30. □□□ API
+ 認証機能
サードパーティ
Webサイト
a f t g
サードパーティとの
認証連携
ID/Passwodでの認証・
トークン発行
② モバイルアプリやシングルページアプリケーショ
ン
サードパーティとの認証連携
→
代理アクセスできる
トークン発行
サードパーティ
Webサイト
OAuth
AWSのマネージドサービス
トークンで
APIにアクセス AWSリソースに
直接アクセス
バックエンド
システムアプリの認証情報で
アクセス
API
バックエンド
トークン ベースでの認証
API
API
トークン
○○○ API
ユーザレポジトリ
モバイル
アプリ
シングル
ページ
アプリケーション
トークン
サードパーティ
Webサイト
a f t g
SAML
Amazon, Facebook, Google, SAML との
認証連携をサービスで実現
• Amazon Cognito
Cognitoサードパーティとの
認証連携
ユーザ認証に使用できるCognito User Pool
で認証連携も行える。
※Cognito User PoolはOpenID Connect、Twitterには現時点で未対応。
Cognito Federated IdentitiesはOpenID Connect、Twitterに対応しており、
AWS認証情報を得られる。
31. SAML
□□□ API
+ 認証機能
サードパーティ
Webサイト
a f t g
サードパーティとの
認証連携
ID/Passwodでの認証・
トークン発行
② モバイルアプリやシングルページアプリケーショ
ン
代理アクセスできる
トークン発行
サードパーティ
Webサイト
OAuth
AWSのマネージドサービス
トークンで
APIにアクセス AWSリソースに
直接アクセス
バックエンド
システムアプリの認証情報で
アクセス
API
バックエンド
トークン ベースでの認証
API
API
トークン
○○○ API
ユーザレポジトリ
モバイル
アプリ
シングル
ページ
アプリケーション
トークン
API
AWSのマネージドサービス
AWSリソースに
直接アクセス
ID/Passwodでの認証・
トークン発行
ID/Passwodでの認証・トークン発行
ブラウザからAWSリソースへのアクセス
Cognitoで対応できない方法で実現したい場合
→
以下のような場合、独自で認証を実現する
事が考えられる。
• クライアント証明書認証
• 独自のMFA
• 独自ポリシーのパスワード認証
独自に認証してAWSの認証情報を発行
• AWS Security Token Service (STS)
32. □□□ API
+ 認証機能
サードパーティ
Webサイト
a f t g
サードパーティとの
認証連携
ID/Passwodでの認証・
トークン発行
② モバイルアプリやシングルページアプリケーショ
ン
トークンベースの認証
→
代理アクセスできる
トークン発行
サードパーティ
Webサイト
OAuth
AWSのマネージドサービス
トークンで
APIにアクセス AWSリソースに
直接アクセス
バックエンド
システムアプリの認証情報で
アクセス
API
バックエンド
トークン ベースでの認証
API
API
トークン
○○○ API
ユーザレポジトリ
モバイル
アプリ
シングル
ページ
アプリケーション
標準でAWSの認証情報に対応しており、認
証・認可をパスしたアクセスのみEC2や
Lambdaなどに送ることができる。
Custom Authorizerで独自のトークンにも
対応できる。
トークン ベースでの認証
API
API
AWSの認証情報を使った認証・認可を
サービスで実現
• Amazon API Gateway
33. サードパーティ
Webサイト
a f t g
SAML
サードパーティとの
認証連携
□□□ API
+ 認証機能
サードパーティ
Webサイト
a f t g
サードパーティとの
認証連携
ID/Passwodでの認証・
トークン発行
② モバイルアプリやシングルページアプリケーショ
ン
代理アクセス
→
代理アクセスできる
トークン発行
サードパーティ
Webサイト
OAuth
AWSのマネージドサービス
トークンで
APIにアクセス AWSリソースに
直接アクセス
バックエンド
システムアプリの認証情報で
アクセス
API
バックエンド
トークン ベースでの認証
API
API
トークン
○○○ API
ユーザレポジトリ
モバイル
アプリ
シングル
ページ
アプリケーション
ユーザ認証に使用できるCognito User Pool
で代理アクセスを実現できるOAuthプロコ
ルに対応して、トークンをサードパーティ
Webサイトに提供も行える。
サードパーティ
Webサイト
OAuth
トークンで
APIにアクセス
API
代理アクセスできる
トークン発行
OAuth を使った代理アクセス機能を実現
• Amazon Cognito
Cognito