Amazon Cognito が OAuth 2.0 リソースの保護を簡単に強化できるようリソースインジケーターのサポートを開始
Amazon Cognito では、アプリケーションクライアントが OAuth 2.0 認可コードグラントフローと暗黙的なグラントフローの一部として、アクセストークンリクエスト中にリソースインジケーターを指定できるようになりました。リソースインジケーターは、ユーザーの銀行口座記録や、ユーザーがアクセスする必要のあるファイルサーバー内の特定のファイルなど、保護されているリソースを識別します。クライアントを認証した後、Cognito はその特定のリソース用のアクセストークンを発行します。これにより、アクセストークンのアクセス範囲をサービス全体への広いアクセスから、個々の特定リソースへの限定されたアクセスまで絞り込むことができます。
この機能により、ユーザーがアクセスする必要のあるリソースを簡単に保護できます。例えば、ユーザーに代わってエージェント (アプリケーションクライアントの例) が、ユーザーの銀行記録など、特定の保護対象リソースに対するアクセストークンをリクエストできます。検証が完了すると、Cognito はその特定のリソースを対象とするようにオーディエンスクレームが設定されたアクセストークンを発行します。以前は、クライアントは Cognito にリソース固有のアクセストークンを推測して発行させるために、非標準のクレームやスコープを使う必要がありました。これからは、お客様は標準ベースのリソースパラメータを使用して、簡単かつ一貫した方法でターゲットリソースを指定できます。
この機能は、AWS GovCloud (米国) リージョンを含む Cognito が利用可能な AWS リージョンで Essentials ティアまたは Plus ティアを使用する Amazon Cognito マネージドログインのお客様にご利用いただけます。詳細については、デベロッパーガイドと料金詳細ページで Cognito Essentials ティアおよび Plus ティアについてご確認ください。