Amazon Cognito のユーザープールで記憶済みデバイスを使用するにはどうすればよいですか?

最終更新日: 2021 年 8 月 17 日

Amazon Cognito は、ユーザープールのユーザーがサインインに使用するデバイスを追跡および記憶できます。デバイスの記憶を有効にすることで、サインインの制限を設定できます (たとえば、ある 1 つのデバイスからのサインインを制限する)。または、同じデバイスからのサインインの繰り返しをスキップできます。詳細については、ユーザープールデバイス追跡設定の指定をご参照ください。

注: 記憶済みデバイスの機能は、USER_SRP_AUTH 認証フローによってのみ機能します。この機能ではまた、ユーザープールの多要素認証 (MFA) を有効にする必要があります。

デバイスの記憶には 2 つのパートのプロセスがあります。

• 新しいデバイスの確認。デバイスから認証を開始し、Amazon Cognito で確認して、一意のデバイス識別子を取得します。
• 確認済みデバイスの検証。確認済みデバイスから認証を開始し、それ以降のサインイン試行では MFA ステップをスキップします。

注: 次の手順では、通常、アプリクライアントのコードで実行する Amazon Cognito API コールについて説明します。Android または iOS 向け AWS Mobile SDK などのクライアントサイド SDK を使用している場合は、実装の多くは SDK によって処理されます。

1. Amazon Cognito コンソールで、[Manage user pools] (ユーザープールの管理) を選択し、次にユーザープールを選択します。
2. 左のナビゲーションペインの [全般設定] で、[デバイス] を選択します。
3. [Do you want to remember your user's devices] (ユーザーのデバイスを記憶しますか?) で、[Always] (常に) または [User Opt In] を選択します。詳細については、Amazon Cognito Your User Pools を使用したデバイスの追跡と記憶をご参照ください。
4. [Do you want to use a remembered device to suppress the second factor during multi-factor authentication (MFA)] (記憶済みのデバイスを使用して、多要素認証 (MFA) 中に 2 つ目の要素を抑制しますか?) で、[Yes] (はい) または [No] (いいえ) を選択します。詳細については、記憶済みデバイスを使用した Multi-Factor Authentication (MFA) の停止をご参照ください。
   注: これらのオプションが表示されない場合は、MFA は有効になっていません。MFA をセットアップするには、左のナビゲーションペインで、[MFA and verifications] (MFA そして確認) を選択します。
5. [Save changes] (変更を保存) を選択します。

詳細については、ユーザープールデバイス追跡設定の指定をご参照ください。

アプリクライアントのコードで、SetUserMFAPreference API を呼び出して、使用している MFA メソッドの MFA 設定を [true] に設定します。

アプリクライアントのコードで、InitiateAuth API を呼び出してデバイスキーを取得します。この API リクエストには、必ず次のリクエストパラメータを含めてください。

• AuthFlow。USER_SRP_AUTH を使用します。
• AuthParameters。認証パラメータには、USERNAME、SRP_A、SECRET_HASH を含めます。
  注意: SECRET_HASH は、アプリクライアントがクライアントシークレットを使用して設定されている場合のみ必要です。

次の式を使用して SRP_A を計算します。

SRP_A = g^a (mod N)

• AWS Amplify (JavaScript) GitHub リポジトリの AuthenticationHelper.js で定義されているとおりに g を使用します。
• a = 128 ランダムバイトとします。

詳細については、リクエスト構文および選択した AWS SDK の API リファレンスを参照してください。

アプリクライアントが InitiateAuth API を呼び出すと、Amazon Cognito ユーザープールによって、有効な MFA メソッドに基づく MFA チャレンジのセットが返されます。

アプリは、RespondToAuthChallenge API を使用するこれらのチャレンジに応答する必要があります。例えば、ユーザープールで SMS テキストメッセージの MFA を有効にした場合は、パラメータ ChallengeName に SMS_MFA の値を含めます。詳細については、リクエスト構文および選択した AWS SDK の API リファレンスを参照してください。

すべての MFA チャレンジに応答すると、Amazon Cognito は NewDeviceMetadataType フィールドの DeviceGroupKey および一意の DeviceKey で応答します。

Android、iOS、JavaScript のいずれか向けの AWS Mobile SDK をブラウザで使用している場合は、これらのキーはアプリケーションによってデバイスのローカルストレージに自動的に移動されます。他の AWS SDK を使用している場合は、同様のキーストレージソリューションをアプリに設計するようにしてください。

DeviceGroupKey および DeviceKey を使用して、Secure Remote Password (SRP) プロトコルでシークレットを作成します。SRP では、ソルトとパスワードの検証が生成されます。以下の リクエストパラメータを含む ConfirmDevice API 呼び出しで、これらを Amazon Cognito に渡します。

• AccessToken。ユーザーの有効なアクセストークンを使用します。
• DeviceKey。Amazon Cognito から返されたデバイスの一意のキーを使用します。
• DeviceName。デバイスに付ける名前を使用します。(AWS Mobile SDK はユーザーエージェントを使用します。)
• DeviceSecretVerifierConfig。Salt (16 ランダムバイト、base64 エンコード) および PasswordVerifier を含めます。

PasswordVerifier には、次の式を使用します。

PasswordVerifier = g^{(salt + FULL_PASSWORD)} (mod N)

• AWS Amplify (JavaScript) GitHub リポジトリの AuthenticationHelper.js で定義されているとおりに g を使用します。
• FULL_PASSWORD = SHA256_HASH(DeviceGroupKey + username + ":" + RANDOM_PASSWORD) とします。
• RANDOM_PASSWORD = 40 random bytes, base64-encoded とします。
• AWS Amplify (JavaScript) GitHub リポジトリの AuthenticationHelper.js で定義されているように N を使用します。

詳細については、リクエスト構文および選択した AWS SDK の API リファレンスを参照してください。

ユーザープールに記憶されたデバイスをセットアップするときに、[Always] (常に) を選択すると、この手順を省略できます。[User Opt In] を選択した場合は、UpdateDeviceStatus API 呼び出しを含める必要があります。

注: Amazon Cognito Identity SDK for JavaScript を使用している場合は、代わりに setDeviceStatusRemembered または setDeviceStatusNotRemembered を呼び出す必要があります。詳細については、GitHub の SDK の README ファイルの Usage を参照してください。

アプリのユーザーにデバイスを記憶するオプションを付与する場合は、デバイスによってユーザープールで「記憶されていない」ものとして追跡されることを確認します。 デバイスを記憶させるかをユーザーに確認し、次に UpdateDeviceStatus API を使用して入力を送信する必要があります。

注: オプトインが必要な場合は、ユーザーはオプトインしてからデバイスを記憶し、MFA チャレンジを抑制する必要があります。

アプリクライアントのコードで、InitiateAuth API を呼び出して、記憶済みデバイスを検証します。この呼び出しでは、次のようにリクエストパラメータにデバイスキーを含めます。

• AuthFlow。USER_SRP_AUTH を使用します。
• AuthParameters。認証パラメータ USERNAME、SRP_A、DEVICE_KEY を含めます。

詳細については、リクエスト構文および選択した AWS SDK の API リファレンスを参照してください。

アプリクライアントが有効なデバイスキーを使用して InitiateAuth API コールを実行すると、Amazon Cognito のユーザープールは PASSWORD_VERIFIER チャレンジを返します。チャレンジ応答に DEVICE_KEY を含める必要があります。その後、DEVICE_SRP_AUTH チャレンジを受け取ります。応答するには、RespondToAuthChallenge API を呼び出し、次のリクエストパラメータを含めます。

• ChallengeName。DEVICE_SRP_AUTH を使用します。
• ClientId。有効なアプリクライアント ID を使用します。
• ChallengeResponses。これらの応答には USERNAME、DEVICE_KEY、SRP_A を含めます。
  注意: SRP_A の場合は、前述した式をこれらの手順で使用します。

この API を呼び出すと、Amazon Cognito はもう 1 つのチャレンジ DEVICE_PASSWORD_VERIFIER で応答します。この応答では、チャレンジへの応答に必要な ChallengeParameters の SECRET_BLOCK および SRP_B の値も取得します。

詳細については、リクエスト構文および選択した AWS SDK の API リファレンスを参照してください。

DEVICE_PASSWORD_VERIFIER チャレンジに応答するには、RespondToAuthChallenge API を呼び出し、次のリクエストパラメータを含めます。

• ChallengeName。DEVICE_PASSWORD_VERIFIERを使用します。
• ClientId。有効なアプリクライアント ID を使用します。
• ChallengeResponses。USERNAME、PASSWORD_CLAIM_SECRET_BLOCK、TIMESTAMP、PASSWORD_CLAIM_SIGNATURE、DEVICE_KEY を含めます。

チャレンジへの応答を次のように定義します。

• PASSWORD_CLAIM_SECRET_BLOCK では、SECRET_BLOCK の値を使用します。
• TIMESTAMP には、現在の時刻を含めます。(例: Tue Sep 25 00:09:40 UTC 2018)
• PASSWORD_CLAIM_SIGNATURE =SHA256_HMAC(K_USER, DeviceGroupKey+DeviceKey+PASSWORD_CLAIM_SECRET_BLOCK+TIMESTAMP), base64-encoded とします。
• K_USER = SHA256_HASH(S_USER) とします。
• S_USER = (SRP_B - k * g^x)^{(a + ux)} とします。
• x = SHA256_HASH(salt + FULL_PASSWORD) とします。
• u =SHA256_HASH(SRP_A+SRP_B) とします、
• k = SHA256_HASH(N + g) とします。

最後のチャレンジに正常に応答すると、Amazon Cognito ユーザープールにより AuthenticationResult で JSON ウェブトークンが返されます。