Amazon Cognito がインバウンドフェデレーション Lambda トリガーを導入
Amazon Cognito により、認証プロセス中にフェデレーションユーザーの属性を変換およびカスタマイズできるインバウンドフェデレーション Lambda トリガーが導入されます。外部の SAML プロバイダーや OIDC プロバイダーからの応答を、ユーザープールに保存する前に変更できるようになりました。これにより、ID プロバイダーの設定を変更しなくても、フェデレーションフローを完全にプログラムで制御できます。
インバウンドフェデレーション Lambda トリガーは、フェデレーション認証ワークフローにおける現在の制限に対処するためのものです。特に、属性サイズの制限によって生じる問題や、外部の ID プロバイダーから属性ストレージを選択する必要性に対処します。例えば、外部の SAML または OIDC ID プロバイダーからの大規模なグループ属性が、属性あたり 2,048 文字という Cognito の制限を超えると、認証フローがブロックされる可能性があります。この機能により、属性値を追加、オーバーライド、または抑制できます。例えば、Cognito で新しいフェデレーションユーザーを作成したり既存のフェデレーションユーザープロファイルを更新したりする前に、大きいグループ属性を変更できます。
新しいインバウンドフェデレーション Lambda トリガーは、Amazon Cognito が利用可能なすべての AWS リージョンで、ホストされた UI (クラシック) とマネージドログインを通して使用できます。使用を開始するには、AWS マネジメントコンソール、AWS コマンドラインインターフェイス (CLI)、AWS Software Development Kit (SDK)、Cloud Development Kit (CDK)、または AWS CloudFormation を使用してトリガーを設定するために、ユーザープール LambdaConfig に新しいパラメータを追加します。詳細については、Amazon Cognito デベロッパーガイドの実装例とベストプラクティスを参照してください。