED, OAuth/OIDC, JWT, 半径


属性マッピングの構成

  • に行く アイデンティティプロバイダー.
  • アクションメニューの3つの点をクリックし、 属性マッピング 設定したアイデンティティプロバイダー (IDP) に対して。
    • AWS Cognito シングルサインオン SSO 属性マッピングの選択と設定


ジャストインタイム (JIT) ユーザー作成中に、電子メールやユーザー名などの情報をマップします。ユーザー プロファイルを作成するには、電子メールとユーザー名の属性が必要です。

  • 以下を行うには、 + 属性を追加 属性フィールドを追加するボタン。
    • AWS Cognito シングルサインオン SSO マップ USER 属性

  • 前の手順の「テスト接続」ウィンドウで属性を確認します。「SP に送信された属性名」で、アプリケーションに送信する属性名を選択します。
  • IdP から取得した属性の値を、Xecurify 側の「IdP からの属性名」フィールドに入力します。

EXTERNAL マッピングは、受信した属性名をアプリに送信する前に変更し、データが正しい形式であることを保証します。

  • 以下を行うには、 + 属性を追加 属性フィールドを追加するボタン。
    • AWS Cognito シングルサインオン SSO マップ EXTERNAL 属性

  • 最後の手順のテスト接続ウィンドウで属性を確認します。SP に送信される属性名の下に、アプリケーションに送信する属性名 (任意の名前) を入力します。
  • IdP から取得される属性の値を、Xecurify 側の「IdP からの属性名」フィールドに入力します。

複数の IDP を構成する:

あなたが従うことができます このガイド、 あなたがしたい場合は 複数のIDPを設定する (アイデンティティプロバイダ)および ユーザーにIDPを選択するオプションを与える 認証に使用する任意のトークン。


トラブルシューティング

OAuth ベースのシングルサインオン (SSO) を使用して AWS Cognito を外部 IdP として使用するように設定されているアプリケーションに SSO でログインしようとすると、これらのエラーメッセージが表示されます。

エラー - 無効な redirect_uri

このエラーは、認証リクエストで指定されたリダイレクト URI が Cognito に登録されているものと一致しない場合に発生します。

  • 正しいリダイレクトURIが設定されていることを確認してください。 アプリクライアント設定 AWS Cognito コンソールで。
  • OAuth クライアントのリダイレクト URL が、大文字と小文字の区別を含め、Cognito のリダイレクト URL と完全に一致していることを確認します。

エラー - invalid_client

このエラーは通常、OAuth リクエストのクライアント ID またはクライアント シークレットが正しくない場合に発生します。

  • を再確認してください 顧客ID および 秘密 の値 アプリクライアント あなたのセクション Cognito ユーザープール アプリケーションの OAuth リクエストで正しく使用されていることを確認します。

エラー - 必要なスコープがありません

OAuth リクエストに必要なスコープ (「openid」、「email」、「profile」など) がない場合、AWS Cognito はこのエラーをスローします。

  • に行く アプリクライアント設定 会場は Cognito ユーザープール 関連する認証スコープが有効になっていることを確認します。
  • また、OAuth 認証リクエストにスコープが含まれていることを確認してください。

エラー - invalid_grant

このエラーは、トークンを取得するために使用される認証コードまたは更新トークンに問題がある場合によく発生します。

  • 認証コードの有効期限が切れているか、すでに使用されている場合に発生する可能性があります。
  • 認証コードが正しく使用されており、期限が切れていないことを確認してください。また、リフレッシュ トークンの有効期限が切れていないかどうかも確認してください。

エラー - 不正なクライアント

これは、OAuth クライアント (アプリケーション) が特定のフロー (認証コード、暗黙的、またはクライアント資格情報など) を使用できないことを意味します。

  • に行く アプリクライアント設定 AWS Cognitoコンソールで、正しい許可タイプが有効になっていることを確認します。 認証コードの付与, 暗黙の付与アプリケーションのフローに応じて、など。

エラー - アクセス拒否

これは、ユーザーが同意を拒否した場合、またはクライアント アプリに特定のスコープを要求する権限がない場合に発生します。

  • ユーザーが必要なスコープに対して適切な同意を与えていることを確認します。
  • また、要求されたスコープが利用可能であり、承認されていることを確認してください。 アプリクライアント設定.

外部参照

デモをスケジュールしますか?

無料デモ申込み
  



その他のアイデンティティおよびアクセス管理製品

シングル・サインオン

従業員と顧客のIDをクラウドまたはオンプレミスのアプリにシームレスにログイン

さらに詳しく

多要素認証

追加の認証レイヤーによるIDの安全なアクセス

さらに詳しく

適応認証

IP、デバイス、時間、場所に基づいてユーザーアクセスをブロックまたは許可する

さらに詳しく

ライフサイクル管理

アプリへのユーザーのプロビジョニングとデプロビジョニングを管理および自動化する

もっと詳しく知る