Amazon Cognito のSAML JIT設定方法

 項目

内容 

事前確認

  • Amazon Cognito にて事前の設定が必要です。

  • 最新の設定手順は、Amazon からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

 

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

※ 検証中

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「Amazon Cognito (SAML)」を選択します。
    02.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
    03.png

ここで、Amazon Cognito側の設定に移ります。
「登録」ボタンは押さず、別タブでAmazon Cognito コンソールを開いてください。

Amazon Cognitoの設定

  1. Amazon Cognitoコンソールを開き、ユーザープールを作成します。ユーザープールの詳細な作成手順はAmazonのマニュアルをご参照ください。
    04.png

  2. 【ステップ1】
    サインインエクスペリエンスを以下の通り設定し、「次へ」で進みます。
    認証プロバイダーのタイプ フェデレーテッドアイデンティティプロバイダー
    Cognito ユーザープールのサインインオプション Eメール
    フェデレーテッドサインインのオプション SAML

    05.png

  3. 【ステップ2】
    運用ポリシーに合わせて設定を行います。

  4. 【ステップ3】
    「自己登録を有効化」のチェックを外します。
    14.png

  5. 【ステップ4】
    運用ポリシーに合わせて設定を行います。

  6. 【ステップ5】
    SAMLの設定を以下の通り行い、「次へ」で進みます。
    プロバイダー名 任意の名称を設定
    ※ログインページのSSO用ログインボタンのボタン名になります。
    メタデータドキュメントのソース 「メタデータドキュメントをアップロード」を選択し、トラスト・ログインからダウンロードしたメタデータをアップロードする
    SAML プロバイダーとユーザープールの間で属性をマッピング
    1. 「別の属性を追加」ボタンで行を追加し、「ユーザープール属性」をそれぞれ「family_name」「given_name」をプルダウンから選択する
    2. 右側の「SAML属性」にそれぞれ「email」「family_name」「given_name」と入力する(画像参照)

    07.png

  7. 【ステップ6】
    アプリケーション統合の設定を行います。
    「クライアントのシークレット」は「生成しない」を選択します。
    09.png

  8. 【ステップ7】
    内容を確認し「ユーザープールを作成」ボタンで作成完了です。

  9. ユーザープール一覧から作成した「ユーザープール名」のリンクを開きます。
    10.png

  10. 以下のユーザープールの情報を控えておきます。
    ユーザープールID 「ユーザープールの概要」で確認
    11.png
    ドメイン 「アプリケーションの統合」> 「ドメイン」で確認
    12.png
    クライアントID 「アプリケーションの統合」> 「アプリクライアントと分析」で確認
    13.png
    コールバックURL ユーザープール作成時に設定したコールバックURL


再び、トラスト・ログインの設定に戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」の空欄箇所に以下の通り設定します。
    ログインURL

    Amazon Cognitoより取得した情報を以下の赤字箇所に書き換え、URLを生成する

    {ドメイン}
    /login?response_type=code&client_id={クライアントID}&redirect_uri={コールバックURL}

    エンティティID Amazon Cognitoより取得した「ユーザープールID」
    サービスへのACS URL Amazon Cognitoより取得した「ドメイン」

    19.png

  2. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「Amazon Cognito (SAML)」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「Amazon Cognito (SAML) 」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

ログイン方法とユーザー情報について

  • ログイン画面で、作成したプロバイダー名のログインボタンをクリックします。
    ブラウザからログインページを開き、トラスト・ログインに未ログインの場合はトラスト・ログインのログイン画面に遷移します。認証後、ログインが完了します。
    15.png

  • ユーザーページでシングルサインオンでログインしたユーザーの確認ステータス「外部プロバイダー」で表示されます。同一のメールアドレスであっても、メールアドレス/パスワードでログインしたユーザーとは区別されます。
    16.png

  • 「アプリケーションクライアント」>「ホストされたUIの編集」で、「IDプロバイダー」を設定したIdPのみにすることでシングルサインオンによるログインのみにすることができます。運用方法に合わせて設定してください。
    17.png

    シングルサインオン用のボタンのみが表示されます。
    18.png

 

Amazon Cognito のSAML JIT設定方法

 項目

内容 

事前確認

  • Amazon Cognito にて事前の設定が必要です。

  • 最新の設定手順は、Amazon からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

 

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

※ 検証中

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「Amazon Cognito (SAML)」を選択します。
    02.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
    03.png

ここで、Amazon Cognito側の設定に移ります。
「登録」ボタンは押さず、別タブでAmazon Cognito コンソールを開いてください。

Amazon Cognitoの設定

  1. Amazon Cognitoコンソールを開き、ユーザープールを作成します。ユーザープールの詳細な作成手順はAmazonのマニュアルをご参照ください。
    04.png

  2. 【ステップ1】
    サインインエクスペリエンスを以下の通り設定し、「次へ」で進みます。
    認証プロバイダーのタイプ フェデレーテッドアイデンティティプロバイダー
    Cognito ユーザープールのサインインオプション Eメール
    フェデレーテッドサインインのオプション SAML

    05.png

  3. 【ステップ2】
    運用ポリシーに合わせて設定を行います。

  4. 【ステップ3】
    「自己登録を有効化」のチェックを外します。
    14.png

  5. 【ステップ4】
    運用ポリシーに合わせて設定を行います。

  6. 【ステップ5】
    SAMLの設定を以下の通り行い、「次へ」で進みます。
    プロバイダー名 任意の名称を設定
    ※ログインページのSSO用ログインボタンのボタン名になります。
    メタデータドキュメントのソース 「メタデータドキュメントをアップロード」を選択し、トラスト・ログインからダウンロードしたメタデータをアップロードする
    SAML プロバイダーとユーザープールの間で属性をマッピング
    1. 「別の属性を追加」ボタンで行を追加し、「ユーザープール属性」をそれぞれ「family_name」「given_name」をプルダウンから選択する
    2. 右側の「SAML属性」にそれぞれ「email」「family_name」「given_name」と入力する(画像参照)

    07.png

  7. 【ステップ6】
    アプリケーション統合の設定を行います。
    「クライアントのシークレット」は「生成しない」を選択します。
    09.png

  8. 【ステップ7】
    内容を確認し「ユーザープールを作成」ボタンで作成完了です。

  9. ユーザープール一覧から作成した「ユーザープール名」のリンクを開きます。
    10.png

  10. 以下のユーザープールの情報を控えておきます。
    ユーザープールID 「ユーザープールの概要」で確認
    11.png
    ドメイン 「アプリケーションの統合」> 「ドメイン」で確認
    12.png
    クライアントID 「アプリケーションの統合」> 「アプリクライアントと分析」で確認
    13.png
    コールバックURL ユーザープール作成時に設定したコールバックURL


再び、トラスト・ログインの設定に戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」の空欄箇所に以下の通り設定します。
    ログインURL

    Amazon Cognitoより取得した情報を以下の赤字箇所に書き換え、URLを生成する

    {ドメイン}
    /login?response_type=code&client_id={クライアントID}&redirect_uri={コールバックURL}

    エンティティID Amazon Cognitoより取得した「ユーザープールID」
    サービスへのACS URL Amazon Cognitoより取得した「ドメイン」

    19.png

  2. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「Amazon Cognito (SAML)」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「Amazon Cognito (SAML) 」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

ログイン方法とユーザー情報について

  • ログイン画面で、作成したプロバイダー名のログインボタンをクリックします。
    ブラウザからログインページを開き、トラスト・ログインに未ログインの場合はトラスト・ログインのログイン画面に遷移します。認証後、ログインが完了します。
    15.png

  • ユーザーページでシングルサインオンでログインしたユーザーの確認ステータス「外部プロバイダー」で表示されます。同一のメールアドレスであっても、メールアドレス/パスワードでログインしたユーザーとは区別されます。
    16.png

  • 「アプリケーションクライアント」>「ホストされたUIの編集」で、「IDプロバイダー」を設定したIdPのみにすることでシングルサインオンによるログインのみにすることができます。運用方法に合わせて設定してください。
    17.png

    シングルサインオン用のボタンのみが表示されます。
    18.png