<h2 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h2>
先月、マネージドログイン機能がリリースされました。 
Hosted UIよりも表現力が上がっているということで、マネージドログインを採用する機会が増えそうだと思っています。
<iframe id="zenn-embedded__4bae8670d26a8" src="https://embed.zenn.studio/card#zenn-embedded__4bae8670d26a8" data-content="https%3A%2F%2Faws.amazon.com%2Fjp%2Fabout-aws%2Fwhats-new%2F2024%2F11%2Famazon-cognito-managed-login%2F" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://aws.amazon.com/jp/about-aws/whats-new/2024/11/amazon-cognito-managed-login/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://aws.amazon.com/jp/about-aws/whats-new/2024/11/amazon-cognito-managed-login/</a>
re:Invent関連で後回しにしていたので時間経ってしまいましたが、触ってみようかと思います。
<h2 id="%E7%92%B0%E5%A2%83%E6%A7%8B%E7%AF%89" data-line="9" class="code-line">
<a class="header-anchor-link" href="#%E7%92%B0%E5%A2%83%E6%A7%8B%E7%AF%89" aria-hidden="true"></a> 環境構築</h2>
マネコンでサクッと作れると思うのですが、CDK力向上と再現性を担保したくてCDKで実装してみました。 
マネージドログインのCDK対応は現状L1コンストラクトで構築できるようです。
<iframe id="zenn-embedded__1178d6499664f" src="https://embed.zenn.studio/card#zenn-embedded__1178d6499664f" data-content="https%3A%2F%2Fgithub.com%2Fshikira%2Faws-lab%2Ftree%2Fmain%2Fmanaged-login" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://github.com/shikira/aws-lab/tree/main/managed-login" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/shikira/aws-lab/tree/main/managed-login</a>
<iframe id="zenn-embedded__cd31752fce10f" src="https://embed.zenn.studio/github#zenn-embedded__cd31752fce10f" data-content="https%3A%2F%2Fgithub.com%2Fshikira%2Faws-lab%2Fblob%2Fmain%2Fmanaged-login%2Flib%2Fmanaged-login-stack.ts%23L1-L71" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://github.com/shikira/aws-lab/blob/main/managed-login/lib/managed-login-stack.ts#L1-L71" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/shikira/aws-lab/blob/main/managed-login/lib/managed-login-stack.ts#L1-L71</a>
マネージドログインによる実装は主に以下のあたりで、<code>managedLoginVersion: 2</code>がマネージドログインで1がHosted UIです。 
<code>useCognitoProvidedValues: true</code>でデフォルトのブランドでマネージドログイン画面を作っています。
<iframe id="zenn-embedded__089c05a9ab91b" src="https://embed.zenn.studio/github#zenn-embedded__089c05a9ab91b" data-content="https%3A%2F%2Fgithub.com%2Fshikira%2Faws-lab%2Fblob%2Fmain%2Fmanaged-login%2Flib%2Fmanaged-login-stack.ts%23L53-L64" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://github.com/shikira/aws-lab/blob/main/managed-login/lib/managed-login-stack.ts#L53-L64" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/shikira/aws-lab/blob/main/managed-login/lib/managed-login-stack.ts#L53-L64</a>
ちなみに、aws-cdkやaws-cdk-libが古いと<code>CfnManagedLoginBranding</code>とか存在しないのでご注意を。 
<iframe id="zenn-embedded__bffe86f4a7294" src="https://embed.zenn.studio/github#zenn-embedded__bffe86f4a7294" data-content="https%3A%2F%2Fgithub.com%2Fshikira%2Faws-lab%2Fblob%2Fmain%2Fmanaged-login%2Fpackage.json%23L18-L23" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://github.com/shikira/aws-lab/blob/main/managed-login/package.json#L18-L23" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/shikira/aws-lab/blob/main/managed-login/package.json#L18-L23</a>
<h2 id="%E7%94%BB%E9%9D%A2%E3%82%92%E8%A7%A6%E3%81%A3%E3%81%A6%E8%A6%8B%E3%82%8B" data-line="27" class="code-line">
<a class="header-anchor-link" href="#%E7%94%BB%E9%9D%A2%E3%82%92%E8%A7%A6%E3%81%A3%E3%81%A6%E8%A6%8B%E3%82%8B" aria-hidden="true"></a> 画面を触って見る</h2>
作成したスタック -&gt; <code>Outputs</code> -&gt; <code>ManagedLoginUrl</code>からマネージドログイン画面にアクセスします。 
まずはアカウントを作成します。
<img src="https://res.cloudinary.com/zenn/image/fetch/s--qSBbd8rL--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/8cecb9c47f0562d6d7a85cba.png%3Fsha%3D1f651e8d55156628e65d42b32b5875a0503c8062" loading="lazy" class="md-img">
メールとパスワード入力します。
<img src="https://res.cloudinary.com/zenn/image/fetch/s--GGvg9ZNQ--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/1251c12b70d2122ff22fa32e.png%3Fsha%3D36d4230086a5ad18abfa6aea45a4dc9aea5c586f" loading="lazy" class="md-img">
メールにコードが届いていると思うので入力して完了です。 
<img src="https://res.cloudinary.com/zenn/image/fetch/s--YnmIUqcB--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/5988c3b2b720373337745dfb.png%3Fsha%3Db9d9302d6805565a59aa08238190bdf88bcba1f4" loading="lazy" class="md-img">
成功するとAWSのトップページに飛ぶようになっていて、クエリパラメータでcodeを渡していれば成功です。
<h2 id="cdk%E3%81%A7%E3%83%9E%E3%83%8D%E3%83%BC%E3%82%B8%E3%83%89%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%AE%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%9E%E3%82%A4%E3%82%BA%E5%AE%9F%E8%A3%85%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6" data-line="43" class="code-line">
<a class="header-anchor-link" href="#cdk%E3%81%A7%E3%83%9E%E3%83%8D%E3%83%BC%E3%82%B8%E3%83%89%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%AE%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%9E%E3%82%A4%E3%82%BA%E5%AE%9F%E8%A3%85%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6" aria-hidden="true"></a> CDKでマネージドログインのカスタマイズ実装について</h2>
独自のブランドを作ることも可能ですが、一旦マネコンでブランドをカスタマイズした後、CLI/APIで<code>DescribeManagedLoginBrandingByClient</code>を実行して設定情報を取得し、CDKに変換することがベストプラクティスのようです。
<iframe id="zenn-embedded__f512e484e0788" src="https://embed.zenn.studio/card#zenn-embedded__f512e484e0788" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2FAWSCloudFormation%2Flatest%2FUserGuide%2Faws-resource-cognito-managedloginbranding.html%23cfn-cognito-managedloginbranding-usecognitoprovidedvalues" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-cognito-managedloginbranding.html#cfn-cognito-managedloginbranding-usecognitoprovidedvalues" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-cognito-managedloginbranding.html#cfn-cognito-managedloginbranding-usecognitoprovidedvalues</a>
<blockquote data-line="49" class="code-line">
As a best practice, modify the output of DescribeManagedLoginBrandingByClient into the request parameters for this operation. To get all settings, set ReturnMergedResources to true. For more information, see API and SDK operations for managed login branding
</blockquote>
今回はグローバルヘッダにロゴを追加して、そのブランディングをjson出力してみます。
<code>Launch Branding designer</code>を起動
<img src="https://res.cloudinary.com/zenn/image/fetch/s--A_3UTv4b--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/b342fc4fc85ca9cd3cf45d0d.png%3Fsha%3D42cb377ad024fa5d9163b855c859e9c92da95408" loading="lazy" class="md-img">
Step 1-3はそのまま
<img src="https://res.cloudinary.com/zenn/image/fetch/s--uKCeJc1B--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/430d825e9802daec3ae1969e.png%3Fsha%3D35f785a515c34b23818e3e6403887350fcdfb6a4" loading="lazy" class="md-img">
Step4でヘッダを変えられるので、条件に合った画像をアップロード。
<img src="https://res.cloudinary.com/zenn/image/fetch/s--qkAu20WB--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/0d4aafe1c08df0f6d11cb37e.png%3Fsha%3Df1006ddcac31aeb92fc7215041f93d426b454ceb" loading="lazy" class="md-img">
保存後にログイン画面にいくとちゃんと変更が反映されていることが確認できる。
<img src="https://res.cloudinary.com/zenn/image/fetch/s--V_ytDPDE--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/efe538084cdafb12445a8726.png%3Fsha%3Df733640ca7a1dba683cf9efd809d8ae1316ee0b1" loading="lazy" class="md-img">
カスタマイズできたら、<code>describe-managed-login-branding-by-client</code>コマンド(長いw)でカスタマイズ情報を出力します。
<iframe id="zenn-embedded__8bb53d82b2f57" src="https://embed.zenn.studio/card#zenn-embedded__8bb53d82b2f57" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Fcli%2Flatest%2Freference%2Fcognito-idp%2Fdescribe-managed-login-branding-by-client.html" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/describe-managed-login-branding-by-client.html" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/describe-managed-login-branding-by-client.html</a>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell code-line" data-line="75">aws cognito-idp describe-managed-login-branding-by-client --user-pool-id USER_POOL_ID --client-id CLIENT_ID &gt; output.json
</code></pre></div>途中省略しますが、カスタマイズ設定が<code>Settings</code>、アップロードした画像は<code>Assets</code>に変換されています。
<div class="code-block-container"><pre class="language-json"><code class="language-json code-line" data-line="80">{
 "ManagedLoginBranding": {
 "ManagedLoginBrandingId": "a03211ea-5949-4b61-b3c3-2b361221f00b",
 "UserPoolId": "ap-northeast-1_jVoh2F4AF",
 "UseCognitoProvidedValues": false,
 "Settings": {
 "components": {
 ...
 }
 },
 "Assets": [
 {
 "Category": "PAGE_HEADER_LOGO",
 "ColorMode": "LIGHT",
 "Extension": "JPEG",
 "Bytes": "/9j/4AAQSkZJRgABAQAASAB..."
 }
 ],
 "CreationDate": "2024-12-21T17:55:28.413000+09:00",
 "LastModifiedDate": "2024-12-21T20:08:04.193000+09:00"
 }
}
</code></pre></div>このカスタマイズ設定をCDK化するなら<code>CfnManagedLoginBranding</code>で<code>useCognitoProvidedValues: false</code>と指定して、<code>settings</code>と<code>assets</code>にjsonから取得した値を指定する。
<iframe id="zenn-embedded__0bc35aeac9793" src="https://embed.zenn.studio/github#zenn-embedded__0bc35aeac9793" data-content="https%3A%2F%2Fgithub.com%2Fshikira%2Faws-lab%2Fblob%2Fmain%2Fmanaged-login%2Flib%2Fmanaged-login-stack.ts%23L60-L64" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://github.com/shikira/aws-lab/blob/main/managed-login/lib/managed-login-stack.ts#L60-L64" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/shikira/aws-lab/blob/main/managed-login/lib/managed-login-stack.ts#L60-L64</a>
<div class="code-block-container"><pre class="language-typescript"><code class="language-typescript code-line" data-line="109"> new cdk.aws_cognito.CfnManagedLoginBranding(this, 'ManagedLoginBranding', {
 userPoolId: userPool.userPoolId,
 clientId: userPoolClient.userPoolClientId,
 useCognitoProvidedValues: false,
 settings: {...},
 assets: {...}
 })
</code></pre></div><h2 id="%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB" data-line="119" class="code-line">
<a class="header-anchor-link" href="#%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB" aria-hidden="true"></a> おわりに</h2>
CDKでもL1コンストラクトがあるのでマネージドログインを実装できました。 
カスタマイズのCDK化はベストプラクティスにならってマネコンで一度作ってから出力した方が楽だなと感じました。 
あとは、あまりログイン画面は変更しないので、この手順でも「まぁいいかなぁ」という感想ですが、画面でも設定出力あると嬉しいなと感じました。

CDKでマネージドログインを試してみる

CDKでマネージドログインのカスタマイズ実装について

Discussion