SaaS におけるテナントリソースへのリクエストルーティングを JWT を用いて実現する | Amazon Web Services
Amazon Web Services ブログ SaaS におけるテナントリソースへのリクエストルーティングを JWT を用いて実現する みなさんこんにちは。ソリューションアーキテクトの福本です。 本投稿のテーマは Software as a Service(SaaS)におけるルーティングです。 SaaS ではテナントごとにサーバーなどのリソースが分離されていることがあります。そのため、各テナントに属するユーザーからのリクエストを適切なリソースへとルーティングする必要があります。 具体的なルーティングの話に入る前に、SaaS のテナント分離モデルについて説明をします。SaaS では、テナントの分離モデルとしてサイロ、プール、ブリッジモデルが存在します。また、ユーザーがサブスクライブしている利用プラン (ティア) によって、リソースの分離形態が変わるような、階層ベースの分離もあります。 サイ
インボイス管理サービス「Bill One」の認証を内製認証基盤に置き換えて認証基盤のコストを削減した話 - Sansan Tech Blog
Bill One Engineering Unit 共通認証基盤チームの樋口です。 Bill Oneでは昨年までAuth0を認証基盤として利用してきましたが、認証基盤を内製化することでコストを大幅に削減しました。 この認証基盤は、昨年12月に無事リリースされ、Bill Oneの認証を支えています。 今回は認証基盤の内製化に至った経緯と設計、移行プロセスについて紹介します。 Bill Oneについて 認証基盤に関する課題 解決方法の検討 IDaaS(Identity as a Service)について 設計とシステム構成について 認証基盤の設計 システム構成 アカウントの移行について メールアドレス・パスワードでのログインを利用しているユーザーの移行 SSO(Single Sign-On)の移行 振り返りと今後 ドメイン変更による問い合わせの増加 内製化によって体験の改善がスムーズに Bil
ZOZOMETRYでのマルチテナントシステム設計のアプローチ 〜テナント間分離の変遷〜 - ZOZO TECH BLOG
目次 目次 はじめに 我々のチームについて ZOZOMETRYについて ZOZOMETRYでのBtoB開発で取り入れたこと プールモデルによるマルチテナント管理 Cognito+DBによるユーザー情報の管理 RLSによる行単位でのデータアクセス制御 RLSの利用を見送った理由 理由1 : コネクションプールの管理 理由2 : O/RマッパーでのRLSの利用 DDDにおけるテナントのアクセス制御 MySQLを採用した理由 AWS Auroraとの互換性 PostgreSQL独自の機能の不使用 チームの経験と学習コスト 計測プロダクトとの整合性 PostgreSQLを採用したいケース Gitの運用フロー まとめ 最後に はじめに こんにちは。計測プラットフォーム開発本部バックエンドブロックの髙橋です。 先日、ZOZOMETRYという新規サービスをローンチしました。 corp.zozo.com
Cognitoと他の認証を協調させるような作り方はできるか 清水崇之氏(以下、清水):視聴者のみなさんから1つ質問がきています。「Cognitoと他の認証を協調させるような作り方はできますか」という質問について、いかがですか? 福井厚氏(以下、福井):はい。これもCognitoがフェデレーションの機能を持っています。例えばFacebookやGoogle ID、あとはSAM認証をサポートしているような他のIdPと連携させて認証することができるようになっています。そういう複合というか、組み合わせで認証させることも可能です。 清水:ありがとうございます。 中村航也氏(以下、中村):Deletion Policyの話に関係しますが、Cognitoのユーザー情報、DynamoDBに退避させておいて、いざという時に復旧できるようなアプローチがあるとしたら、そのDynamoDBはCognitoのスタック
Cognito ユーザープール + ALB の認証にソーシャルサインイン(Google)を追加してみた | DevelopersIO
ちゃだいん(@chazuke4649)です。 Amazon Cognito と Application Load Balancer を使用すると、AWSサービスだけで簡単に認証機能を実装できます。 過去に以下エントリにてこれらの構成は紹介されていました。 今回は、この構成にさらにソーシャルサインインを追加して、Cognitoユーザープールの認証でも ソーシャルサインインとしてのGoogle認証でも選べる状態を目指します。つまり、ALB + Cognito ユーザープール + ソーシャルサインイン(Google) という状態です。下図のような構成となります。 ちなみに、似ているようで違うパターンとして、「ALB + OIDC(Google)」の構成があります。詳細は以下エントリです。 こちらは、Cognito を経由せずに、直接 ALBの組み込み認証機能とOIDCとしてのGoogle認証を連
AWS AmplifyとAngular8を使ってCognitoでAWS Management Consoleにログインするページを作ってみる | DevelopersIO
先日、CognitoユーザープールのユーザーでAWSのマネジメントコンソールへフェデレーションログインする方法についてのブログを書きました。 そのブログではAWS CLIを使って、フェデレーションログイン用のURLを生成する方法を紹介していました。 今回のブログではブラウザで動かせるCognitoユーザープールのユーザーでAWSマネジメントコンソールにログインするページを作ります。 そのサイトをAWS AmplifyとAngular8で実装する例を紹介します。 ゴール 次のことができるサイトを作ることがゴールです。 ログイン、ログアウトができる ログインした際に、AWSマネジメントコンソールへフェデレーションログインができる こちらが完成メージです。 構成概要図 AWS Amplifyでざっくりこんな感じのAWS環境を作ります。 先日書いたAWS CLIを使ってCognitoのユーザーでA
その他のCognitoコンポーネント Cognitoには前述の「ユーザープール」「IDプール」の他に「Cognito Sync」というコンポーネントも存在します。 Cognito Syncは、Cognitoを使ってログインしたユーザーのプロファイルデータやアプリケーションデータを複数のデバイス間で共有することができる機能を提供します。 現在は、同じ機能を提供する AWS AppSync サービスの利用が推奨されているため、Cognito Syncについての解説は割愛します。 Cognitoの利用シナリオ Cognitoの2大コンポーネント「ユーザープール」「IDプール」の概要を説明しましたが、いまいちピンと来ないところがあるかもしれません。 特に、ユーザープールとIDプールの両方に「外部IDプロバイダー連係」の機能があるという点は、どのような違いがあるのか? どちらを使えばよいのか? とい
AmplifyでCognitoのHosted UIを利用した認証を最低限の実装で動かしてみて動作を理解する | DevelopersIO
AmplifyとCognitoを利用すると、Amplifyがうまいことやってくれるので、プログラム開発者は認証フローを意識することなく認証機能が実装できます。 その、うまいことってのが具体的に何をやっているのかを暴きます。 Amplifyを使うと、Cognitoを利用して簡単に認証機能を作れて便利です。 詳しくは弊社ブログをご覧ください。 AWS Amplify+Angular6+Cognitoでログインページを作ってみる ~バックエンド編~ | Developers.IO AWS AmplifyとAngular8を使ってCognitoでAWS Management Consoleにログインするページを作ってみる | Developers.IO また、こういったログインのほかに、CognitoにはホストされたUIを利用してユーザー認証をするという機能があります。 イメージ動画を作成したので
AWS CLIで動かして学ぶCognito IDプールを利用したAWSの一時クレデンシャルキー発行 | DevelopersIO
「Cognito IDプールってやつはAWSリソースへのアクセスを制御する認可部分を担当しているらしいけど、いったいどういう理屈でそうなってるんだ…?」 そんな自分の疑問からAWSのドキュメントを読み実際に手を動かして得られたCognito IDプールに対する理解をまとめました。 「Cognito IDプールってやつはAWSリソースへのアクセスを制御する認可部分を担当しているらしいけど、いったいどういう理屈でそうなってるんだ…?」 そんな自分の疑問からAWSのドキュメントを読み手を動かして得られたCognito IDプールに対する理解を、 AWS CLIで再現できる形にまとめてみました。 Cognito IDプールでAWSの一時クレデンシャルキーを発行することによって、Cognito IDプールの世界からIAMの世界へ落とし込めると、だいぶイメージが付きやすいんじゃないかと思います。 AW
Amplify + Cognitoでユーザ登録画面とユーザ認証までを試してみた | DevelopersIO
Amplify + Cognitoで調べるとよく目にするオレンジ色のユーザ登録画面からCognitoへユーザ登録ってどうやってるのか気になったので手を動かしてみました。 今回取り扱う内容のWorkshopはこちらです。当記事で試した範囲は環境構築からはじめても1時間もあれば終わります。 ゴールはよく見かけるユーザ登録画面の作成し、Congitoのユーザ登録・認証を試したいだけです。初歩の初歩と思われる部分です。思いの外Amplifyでの認証情報の取り扱いでハマったのでブログに残しておきます。 できたこと Amplifyの環境構築 ユーザ登録画面の作成 ユーザ登録画面からCognitoにユーザ登録・認証 AMPLIFY SNS WORKSHOP Amplify SNS Workshopへようこそ!本ワークショップではTwitterライクなソーシャルメディアアプリケーションの開発を通して、実践
これらのクレームはあくまで標準として定義されているものであり、発行元によってはこれらに加えて独自のクレームが含まれることになります。例えばCognitoでは、トークン用途を表す token_useといった独自のクレームが含まれます。 また、JWTで使用する形式には、JSON Web Signature(以下JWS)とJSON Web Encryption(以下JWE)の2種類があります。JWSはRFC7515、JWEはRFC7516でそれぞれ定義されています。簡単な特徴としては、JWSでは電子署名がされる、JWEでは暗号化されるといった点が挙げられます。これらは組み合わせることも可能であり、IDトークンではJWSによる電子署名は必須となっているため、JWSについては必ず使用されることになります。 これらの仕様により、IDトークンではクレームを参照することでユーザー情報を確認でき、また電子署
Amazon Cognito と AWS Lambda を使って OAuth 2.0 デバイスフローを実装する | Amazon Web Services
Amazon Web Services ブログ Amazon Cognito と AWS Lambda を使って OAuth 2.0 デバイスフローを実装する 本記事は Implement OAuth 2.0 device grant flow by using Amazon Cognito and AWS Lambda | AWS Security Blog を翻訳したものです。 このブログ記事では、Amazon Cognito に OAuth 2.0 デバイス認可フロー (Device Authorization Grant Flow) を AWS Lambda と Amazon DynamoDB を使って実装する方法を学べます。 インターネットに接続されているが、入力機能が制限されていたり、使いやすいブラウザがなかったりするウェラブルデバイス、スマートスピーカ、動画ストリーミングデバ
Cognitoユーザープールを使用して、Reactアプリにサインイン機能を実装します。 今回はAmplifyを使用することで、認証・認可に関する様々なフローの実装を省略します。 Cognitoで認証認可を実装する方法の整理 Cognitoを使用して認証認可をフロントエンドで実装する方法はいくつかあります。 自分はCognitoを使用するなら以下の3つが思いつきます。 AmplifyのAuthモジュールの利用して認証画面を自作 フロントエンドフレームワーク用のコンポーネントを使用する CognitoユーザープールのHostedUIを利用 上の方が低レベルのAPIが利用でき、カスタマイズなどはしやすいです。 ただ、特別なフローが不要であったり、デザインに関して細かい要求がない場合は下のものを使うのが楽だと思います。 利用できるコンポーネントとしてはReactやAngular、Vueがあります。
Aws Amplifyって何者?導入経験者がそのメリット・認証周りの特徴について触れた! | Ragate ブログ
こんちには! 前回の Aws サミットでは大々的に AWS Amplify が挙げられていました。わたしたちも非常に多くの案件で採用事例のある画期的なフレームワークです。 本記事では AWS Amplify をご紹介します。 想定する読者 AWS でのサーバーレス開発に興味のあるヒトAWS Amplify の概要を知りたいヒトAWS Amplify で新規事業開発を考えているヒト Amplify とは何者? 一言で言えば、「バックエンド構築からフロントエンド開発までカバーするオールインワンの開発フレームワーク」です。 まず、わたしたちが案件で実用してきた所感から、魅力的なところをご紹介します。 対話式のバックエンド構築を提供する CLI が便利複雑化しやすい認証の仕組みを超簡単に構築可能各種バックエンドのリソースアクセスをセキュアにする仕組みが存在ウェブ、iOS、Android ライブラリ
はじめに ほとんどのWebサービスにおいて、ユーザの認証機能は必要です。 ここでいう認証機能とは以下の機能群を指します。 サインアップ サインイン・サインアウト パスワード変更 パスワード初期化 昔のWebサービスは、これら認証機能を各サービスごとに独自に実装していました。 しかしパスワードのような秘匿情報を各サービスごとに保持することはセキュリティリスクを高めます。また認証機能を各サービスごと開発することは開発コストの増加につながります。さらにユーザーはサービスごとに使用しているアカウントを把握する必要がありますので利便性が低下します。 その結果、認証機能を外部システムに移譲したい、すでにある認証基盤を流用したい、などの要求がありました。 これらの要求に応えるように、OAuth 2.0やOpenID Connectなどのフェデレーション認証方式の確立やシングルサインオン等、認証機能に関わ
【AWS CDK】API Gateway と Cognito で Client Credentials Grant による認証を試してみた | DevelopersIO
【AWS CDK】API Gateway と Cognito で Client Credentials Grant による認証を試してみた はじめに テントの中から失礼します、CX事業本部のてんとタカハシです! API Gateway と Cognito で Client Credentials Grant による認証を行うための構成を CDK で作成して試してみました。 マネコン上で同じようなことを試す場合は、下記の記事が参考になります。 ソースコードは下記のリポジトリに置いています。 GitHub - iam326/cognito-client-credentials-by-cdk 環境 環境は下記の通りです。 $ cdk --version 1.102.0 (build a75d52f) $ yarn --version 1.22.10 $ node --version v14.7.
[アップデート]Cognitoユーザープールが発行する各種トークンの有効期限が細かく設定できるようになりました | DevelopersIO
※アクセストークン、IDトークンの最大有効期限を1時間とタイポしていたので修正しましたm(_ _)m これまではアクセストークン/IDトークン漏洩時のリスクを小さくするために有効期限を1時間未満に設定するといったことができませんでしたが、今回のアップデートにより最小5分の有効期限が設定できるようになりました。 マネコンの表示はこんな感じです。 試しにアクセストークン、IDトークンを5分に設定してみました。パパっと検証するためにALLOW_USER_PASSWORD_AUTHにチェックを入れています。 アプリクライアントが作成できたらユーザープールに適当なユーザーを登録し、AWS CLIからトークンを取得します。 $ aws cognito-idp initiate-auth --auth-flow USER_PASSWORD_AUTH --client-id <クライアントID> --au
構成図 構成は下図の通り、Amplify + Cognito + API Gateway + Lambda + DynamoDB を使用したシンプルでモダンなWebアプリとなっています。 作ってみる 詳細な手順は下記 README.md にありますのでそちらをご覧ください。 https://github.com/aws-samples/amazon-cognito-example-for-external-idp/blob/master/README.md 基本的には、以下ステップで環境一式ができてしまいます。とても簡単。 Github リポジトリを Clone する 設定ファイルを変更する CDK を実行する 触ってみる SPAのウェブページをどこでホストするかを3種類から選べます。 Localhost mode Amazon S3 mode Amazon CloudFront mode
こんにちは、CX事業本部の若槻です。 今回は、CognitoユーザープールからAWS CLIでユーザーを検索してみました。 やってみる 属性値による検索 ユーザーを属性値により検索する場合はcognito-idp list-usersコマンドでfilterオプションを使用します。 list-users | aws . cognito-idp まず、オプションなしで実行した場合はすべてのユーザーが取得されます。 % aws cognito-idp list-users --user-pool-id ap-northeast-1_AwJpGCDnr { "Users": [ { "Username": "user01", "Attributes": [ { "Name": "sub", "Value": "bca4e2a5-a3c1-4201-904b-4c29e484e326" }, { "
Cognito ユーザープールことはじめ | ゴミ人間.com
基本的な API と機能の理解 Cognito ユーザープールの低レベル API に対応する boto3 のインターフェースを直接操作し以下のようなことを実行することにより、Cognito ユーザープールにおける認証の流れや利用法を理解してみる サインアップ MFA ありのサインアップについては後ほど扱う サインイン 基本的なフローについてそれぞれ確認 オプションや連携のバリエーション: MFA/Facebook, Google ソーシャルサインイン/Login with Amazon/Sign in with Apple/SAML IdP/OIDC プロバイダー経由のサインインについては後ほど扱う ユーザー/ユーザー属性の取得・変更 パスワード変更 パスワード再設定 トークンの更新 基本的に SignUp API を叩いてアカウントを登録し、ConfirmSignUp API にてサイン
Amazon Cognito ユーザープールエンドポイントへのアクセスパターンを考える - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
こんにちは ! AWS Community Hero の山口です。みなさん、Amazon Cognito は使われていますか ? ウェブアプリケーションまたはモバイルアプリケーションを開発する際、ユーザーごとにデータへのアクセス制御や権限制御など、認証と認可が機能として求められることがあります。現在では、認証・認可が求められないケースの方が少ないと言っても過言ではないと思います。 そのような時に、Amazon Cognito ユーザープール (以降、Cognito ユーザープール) を利用することで素早く簡単にユーザーのサインアップ / サインイン (認証) を提供することや、認証された結果にもとづくアクセス制御を実装することができます。また、Cognito ユーザープールは、OpenID Connect、OAuth 2.0、SMAL2.0 などの標準化された認証・認可プロトコルをサポート
「CognitoのユーザープールとIDプールの違いは?AWSの認証と認可を分かりやすく解説」低コストなモダナイズ開発の実践 | Ragate
こんにちは! アプリケーション開発の中でも、認証と認可は複雑化しやすい部分ですよね。 弊社では、AWS での認可・認証は Congito を使用して構築するケースがほとんどです。(稀に OpenIDConnect と組み合わせて認証を実装するケースもあります) 本記事では、弊社で多くの採用事例をもつ Cognito の概念について解説します。 ユーザープールと ID プールとは? Cognito には、ユーザープールと ID プールと呼ばれる2つの大きな機能/概念があります。Cognito を触る際は、まずこれらについて深く理解しなければいけません。 まずそれぞれの役割を簡単に書くと、下記の表のようになります。
SaaS 認証: Amazon Cognito ユーザープールを使ったアイデンティティ管理 | Amazon Web Services
Amazon Web Services ブログ SaaS 認証: Amazon Cognito ユーザープールを使ったアイデンティティ管理 この記事は、SaaS authentication: Identity management with Amazon Cognito user pools を翻訳したものです。 Amazon Cognito は、数百万人のユーザーにスケールできるカスタマーアイデンティティおよびアクセス管理 (CIAM) サービスです。Cognito 開発者ガイドでは利用可能なマルチテナンシーモデルについて詳しく説明されていますが、どのモデルを使うべきかを判断するのは時に難しい場合があります。このブログ記事では、各モデルを使う際のガイダンスを提供し、お客様の意思決定に役立つよう、長所と短所を確認します。 Cognito の概要 Amazon Cognito は、Web
Replace Cognito Hosted UI
Cognito Hosted UIAmazon Cognito offers a user directory that scales to millions of users at an incredible competitive price. We’ve been using Cognito for the last couple of years and love its simplicity, robustness and pre-integration with other AWS services. Cognito comes with a built-in web UI. In combination with the Amplify SDK, this makes adding an authorization experience to any web app triv
オーソライザーにCognitoユーザープールを使用したAmazon API Gatewayにcurlで認証を突破する | DevelopersIO
Amazon API GatewayはAmazon Cognitoユーザープールとシームレスに連携出来ます。 今回は、コマンドライン操作のサンプルとして、curl だけを使い API Gateway(REST版) の Cognito 認証を突破する方法を紹介します。 前提 Cognitoユーザープールを作成し、 General settings -> App clients -> Enable username password based authentication (ALLOW_USER_PASSWORD_AUTH) をチェックしてください。 Cognito ユーザーを新規作成し、初期パスワードの変更を済ませておいてください(account status = CONFIRMED)。 curl の認証フロー 以下の流れで API Gatewayにリクエストします。 Cognitoユーザ
CognitoユーザープールでGoogleアカウントでサインインできるようにする | DevelopersIO
CognitoのユーザープールとGoogleのOAuthを連携させてソーシャルサインイン可能にします。 概要 CognitoのユーザープールのフェデレーテッドIDプロバーダーとしてGoogleを設定します。 この設定を行うことで、Googleアカウントを利用してサインインが可能になります。 今回はAWSの公式ドキュメントを参考に作業していきます。 全体の流れ 以下のような流れで設定を行います。 ユーザープールの作成 GoogleでのOAuthの設定 ユーザープールでのフェデレーテッドIdPの設定 1 ユーザープールの作成 1.1 ユーザープールの作成 はじめにユーザープールを作成します。 このユーザープール内にアカウントが作成されます。 今回は「GoogleExample」という名前で作成します。 簡略化のためデフォルト値で作成します。 最終的な設定は以下のようになります。 1.2 アプリ
Amazon CognitoのUser Groupを利用した権限管理について本気出して考えてみた。 - Qiita
パーソルプロセス&テクノロジー株式会社のAdvent Calendar 19日目の記事です。 Azureの記事が多い中ですが、堂々とAWSの記事を書いていこうと思います。 今回は何番煎じかわかりませんが、Amazon Cognitoを利用して役職や階級の概念を持つサービス内の権限管理を行います。 順を追って構築していくので、記事を読み終わった際に 権限管理が可能な環境が構築できる状態 になっていただければ幸いです。 あくまで『権限管理を行う』が目的です。個々の解説は適当なので、公式のドキュメントを合わせて読んでみてください。 不明点あれば質問いただければ返答します(正しい答えが返ってくるとは言っていない。) 最初に Cognitoは、認証認可、またユーザーの管理なども兼ね備えたフルマネージドなサービスです。 GoogleやFaceBookを利用したソーシャルログインも実現することもできます
Cognitoユーザープールの認証にソーシャルサインイン(Google)を追加したうえでGoogleのアクセストークンを取得してみる | DevelopersIO
Cognitoユーザープールの認証にソーシャルサインイン(Google)を追加したうえでGoogleのアクセストークンを取得してみる Cognitoユーザープールでソーシャルサインイン(Google)を追加した際に属性マッピング設定をよく見てみると、 access_tokenの値があったりして、アクセストークンを取得できることに初めて気がついたので試してみました。 Cognitoを利用すると認証機能を簡単に実装できます。Googleアカウントでログインするなんてことも簡単に実現できます。 Cognitoユーザープールでソーシャルサインイン(Google)を追加する方法は、こちらの弊社ブログで設定方法を紹介しています。 Cognito ユーザープール + ALB の認証にソーシャルサインイン(Google)を追加してみた | Developers.IO 外部IDプロバイダー(Google等)
Amazon Cognito Identity Poolの外部プロバイダとしてFirebase Authenticationを使う - Sweet Escape
はじめに AWSには認証・認可のサービスとしてAmazon Cognitoというものが存在します。ややこしいのですが、認証のためのコンポーネントがAmazon Cognito user pools(以下、user pool)で認可のためのコンポーネントがAmazon Cognito identity pools (以下、identity pool)です。ちなみにidentity poolのほうはfederated identityと表記されている場合もあります。 そのうち、今回はidentity poolの話です。 identity poolは認証機構は持たず、大雑把にいうと任意のログインプロバイダで認証されたユーザに対してIAMロールが設定されたidを紐付けた上でテンポラリのAWSクレデンシャルを提供するといったサービスです。 この任意のログインプロバイダとしてFacebook、Twit
CognitoのユーザーでAWS Management Consoleにログインしてみる | DevelopersIO
CognitoユーザープールのユーザーでAWSのマネジメントコンソールへログインする方法を紹介いたします。 先日、Cognito IDプールからAWSの一時クレデンシャルキーを発行する方法について解説したブログを書きました。 そのブログの応用編です。 今回のブログでは、CognitoユーザープールのユーザーでAWSのマネジメントコンソールへログインする方法を紹介いたします。 先日、Cognito IDプールからAWSの一時クレデンシャルキーを発行する方法について解説したブログを書きました。 このブログの応用編です。 この方法を用いることで、Cognitoユーザープールのログイン情報(IDトークン)から、AWSの一時クレデンシャルキーが発行できました。 ということは、IAMで一時クレデンシャルキーを発行すればできることが、Cognitoユーザープールでも条件がそろえばだいたいできるわけです。
[AWS CDK] Cognito + API Gateway で M2M 認証をやってみた | DevelopersIO
Cognito + API Gateway による M2M 認証機構を AWS CDK を用いて作成して、実際に認証・認可が行えるか試してみました! こんにちは!LINE 事業部のたにもんです! Cognito + API Gateway による M2M 認証機構を AWS CDK を用いて作成して、実際に認証・認可が行えるか試してみました。 なお、この記事における M2M 認証は OAuth 2.0 の Client Credentials Grant を意味しています。 今回開発したソースコードはこちらのリポジトリで公開しているので、プロジェクト全体のソースコードを確認したい方はご参考にしてください。 構成図 環境 $ node --version v16.14.0 $ npm --version 8.3.1 $ aws --version aws-cli/2.4.29 Python/
プロトコルから見るID連携 以下、断りのない限り、ユースケースとして最も多い「一般的なWebブラウザーを用いてシングルサインオンを行うシナリオ」について述べます。 (WebブラウザーではないUserAgent向けのECP(Enhanced Client and Proxy)なども仕様にありますが本記事では省略) SAMLの登場人物 IdP(Identity Provider) 認証情報を管理する人。要求に応じて認証情報を渡す ActiveDirectory(ADFS)など OneLogin, Okta, AzureADなどクラウドサービスもあり、IDaaSと呼ばれる SP(Service Provider) IdPから認証情報を受け取って使う人 認証したいSaaSアプリケーションはこっち ユーザ(ブラウザ) シングルサインオンでアプリケーションを使いたい人 SAML認証方式の種類 一般的な
【Amazon Cognito】ユーザープールのアドバンスドセキュリティ機能(ASF:Advanced Security Feature)について - サーバーワークスエンジニアブログ
Cognitoのアドバンスドセキュリティ機能(ASF:Advanced Security Feature)とは Cognitoの「アドバンスドセキュリティ機能」はユーザープールのオプションの一つで 対象のCognitoユーザープールに ・侵害された資格情報(ユーザー名とパスワードのペア)の保護 ・リスクベースの適応認証 のセキュリティ機能を追加できるオプションになります。 下記のようにCognitoのユーザープールの「全般設定」に「アドバンスドセキュリティ」の項目があります。 「侵害された資格情報の保護」の機能 「侵害された資格情報の保護」機能は、他のWebサイトなどで漏洩した資格情報(ユーザー名とパスワードのペア)を再利用できないようにすることで、ユーザーのアカウントを保護する機能です。 複数のWebサイトやスマホアプリ等で、同じユーザー名とパスワードのペアを使っていると、ある一つのサイ
Cognito + API Gateway + Lambda で実行権限を動的に制御したい - サーバーワークスエンジニアブログ
はじめに 真面目な導入 元ネタ 状況設定 やりたいこと DynamoDB のテーブルを用意する Cognito User Pool を作る ユーザープールを作成する ユーザー作成 アプリクライアント作成 グループを作る Lambda 関数と API Gateway と Cognito Authorizer を作る serverless.yml Lambda あと必要なもの 何はともあれデプロイ どういうこと? もう少し具体的に 寄り道 リクエストしてみる さいごに はじめに こんにちは。アプリケーションサービス部の保田(ほだ)です。 最近さつまいもが滅茶苦茶美味しいということを再認識しました。 1センチぐらいの厚さに切ったのを茹でてオプションで塩をちょっとかけるだけで美味です。 という訳で今日は Lambda のポリシーを動的に制御する方法を考えます。 真面目な導入 例えば API Gat
[AWS CDK] Amazon CognitoでHosted UIを実装する際にハマったこと | DevelopersIO
こんにちは、CX 事業本部 Delivery 部の若槻です。 Amazon Cognito では Hosted UI を利用することにより、アプリケーションのユーザーサインインやサインアップに使用する認証画面を自前で実装せずに Cognito がホスティングする画面を使用することができます。 今回は、Amazon Cognito Hosted UI をAWS CDKで実装する際にハマったことを共有します。 ハマったこと URLにアクセスできない Cognito のリソースを構成する以下のような AWS CDK のコードを作成しました。 import { aws_cognito, Stack } from 'aws-cdk-lib'; import { Construct } from 'constructs'; export class SampleStack extends Stack
![[AWS CDK] Amazon CognitoでHosted UIを実装する際にハマったこと | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/1266b791dde89e9a2fe6b96d4465cc436093ba50/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Famazon-cognito.png)
Amazon Cognito Hosted UIで、署名付きURLを使用し認証ユーザーごとにプレフィックス分けてS3バケットにアップロードする | DevelopersIO
Amazon Cognito Hosted UIで、署名付きURLを使用し認証ユーザーごとにプレフィックス分けてS3バケットにアップロードする はじめに 本記事では、Amazon Cognito Hosted UIを利用して、単一のS3バケットに対して署名付きURLを用いて、認証済みユーザーごとにプレフィックスを分けたアップロード方法を解説します。 この手法により、各ユーザーのファイルを効率的かつセキュアに管理することが可能になります。 以前、クライアントからEC2インスタンス経由でS3バケットにファイルをアップロードする方法を紹介しました。しかし、この方式では、大容量ファイルのアップロード時にEC2インスタンスに過度な負荷がかかるという課題がありました。 今回は、署名付きURLでクライアントから直接S3にファイルをアップロードする方式で試してみます。 S3の署名付きURLは、S3バケット
AWS 公式オンラインセミナー: https://amzn.to/JPWebinar 過去資料: https://amzn.to/JPArchive
事業本部Delivery部のアベシです。 こちらの記事では、API GatewayにCognitoのオーソライザーによる認証認可機能を導入する方法について紹介します。 構築にはCDKを使用しました。 Cognito ユーザープールをAPI Gatewayのオーソライザーとする場合の認証の仕組み ① クライアントがCognitoユーザープールにユーザー名とパスワードを渡して認証のリクエストする。 ② 認証されたらCognitoユーザープールがIDトークンをクライアントに返す。 ③ クライアントがAPIを叩く。その際にIDトークンをヘッダーに乗せてAPI Gatewayに渡す。 ④ API GatewayのオーソライザーのCognitoがトークンを検証する ⑤ 検証が成功したらAPIの利用を許可する(認可の部分) ⑥ 後続のLambda関数が実行される 実行環境 以下の環境で構築と動作確認して
「AWSサーバーレスで認証認可を最短・最速で実装!サーバーレスエキスパートが、CognitoによるAWSの認可実装を解説します😎」低コストなモダナイズ開発の実践 | Ragate
生徒手帳はその学校の生徒であることを証明し、生徒手帳の情報(学年や専攻科目)で入室可能な部屋を指定しています。この概念は学校に限らず、社会の様々なシーンで使われていますね。 認証認可の概念を理解できたら、次はいよいよ Cognito による認証認可の実装方法を解説します。 Cognitoによる認証認可構築方法を解説 CognitoUserPoolとIdentityPoolによる認証認可の全体像 Congitoでは、認証を CognitoUserPool、認可を CognitoIdentityPool で行います。それぞれ、認証・認可が成功すると、文字列のトークンをレスポンスしてくれます。このトークンを各種 AWS サービスを呼び出す際のリクエストに付与することで、認証・認証な AWS サービス利用が実現します。 では、実際に手を動かして構築してみましょう。 CloudFormation (
Cognito でユーザープールベースのマルチテナンシーを選択した際に、API Gateway で複数ユーザープールを許可する Cognito ユーザープールオーソライザーを SAM で作成してみた | DevelopersIO
Cognito でユーザープールベースのマルチテナンシーを選択した際に、API Gateway で複数ユーザープールを許可する Cognito ユーザープールオーソライザーを SAM で作成してみた いわさです。 Cognito を認証サービスとして使用するアプリケーションでマルチテナントを実現しようとする場合、次のようにいくつかの選択肢があります。 マルチテナントの認証・認可要件によってどれを選択するべきか変わってくるのですが、ユーザープール単位で共通設定されるオプションがテナントごとに差異が出る場合はユーザープールベースのマルチテナンシーを選択する形になります。 例えば、テナント A と テナント B で MFA の有無やパスワードポリシーが異なる場合などです。 ただし上記ドキュメントのユーザープールベースのシナリオのうち、以下について気になりました。 アプリケーションに、各テナントが
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Cognitoと他の認証は協調できる?」「環境を分けた場合の振り分けは?」 AWSソリューションアーキテクトが回答する認証・認可のQ&A
AWS再入門ブログリレー Amazon Cognito編 | DevelopersIO
Amazon CognitoのIDトークンを利用したREST APIの認証例 | Fintan
ReactにCognitoでサインイン機能をつける | DevelopersIO
Amazon Cognito User Pool を用いたWebサービスにおけるユーザー管理・運用の事例 | Fintan
Cognito と外部IdP連携などの認証まわりを試すのに良いサンプルのご紹介 | DevelopersIO
CognitoユーザープールからAWS CLIでユーザーを検索してみる | DevelopersIO
SAML2.0シングルサインオンの流れと設定項目の意味をちゃんと理解する - Qiita
【AWS Black Belt Online Seminar】Amazon Cognito
API GatewayのオーソライザーにCognitoを使用してみた | DevelopersIO
x.com
plentyofquality.net
akiranngo.hateblo.jp
gigazine.net
www.yu-hikai.net
purasu3216.hatenablog.com