Cognitoとトラストログイン(TrustLogin)でSAML認証したい時

CognitoとトラストログインをSAML連携したい時に、設定情報などが見つからず、苦労したので情報を残します。

AppSyncと連携したい時は過去記事参照ください

• AppSyncの認証をCognito指定した時のPostman設定方法
• AppSyncの認証にCognitoユーザープールを設定する方法まとめ

TrustLoginメタデータダウンロードまで

トラストログインのアプリを新規作成する

トラストログインのユーザを追加する

メタデータのダウンロードを行う

Cognitoアプリクライアントの設定まで

Cognitoユーザプールをデフォルト設定で作成します。

IDプロバイダーを登録します。(フェデレーション->IDプロバイダー)

• メタデータドキュメント：トラストログインでダウンロードしたもの
• プロバイダ名:任意
• 識別子:任意
• IdPサインアウトフローの有効化:チェックなし

ドメイン名の設定を行います。(アプリの統合->ドメイン名)

アプリクライアントの追加をします。(全般設定->アプリクライアント)

アプリクライアントの設定を行います。(アプリの統合->アプリクライアントの設定)

トラストログインサービスプロバイダーの設定

• ログインURL:Cognitoでアプリの統合->アプリクライアントの設定画面からホストされたUIのURL
  • ネームID用値:メンバー、email
• エンティティID:CognitoのプールID(Cognito->全般設定)
• ネームIDフォーマット:unspecified
• サービスへのACS URL:https://{ドメイン}.auth.ap-northeast-1.amazoncognito.com/saml2/idpresponse
  • SAML属性の設定 :
• 属性指定名:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • 属性種類:Email 属性値:メンバー、メンバーメールアドレス

Cognito属性マッピングの設定

Cognito属性マッピングの設定を行います。 (Cognitoユーザプール->フェデレーション->属性マッピング)

• SAML属性:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • ユーザープール属性:Email

Cognito動作確認

Cognito動作確認をします。 (アプリの統合->アプリクライアントの設定)

ホストされた UIを起動します。

表示されているSAMLのログインボタンを選択し、トラストログインのログインを済ませてください。

トークン情報が付与された状態でアプリクライントのコールバックURLで指定したページ(今回はhttps://www.amazon.co.jp)に遷移します。

参考

https://www.youtube.com/watch?v=FKU3Ai1AzNM

https://www.youtube.com/watch?v=E3VDZvPuS44

https://aws.amazon.com/jp/premiumsupport/knowledge-center/cognito-saml-onelogin/