Amazon Cognito (SP-Initiated SSO対応)のSAML JIT設定方法

 項目

内容 

事前確認

  • Amazon Cognito にて事前の設定が必要です。

  • 最新の設定手順は、Amazon からご提供されているマニュアルをご確認くださいますようお願いいたします。

  • IdP-Initiated SSO対応のマニュアルはこちらをご参照ください。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

 

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

SAML認証適用範囲

 

全員有効(SAML認証のみとなる)

その他:管理者がSAMLアプリを割り当てたユーザーのみ有効
パスワードユーザーと外部プロバイダーユーザーは区別される

備考

 

特になし

※ 検証中

 

目次:

トラスト・ログインの管理ページの設定 

Amazon Cognito の設定

トラスト・ログインの管理ページの設定(続き)

トラスト・ログインのユーザーの設定

ログイン方法とユーザー情報について

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「Amazon Cognito (SAML)」を選択します。
    02.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
    03.png

ここで、Amazon Cognito 側の設定に移ります。
「登録」ボタンは押さず、別タブでAmazon Cognito コンソールを開いてください。

Amazon Cognito の設定

  1. 【ユーザープールを作成】
    ※ 既に作成済みの場合は手順3へ進んでください。
    Amazon Cognito コンソールを開き、ユーザープールを作成します。ユーザープールの詳細な作成手順はAmazonのマニュアルをご参照ください。
    04new.png

  2. 各項目を以下のとおり設定し、「ユーザーディレクトリを作成する」をクリックします。
    アプリケーションタイプ アプリケーションタイプを選択
    アプリケーションに名前をつける 任意のアプリケーション名
    サインイン識別子のオプション メールアドレス
    サインアップのための必須属性 プルダウンから「email」「family_name」「given_name」を追加
    リターンURL (オプション) リターンURLを設定

    05.png

  3. 【自己登録の無効化】
    ユーザープール一覧から作成したユーザープール名をクリックし、「サインアップ」> 「セルフサービスのサインアップ」の編集を開きます。
    11.png

    12.png

  4. 「自己登録を有効化」のチェックを外し、変更を保存します。
    13.png

  5. 【外部プロバイダーの設定】
    「ソーシャルプロバイダーと外部プロバイダー」を開き、「アイデンティティプロバイダーを追加」をクリックします。
    07.png

  6. 各項目を以下のとおりに設定し、「アイデンティティプロバイダーを追加」をクリックします。
    フェデレーティッドサインインのオプション SAMLを選択
    プロバイダー名 任意の名称を設定
    ※ログインページのSSO用ログインボタンのボタン名になります。
    IdP が開始した SAML サインイン
    「SP が開始する SAML アサーションが必要」を選択
    メタデータドキュメント 「メタデータドキュメントをアップロード」を選択し、トラスト・ログインからダウンロードしたメタデータを選択してアップロード
    SAML プロバイダーとユーザープールの間で属性をマッピング

    左のユーザープール属性にそれぞれ対応するように、右側の「SAML属性」に「email」「family_name」「given_name」と入力


    08.png

  7. 【ログインページにSAML SSO ボタンを追加】
    「アプリケーションクライアント」を開き、アプリケーションクライアント名のリンクを開きます。
    14.png

  8. 「ログインページ」のタブを開き、「マネージドログインページの設定」の「編集」を開きます。
    15.png

  9. 「IDプロバイダー」の「アイデンティティプロバイダーを選択」のプルダウンから、設定したアイデンティティプロバイダーにチェックを入れて追加します。
    右下の「変更を保存」ボタンで設定を保存します。
    16.png

    17.png

    ※ 「Cognitoユーザープール」を削除することでログイン方法をSAML SSOのみに制限することができます。制限する場合は、すべての設定が完了しSAML SSOの接続確認等が済んでから切り替えることを推奨します。

  10. 【トラスト・ログインに設定する情報の取得】

    ①ユーザープールID 
    ユーザープールのトップページに戻り、「ユーザープールID」の値控えておきます。
    18.png

    ②ログインページのURL
    「アプリケーションクライアント」からアプリケーションクライアントの詳細画面を開き、「ログインページを表示」で開くログインページのURLを取得します。
    25.png

    ③ドメイン
    「ドメイン」を開き、「ドメイン」(Cognitoドメインまたはカスタムドメイン)の値を控えておきます。
    19.png

再び、トラスト・ログインの設定に戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」を以下のとおり設定します。
    ログインURL

    Amazon Cognito より取得した「②ログインページのURL」

    SP認証成功後の移行URL 空欄
    エンティティID Amazon Cognito より取得した「①ユーザープールID」
    サービスへのACS URL Amazon Cognito より取得した「③ドメイン」

    19.png

  2. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

※事前に管理者でSAMLアプリを設定している必要があります。

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「Amazon Cognito (SAML) 」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「Amazon Cognito (SAML) 」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

ログイン方法とユーザー情報について

  • マイページまたは拡張機能から「Amazon Cognito (SAML) 」アプリをクリックすると、ログイン画面にします。
    「Continue with (設定したアイデンティティプロバイダー名)」のボタンをクリックすると認証が完了します。
    21.png

  • SAML SSOでログインしたユーザーの確認ステータスは「外部プロバイダー」で表示されます。同一のメールアドレスであっても、管理者によって作成されたユーザーとは区別されます。
    20.png

 

Amazon Cognito (SP-Initiated SSO対応)のSAML JIT設定方法

 項目

内容 

事前確認

  • Amazon Cognito にて事前の設定が必要です。

  • 最新の設定手順は、Amazon からご提供されているマニュアルをご確認くださいますようお願いいたします。

  • IdP-Initiated SSO対応のマニュアルはこちらをご参照ください。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

 

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

SAML認証適用範囲

 

全員有効(SAML認証のみとなる)

その他:管理者がSAMLアプリを割り当てたユーザーのみ有効
パスワードユーザーと外部プロバイダーユーザーは区別される

備考

 

特になし

※ 検証中

 

目次:

トラスト・ログインの管理ページの設定 

Amazon Cognito の設定

トラスト・ログインの管理ページの設定(続き)

トラスト・ログインのユーザーの設定

ログイン方法とユーザー情報について

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「Amazon Cognito (SAML)」を選択します。
    02.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
    03.png

ここで、Amazon Cognito 側の設定に移ります。
「登録」ボタンは押さず、別タブでAmazon Cognito コンソールを開いてください。

Amazon Cognito の設定

  1. 【ユーザープールを作成】
    ※ 既に作成済みの場合は手順3へ進んでください。
    Amazon Cognito コンソールを開き、ユーザープールを作成します。ユーザープールの詳細な作成手順はAmazonのマニュアルをご参照ください。
    04new.png

  2. 各項目を以下のとおり設定し、「ユーザーディレクトリを作成する」をクリックします。
    アプリケーションタイプ アプリケーションタイプを選択
    アプリケーションに名前をつける 任意のアプリケーション名
    サインイン識別子のオプション メールアドレス
    サインアップのための必須属性 プルダウンから「email」「family_name」「given_name」を追加
    リターンURL (オプション) リターンURLを設定

    05.png

  3. 【自己登録の無効化】
    ユーザープール一覧から作成したユーザープール名をクリックし、「サインアップ」> 「セルフサービスのサインアップ」の編集を開きます。
    11.png

    12.png

  4. 「自己登録を有効化」のチェックを外し、変更を保存します。
    13.png

  5. 【外部プロバイダーの設定】
    「ソーシャルプロバイダーと外部プロバイダー」を開き、「アイデンティティプロバイダーを追加」をクリックします。
    07.png

  6. 各項目を以下のとおりに設定し、「アイデンティティプロバイダーを追加」をクリックします。
    フェデレーティッドサインインのオプション SAMLを選択
    プロバイダー名 任意の名称を設定
    ※ログインページのSSO用ログインボタンのボタン名になります。
    IdP が開始した SAML サインイン
    「SP が開始する SAML アサーションが必要」を選択
    メタデータドキュメント 「メタデータドキュメントをアップロード」を選択し、トラスト・ログインからダウンロードしたメタデータを選択してアップロード
    SAML プロバイダーとユーザープールの間で属性をマッピング

    左のユーザープール属性にそれぞれ対応するように、右側の「SAML属性」に「email」「family_name」「given_name」と入力


    08.png

  7. 【ログインページにSAML SSO ボタンを追加】
    「アプリケーションクライアント」を開き、アプリケーションクライアント名のリンクを開きます。
    14.png

  8. 「ログインページ」のタブを開き、「マネージドログインページの設定」の「編集」を開きます。
    15.png

  9. 「IDプロバイダー」の「アイデンティティプロバイダーを選択」のプルダウンから、設定したアイデンティティプロバイダーにチェックを入れて追加します。
    右下の「変更を保存」ボタンで設定を保存します。
    16.png

    17.png

    ※ 「Cognitoユーザープール」を削除することでログイン方法をSAML SSOのみに制限することができます。制限する場合は、すべての設定が完了しSAML SSOの接続確認等が済んでから切り替えることを推奨します。

  10. 【トラスト・ログインに設定する情報の取得】

    ①ユーザープールID 
    ユーザープールのトップページに戻り、「ユーザープールID」の値控えておきます。
    18.png

    ②ログインページのURL
    「アプリケーションクライアント」からアプリケーションクライアントの詳細画面を開き、「ログインページを表示」で開くログインページのURLを取得します。
    25.png

    ③ドメイン
    「ドメイン」を開き、「ドメイン」(Cognitoドメインまたはカスタムドメイン)の値を控えておきます。
    19.png

再び、トラスト・ログインの設定に戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」を以下のとおり設定します。
    ログインURL

    Amazon Cognito より取得した「②ログインページのURL」

    SP認証成功後の移行URL 空欄
    エンティティID Amazon Cognito より取得した「①ユーザープールID」
    サービスへのACS URL Amazon Cognito より取得した「③ドメイン」

    19.png

  2. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

※事前に管理者でSAMLアプリを設定している必要があります。

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「Amazon Cognito (SAML) 」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「Amazon Cognito (SAML) 」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

ログイン方法とユーザー情報について

  • マイページまたは拡張機能から「Amazon Cognito (SAML) 」アプリをクリックすると、ログイン画面にします。
    「Continue with (設定したアイデンティティプロバイダー名)」のボタンをクリックすると認証が完了します。
    21.png

  • SAML SSOでログインしたユーザーの確認ステータスは「外部プロバイダー」で表示されます。同一のメールアドレスであっても、管理者によって作成されたユーザーとは区別されます。
    20.png