ログイン  
こんにちは!

助けが必要? 私たちはここにいます!

サポートアイコン
miniOrange メールサポート
成功

お問い合わせいただきありがとうございます。弊社のチームがすぐにご連絡させていただきます。

24時間以内に連絡がない場合は、お気軽にフォローアップメールをお送りください。 info@xecurify.com

検索結果:

×

AWS Cognito を OAuth IDP または SSO の ID ソースとして設定する

miniOrange Identity Brokerサービスソリューションは、クロスプロトコル認証を可能にします。AWS Cognitoを アイデンティティプロバイダー (IDP) アプリケーション/ウェブサイトへのシングルサインオン (SSO) 用として、または AWS Cognito ユーザープールからユーザーを認証するためのアイデンティティソースとして設定します。

AWS Cognito との統合用に構築済みのソリューションをご用意しており、より簡単かつ迅速に導入できます。AWS Cognito を OAuth/OIDC IDP として設定し、SSO ログインに利用することも、アイデンティティソースとして設定し、AWS Cognito をユーザー認証用のアイデンティティソースとして使用することもできます。


無料のインストールヘルプを受ける


miniOrangeは、システムエンジニアとの相談電話を通じて、AWS CognitoをIDPとして使用してさまざまなアプリのSSOを構成するための無料サポートを提供しています。 30日無料トライアル.

これを行うには、次のメールアドレスにメールを送信してください。 idpsupport@xecurify.com スロットを予約していただければ、すぐにお手伝いさせていただきます。



前提条件

組織のブランディングがすでに設定されていることを確認してください。 カスタマイズ >> ログインと登録のブランディング ダッシュボードの左側のメニューにあります。


AWS Cognito シングルサインオン (SSO) については、以下のステップバイステップガイドに従ってください。

1. AWS Cognito で miniOrange をサービスプロバイダーとして設定する


注意: AWS ログイン ページをカスタマイズする場合は、ユーザーストアとして AWS を選択してください。デフォルトの AWS ログイン ページの場合は、IdP 構成として AWS を使用できます。




AWS Cognito を SSO の OAuth IDP として設定するには、次のガイドに従ってください。

  • にサインイン AWSアマゾン.
    • AWS Cognito シングルサインオン (SSO): Amazon コンソールにログイン

  • 検索する コグニート に選出しました。 AWSサービス 以下に示すように検索バー。
    • SSOを設定するにはAWSサービスでCognitoを検索してください

  • ソフトウェアの制限をクリック ユーザープールの作成 新しいユーザー プールを作成するためのボタン。
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO): ユーザープールの作成をクリックします

  • あなたの属性を選択してください Cognito ユーザープール サインインプロセス中に使用されます。
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO): Cognito ユーザープールの属性を選択する

  • 強力なパスワードを設定してセキュリティ要件を構成します。 先に進んでください 「MFAなし」 ユーザーが単一の認証要素でのみサインインできるようにする場合は、このオプションを使用します。 ご希望の場合は MFA (多要素認証) を有効にする Amazon SNS によって別途課金される SMS メッセージが必要になります。 詳細についてはこちらをご覧ください こちらに設定します。 OK をクリックします。 次へ.
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO): MFA なしで進む

    AWS Cognito OAuth/OpenID シングルサインオン (SSO)

  • 属性の構成 ユーザーのサインアップフロー中に必要になります。
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO): 属性の設定

  • 必要に応じて、追加の属性を選択します。 クリック 次へ.
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO): [次へ] をクリックします。

  • ユーザープールがユーザーに電子メールメッセージを送信する方法を構成します。
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO): 送信とメールメッセージを選択

  • ユーザー プールの名前を次の場所にも入力します ホストされた認証ページチェック 「Cognito ホスト型 UI を使用する」.
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO): ユーザープールの名前を入力します

  • 次に、「ドメイン」セクションでドメインの種類を選択します。 「Cognito ドメインを使用する」。 Cognito アプリのドメイン名を入力します。
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO): ドメイン名を入力してください

  • 初期アプリクライアント セクション、アプリクライアントの名前を入力し、チェックボックスをオンにします クライアントシークレットを生成する.
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO): アプリクライアントの名前を入力します

  • さあ、行きましょう miniOrange 管理コンソール.
  • 左側のナビゲーションバーから選択します アイデンティティプロバイダー >> クリック IDプロバイダーの追加.
    • AWS Cognito SSO: IDプロバイダーへ移動

  • In IDプロバイダーを選択選択 OAuth/OpenID をドロップダウンから選択します。
    • IDP としての Azure AD: ドロップダウンから OAuth/OpenID を選択

  • 検索する AWSコグニート リストにありません。見つからない場合は検索してください。 OAuthプロバイダー そこでアプリケーションを設定します。
    • Azure ADをIDPとして: Microsoftを検索

  • 続ける OAuth コールバック URL リダイレクト URL として指定します。これは次の手順で必要になります。
    • AWS Cognito シングルサインオン: OAuth コールバック URL をコピーする

    AWS Cognito OAuth/OpenID シングルサインオン (SSO)

  • さあ、アンダー アプリクライアントの詳細設定選択 ID プロバイダー as Cognito ユーザープール & 認証コード付与を選択OAuth 2.0 付与タイプ また、 OpenID、メール、プロフィールを選択してください の下のチェックボックス OpenID Connect のスコープ セクション(下の画像を参照してください)。
  • 以下を行うには、 次へ ボタンをクリックして設定を保存します。
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO)

  • 次に、要件の選択を確認します。 クリック ユーザープールの作成 選択を確認してユーザープールを作成します。
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO)

    AWS Cognito OAuth/OpenID シングルサインオン (SSO)

  • ユーザープールが正常に作成されたら、 プール名を選択してください プールのリストからユーザーの作成を開始します。
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO)

  • に行きます [ユーザー]タブ、クリック ユーザーを作成.
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO)

  • などの詳細を入力します。 ユーザー名、メールアドレス、パスワード。 をクリックしてください ユーザーを作成 詳細を保存します。
    • AWS Cognito OAuth/OpenID シングルサインオン (SSO)

  • AWS Cognito 側の設定が正常に完了しました。

ユーザー認証の ID ソースとして AWS Cognito を構成するには、次のガイドに従ってください。

A. ユーザープールを構成する手順

  • にサインイン AWSアマゾン.
  • 次に、検索テキストボックスに「Cognito」と入力し、ドロップダウンから Cognito を選択します。
    • AWSコンソールからCognitoを検索して選択する

  • に行く 「ユーザープールを管理する」.
    • ユーザープールの管理 AWS Cognito

  • ソフトウェアの制限をクリック 「ユーザープールを作成する」.
    • ユーザープールの作成 AWS Cognito

  • プール名を追加して選択します 「デフォルトの確認」.
    • AWS Cognito ユーザープールのデフォルトを確認する

  • ソフトウェアの制限をクリック 編集アイコン 下の図のようになります。
    • 編集アイコン AWS Cognito ユーザープール設定

  • ここで、有効にします。 メールアドレスと電話番号 オプションをクリックして 次のステップ
    • メールアドレス、電話番号、AWS Cognito を有効にする

    次のステップボタン AWS Cognito ユーザープール

  • ソフトウェアの制限をクリック 「アプリクライアントを追加」 そしてクリックしてください アプリクライアントを追加する.
    • アプリクライアント AWS Cognito を追加する

  • アプリクライアント名を入力 & クライアントシークレットの生成を無効にする オプション。 を有効にする ユーザー名パスワードベースの認証 オプションを選択し、クリックします 「アプリクライアントを作成」.
    • アプリクライアントの作成 AWS Cognito のクライアントシークレットの無効化

    認証フロー構成 AWS Cognito アプリクライアント

  • ソフトウェアの制限をクリック プールの詳細に戻る をクリックして設定に戻ります。
    • プールの詳細に戻る AWS Cognito

  • ソフトウェアの制限をクリック プールの作成 ボタンをクリックして設定を保存し、ユーザー プールを作成します。
    • プールの作成ボタン AWS Cognito ユーザープール

  • 左側にあるナビゲーション バーで、 アプリクライアント設定 アプリ統合メニューのオプション。
    • アプリクライアント設定 AWS Cognito ユーザープール

  • Cognito ダッシュボードに移動し、選択します 「Cognitoユーザープール」前提条件からコピーしたコールバック URL を追加します。
  • アプリケーションのホームページ URL を追加する必要があります サインアウト URL.
  • また、 認証コードの付与 「許可されたOAuthフロー」として選択し、 メール、OpenID、プロフィール 「許可された OAuth スコープ」として。
  • すべての詳細を選択したら、 をクリックします 変更を保存します
    • 変更を保存 AWS Cognito アプリクライアント設定

  • に行く 「アプリクライアント」 をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します 「詳細を表示」 クライアント ID を取得します。(クライアント ID は後で必要になるので、手元に保管しておいてください。)
    • クライアント ID を取得する AWS Cognito アプリクライアント

  • に行く ドメイン名 アプリのドメイン名を入力してください。ドメイン名を追加した後、「使用可能か確認」ボタンをクリックして、そのドメイン名が使用可能かどうかを確認できます。有効なドメイン名を入力したら、「変更を保存」ボタンをクリックしてください。
    • ドメイン名の設定 AWS Cognito

  • 完全なドメイン名: miniOrangeダッシュボードに入力する必要がある完全なドメイン名は次のとおりです。 {ドメイン名}.auth.{リージョン名}.amazoncognito.com
  • Cognito アプリにユーザー/グループを追加する: に行く ユーザーとグループ クリックして ユーザー。 この後、 をクリックします ユーザーを作成.
    • ユーザーとグループ AWS Cognito ユーザープール

  • 必要な情報をすべて入力してクリックしてください ユーザーを作成.
    • AWS Cognito ユーザープールを作成する

  • ソフトウェアの制限をクリック グループ クリックして グループを作る.
    • グループ AWS Cognito ユーザープールを作成する

  • 必要な情報をすべて入力してクリックしてください グループを作る.
    • グループの詳細を作成する AWS Cognito


B. アイデンティティプールを構成する手順

  • に行く フェデレーション ID をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します 新しいアイデンティティプールを作成する
    • 新しいアイデンティティプールを作成する AWS Cognito

  • Enter ID プール名 有効にする 認証されていないアイデンティティ の三脚と 認証フローの設定、 次にをクリックしてください プールを作成する
    • アイデンティティプールの作成 AWS Cognito 構成

  • ソフトウェアの制限をクリック 許可する ボタンを押すと ID プール ID.
    • AWS Cognito のアイデンティティプール ID を取得する


2. miniOrangeでAWS CognitoをユーザーストアまたはIDPとして設定する


  • に行く miniOrange 管理コンソール.
  • 左側のナビゲーションバーから選択します ID プロバイダー >> ID プロバイダーの追加.
    • アイデンティティプロバイダーを選択し、アイデンティティプロバイダーを追加する miniOrange 管理コンソール

  • 選択する OAuth/OpenID from タイプドロップダウン。
    • すべてのタイプのドロップダウンからOAuth/OpenIDを選択します。

  • 検索する OAuthプロバイダー リストから選択します。
    • IDプロバイダーリストからOAuthプロバイダーを検索する

  • アプリ統合セクションに移動します AWSアマゾン 次の形式で完全なドメイン名をコピーします。 {ドメイン名}.auth.{リージョン名}.amazoncognito.com 後で使用するため。
    • アプリ統合タブ AWS Cognito ドメイン名

  • まだで アプリの統合 タブで、下にスクロールして アプリクライアントと分析 セクションでアプリクライアント名をクリックすると、 顧客ID の三脚と クライアントシークレット.
    • アプリクライアントと分析セクション AWS Cognito

    クライアントIDとクライアントシークレットを取得するAWS Cognito

  • Basic miniOrange 管理コンソールのタブで、必要に応じて値を入力します。
    表示名 カスタムプロバイダー
    OAuth 承認エンドポイント https://{Cognito アプリ ドメイン}/oauth2/承認
    OAuth アクセス トークン エンドポイント https://{Cognito アプリ ドメイン}/oauth2/トークン
    OAuth ユーザー情報取得エンドポイント (オプション) https://{Cognito アプリ ドメイン}/oauth2/ユーザー情報
    顧客ID 上のステップから
    クライアントの秘密 上のステップから
    対象領域 OpenID メール 電話 プロフィール
    • AWS Cognito OAuth IDP 設定の詳細を入力する [基本] タブ

  • ソフトウェアの制限をクリック Save 構成を保存します。
  • に行く miniOrange 管理コンソール.
  • 左側のナビゲーションバーから選択します ID プロバイダー >> ID プロバイダーの追加.
    • アイデンティティプロバイダの追加 miniOrange 管理コンソール

  • IDプロバイダーを選択選択 API from タイプドロップダウン。
    • IDプロバイダーの選択ドロップダウンからAPIを選択します

  • 検索する AWSコグニート リストから選択します。
    • IDプロバイダーリストからAWS Cognitoユーザーストアを選択する

  • Basic タブで、次の値を入力します。
    • AWS Cognito ユーザーストアの基本設定タブ

    AWS Cognito 識別子 プロバイダ名
    AWS Cognito リージョン ユーザープールから Cognito リージョンを取得します (例: us-east-2)
    ID プール ID ステップ1.2から
    ユーザープールID ステップ1.1から
    顧客ID ステップ1.1から
  • 今、あなたはクリックすることができます 次へ ボタンを押して続行します。
  • In 高機能 タブで、次の値を入力します。
    ドメインマッピング ドメイン マッピングのドメイン名をコンマで区切って入力します。
    フォールバック認証 プライマリ認証が失敗した場合のフォールバック認証にはこのオプションを有効にします。
    • AWS Cognito ユーザーストアの詳細設定ドメインマッピングフォールバック認証

  • に行きます Attributes タブをクリックし、AWS Cognito ユーザーストアの属性を設定します。
    • カスタム属性を送信するこのオプションを有効にすると、ログイン時に、以下に設定された属性のみが属性で送信されます。
    • ソフトウェアの制限をクリック 属性を追加 新しい属性を追加します。
      • 入力する SPに送信された属性名 の三脚と IdP/ユーザーストアからの属性名 値。
      • 例: メールメールアドレス, ファーストネームファーストネーム
      カスタム属性のマッピング AWS Cognito ユーザーストアの属性タブ

    • ソフトウェアの制限をクリック Save 属性を保存します。

3. テスト接続

  • 訪問する ログインページのURL.
  • に行く アイデンティティプロバイダー タブには何も表示されないことに注意してください。
  • アプリを検索し、「アクション」メニューの3つの点をクリックして、 試験用接続 設定したアイデンティティプロバイダー (IDP) に対して。
    • AWS Cognito-IDP-TestConnection

  • 有効な AWS Cognito 認証情報 (AWS Cognito で作成されたアプリに割り当てられたユーザーの認証情報) を入力すると、下の画面に示すようなポップアップ ウィンドウが表示されます。
    • SucessTestConn-AWS Cognito-IDP

  • これで、miniOrange での IDP としての AWS Cognito の設定が正常に完了しました。

注意:

あなたが従うことができます このガイド設定したい場合は SAML/WS-FED, OAuth/OIDC, JWT, 半径


属性マッピングの構成

  • に行く アイデンティティプロバイダー.
  • アクションメニューの3つの点をクリックし、 属性マッピング 設定したアイデンティティプロバイダー (IDP) に対して。
    • AWS Cognito シングルサインオン SSO 属性マッピングの選択と設定


ジャストインタイム (JIT) ユーザー作成中に、電子メールやユーザー名などの情報をマップします。ユーザー プロファイルを作成するには、電子メールとユーザー名の属性が必要です。

  • 以下を行うには、 + 属性を追加 属性フィールドを追加するボタン。
    • AWS Cognito シングルサインオン SSO マップ USER 属性

  • 前の手順の「テスト接続」ウィンドウで属性を確認します。「SP に送信された属性名」で、アプリケーションに送信する属性名を選択します。
  • IdP から取得した属性の値を、Xecurify 側の「IdP からの属性名」フィールドに入力します。

EXTERNAL マッピングは、受信した属性名をアプリに送信する前に変更し、データが正しい形式であることを保証します。

  • 以下を行うには、 + 属性を追加 属性フィールドを追加するボタン。
    • AWS Cognito シングルサインオン SSO マップ EXTERNAL 属性

  • 最後の手順のテスト接続ウィンドウで属性を確認します。SP に送信される属性名の下に、アプリケーションに送信する属性名 (任意の名前) を入力します。
  • IdP から取得される属性の値を、Xecurify 側の「IdP からの属性名」フィールドに入力します。

複数の IDP を構成する:

あなたが従うことができます このガイド、 あなたがしたい場合は 複数のIDPを設定する (アイデンティティプロバイダ)および ユーザーにIDPを選択するオプションを与える 認証に使用する任意のトークン。


トラブルシューティング

OAuth ベースのシングルサインオン (SSO) を使用して AWS Cognito を外部 IdP として使用するように設定されているアプリケーションに SSO でログインしようとすると、これらのエラーメッセージが表示されます。

エラー - 無効な redirect_uri

このエラーは、認証リクエストで指定されたリダイレクト URI が Cognito に登録されているものと一致しない場合に発生します。

  • 正しいリダイレクトURIが設定されていることを確認してください。 アプリクライアント設定 AWS Cognito コンソールで。
  • OAuth クライアントのリダイレクト URL が、大文字と小文字の区別を含め、Cognito のリダイレクト URL と完全に一致していることを確認します。

エラー - invalid_client

このエラーは通常、OAuth リクエストのクライアント ID またはクライアント シークレットが正しくない場合に発生します。

  • を再確認してください 顧客ID の三脚と 秘密 の値 アプリクライアント あなたのセクション Cognito ユーザープール アプリケーションの OAuth リクエストで正しく使用されていることを確認します。

エラー - 必要なスコープがありません

OAuth リクエストに必要なスコープ (「openid」、「email」、「profile」など) がない場合、AWS Cognito はこのエラーをスローします。

  • に行く アプリクライアント設定 に選出しました。 Cognito ユーザープール 関連する認証スコープが有効になっていることを確認します。
  • また、OAuth 認証リクエストにスコープが含まれていることを確認してください。

エラー - invalid_grant

このエラーは、トークンを取得するために使用される認証コードまたは更新トークンに問題がある場合によく発生します。

  • 認証コードの有効期限が切れているか、すでに使用されている場合に発生する可能性があります。
  • 認証コードが正しく使用されており、期限が切れていないことを確認してください。また、リフレッシュ トークンの有効期限が切れていないかどうかも確認してください。

エラー - 不正なクライアント

これは、OAuth クライアント (アプリケーション) が特定のフロー (認証コード、暗黙的、またはクライアント資格情報など) を使用できないことを意味します。

  • に行く アプリクライアント設定 AWS Cognitoコンソールで、正しい許可タイプが有効になっていることを確認します。 認証コードの付与, 暗黙の付与アプリケーションのフローに応じて、など。

エラー - アクセス拒否

これは、ユーザーが同意を拒否した場合、またはクライアント アプリに特定のスコープを要求する権限がない場合に発生します。

  • ユーザーが必要なスコープに対して適切な同意を与えていることを確認します。
  • また、要求されたスコープが利用可能であり、承認されていることを確認してください。 アプリクライアント設定.

外部参照

デモをスケジュールしますか?

無料デモ申込み
  



その他のアイデンティティおよびアクセス管理製品

シングル・サインオン

従業員と顧客のIDをクラウドまたはオンプレミスのアプリにシームレスにログイン

さらに詳しく

多要素認証

追加の認証レイヤーによるIDの安全なアクセス

さらに詳しく

適応認証

IP、デバイス、時間、場所に基づいてユーザーアクセスをブロックまたは許可する

さらに詳しく

ライフサイクル管理

アプリへのユーザーのプロビジョニングとデプロビジョニングを管理および自動化する

もっと詳しく知る