[AWS CDK] Cognito の OIDC プロバイダに Auth0 を設定

[AWS CDK] Cognito の OIDC プロバイダに Auth0 を設定

2022-07-0310 min read

目次

  1. 概要
  2. auth0
  3. cognito手動セットアップ
  4. aws-cdk-で構築する
  5. 参考にしたサイト

概要

Auth0 を Amazon Cognito ユーザプールのOIDCプロバイダとして設定しAWS CDKで構築した際のメモです。

Auth0

Auth0 アプリケーション作成

まずは、Auth0 Get Started に従い、Auth0のアプリケーションを作成します。

作成後、

  • Domain
  • Client ID
  • Client Secret

が払い出されるので、控えておきます。

Auth0 ユーザ追加

Auth0の検証で利用するユーザを追加します。

User Management > Users からユーザを追加します。

Auth0 Allowed Callback URLs の追加

Cognitoのユーザプール作成後(後述)、Allowed Callback URLs に対して Cognito のコールバックURLを追加します。

https://${cognito-domain}.auth.${region}.amazoncognito.com/oauth2/idpresponse

Cognito手動セットアップ

CDKで実現したい部分をまずは手動でやってみます。

事前準備としてデフォルトの設定でcognitoを構築しておきます。

IDPの設定

まず、Amazon Cognito コンソールを開き、"ユーザープールの管理" を選択します。 その次にユーザープールを選択し、ナビゲーションペインで "ID プロバイダー" を選択します。 そして、"OpenID Connect" を選択し次の項目を入力します。

  1. プロバイダー名: 任意の名前
  2. クライアント ID: Auth0で作成したアプリケーションのClientID
  3. クライアントのシークレット: Auth0で作成したアプリケーションの Client Secret
  4. 属性のリクエストメソッド: GET
  5. セットアップ方法: 発行者 URL を通じた自動入力
  6. 発行者 URL(Issuer): Auth0で作成したアプリケーションのドメインを入力 (例: https://****.auth0.com
  7. 属性をマッピング: email = email

アプリケーションクライアントの作成

Amazon Cognito コンソールのユーザプールのタブからアプリケーションの統合を選択し、 アプリケーションクライアントを作成します。

パラメータは次の項目を入力します。

アプリケーションクライアント

  • アプリケーションタイプ: パブリッククライアント
  • アプリケーションクライアント名: auth0-test
  • 認証フロー: ALLOW_CUSTOM_AUTH, ALLOW_USER_SRP_AUTH

※その他はデフォルトの値

ホストされた UI 設定

  • 許可されているコールバックURL: 適当な値 (この時点ではhttp://localhost:8080とかで良い)
  • IDプロバイダー: 前述したAuth0用IDP
  • OpenID 接続スコープ: email,openid,他任意
  • OAuth 2.0 権限タイプ: 認証コード付与, 暗黙的な付与

※その他はデフォルトの値

ホストされたUIで検証

ホストされたUIから動作の検証を行うことができます。

アプリケーションの統合から作成したアプリケーションクライアントを選択します。

ホストされたUIのリンクを押下して Hosted UIページに遷移し、アプリケーションクライアント(Auth0)を選択します。

Auth0の検証のために追加したユーザ情報でログインして動作を確認します。

AWS CDK で構築する

ここで本題である AWS CDK を利用してAuth0 + Cognitoの構成を作成していきます。

CDKプロジェクト初期化

まずはプロジェクトを初期化します。

mkdir cdk-cognito-sample
cd cdk-cognito-sample
cdk init app --language=typescript

Auth0アプリケーション作成

手動で作成した時と同様に、アプリケーションを作成します。

スタック更新

スタックを以下のように変更します。

import { Stack, StackProps, aws_cognito as cognito } from "aws-cdk-lib";
import { Construct } from "constructs";
import * as cdk from "aws-cdk-lib";

const getAuth0Idp = (app: Stack, userPool: cognito.UserPool) => {
  return new cognito.CfnUserPoolIdentityProvider(
    app,
    "UserPoolIdentityProvider",
    {
      providerName: "auth0-test",
      providerType: "OIDC",
      userPoolId: userPool.userPoolId,
      providerDetails: {
        client_id: "*********", //auth0:client_id
        client_secret: "*********", //auth0client_secret
        attributes_request_method: "GET",
        oidc_issuer: "https://*********.auth0.com", // auth0:domain
        authorize_scopes: "email profile openid",
      },
      attributeMapping: {
        email: "email"
      }
    }
  );
}

export class CdkCognitoSampleStack extends Stack {
  constructor(scope: Construct, id: string, props?: StackProps) {
    super(scope, id, props);

    // 👇 User Pool
    const userPool = new cognito.UserPool(this, "UserPool", {
      userPoolName: "auth0-test-user-pool",
      selfSignUpEnabled: true,
      signInAliases: {
        email: true,
      },
      autoVerify: {
        email: true,
      },
      passwordPolicy: {
        minLength: 6,
        requireLowercase: true,
        requireDigits: true,
        requireUppercase: false,
        requireSymbols: false,
      },
      accountRecovery: cognito.AccountRecovery.EMAIL_ONLY,
      removalPolicy: cdk.RemovalPolicy.RETAIN,
    });

    const userPoolProvider = getAuth0Idp(this, userPool)

    userPool.addDomain("domain", {
      cognitoDomain: { 
        domainPrefix: 'auth0-test-202207'
      },
    })

    const userPoolClient = userPool.addClient("client", {
      userPoolClientName: "Auth0UserPoolClient",
      generateSecret: false,
      oAuth: {
        callbackUrls: ["http://localhost:8080/auth/callback"],
        logoutUrls: ["http://localhost:8080/auth/logout"],
        flows: {
          authorizationCodeGrant: true,
          implicitCodeGrant: true, //warn:
        },
        scopes: [
          cognito.OAuthScope.EMAIL,
          cognito.OAuthScope.OPENID,
          cognito.OAuthScope.PROFILE,
        ],
      },
      authFlows: {
        userSrp: true,
        custom: true,
      },
      supportedIdentityProviders: [
        cognito.UserPoolClientIdentityProvider.custom(
          userPoolProvider.providerName
        ),
      ],
    });

    // memo:
    // "The provider * does not exist for User Pool *" 対策
    // @see https://github.com/aws/aws-cdk/issues/15692
    userPoolClient.node.addDependency(userPoolProvider);
  }
}

Auth0 Allowed Callback URLs

ドメインが払い出されるので、Auth0のAllowed Callback URLsに追加します。

これで手動作成のケースと同様な環境を作成することができます。

参考にしたサイト

Recommends
[AWS CDK] Cognito の OIDC プロバイダに Auth0 を設定
2022-07-03
auth0
amazon%20aws
aws%20cdk
[AWS CDK]ECS FargateでNestJSで作成したRESTfull APIデ...
2022-05-24
nestjs
amazon%20aws
aws%20cdk
[AWS CDK]S3 CloudFront OAI Route53 構成 で NextJ...
2022-05-23
amazon%20aws
aws%20cdk
typescript
[AWS CDK] Lambda で S3 オブジェクトを読み書きするStackの構築
2022-03-18
aws%20cdk
amazon%20aws
typescript
[AWS CDK] S3 + CloudFrontの構築とOriginAccessIden...
2022-03-09
amazon%20aws
aws%20cdk
typescript
[AWS CDK] Bastion(踏み台)構築。SSMとEC2InstanceConne...
2022-03-06
amazon%20aws
aws%20cdk
node.js
[AWS CDK] Cognito を構築
2022-03-04
amazon%20aws
aws%20cdk
node.js
AWS CDK v2 でVPC上にAPI Gateway + Lambda + RDS +...
2022-02-28
amazon%20aws
aws%20cdk
node.js
AWS CDK v2 で Lambda関数のデプロイ
2022-02-23
typescript
amazon%20aws
aws%20cdk
[CDK]SNS+SQS+DynamoDBでBounceとComplaint情報を収集する...
2022-04-11
amazon%20aws
node.js
typescript
GatsbyからNext.jsへのサイト移行
2022-04-04
next.js
gatsby
amazon%20aws
AWS Amplify で monorepo を導入し 単一リポジトリで複数プロジェクトを...
2022-02-25
git
github
amazon%20aws
NestJSアプリケーションをwebpackでBundle
2022-02-20
javascript
typescript
nestjs
[NestJS]少し大きな規模のRESTfull APIを構築するディレクトリ構成を考えて...
2022-09-04
nestjs
typescript
%E3%82%A2%E3%83%BC%E3%82%AD%E3%83%86%E3%82%AF%E3%83%81%E3%83%A3
Prisma MySQL でUTC以外の任意のタイムゾーンを利用するのが難しい件
2022-08-08
prisma
typescript
mysql
New Posts
[JS]Intl.DateTimeFormatで和暦と西暦を変換
2022-08-18
javascript
[NestJS]少し大きな規模のRESTfull APIを構築するディレクトリ構成を考えて...
2022-09-04
nestjs
typescript
%E3%82%A2%E3%83%BC%E3%82%AD%E3%83%86%E3%82%AF%E3%83%81%E3%83%A3
Prisma MySQL でUTC以外の任意のタイムゾーンを利用するのが難しい件
2022-08-08
prisma
typescript
mysql
Prisma TypeScript MySQLなプロジェクトの構築
2022-08-08
prisma
typescript
mysql
Prisma TypeScript SQLiteなプロジェクトの構築
2022-08-06
prisma
typescript
sqlite
[AWS]Lambda vs Fargate. APIを実装する場合に思うこと
2022-07-30
amazon%20aws
amazon%20ecs
%E9%9B%91%E8%AB%87
macOSにzigをインストールしてHello World!する
2022-07-18
zig
mac
[AWS CDK] Cognito の OIDC プロバイダに Auth0 を設定
2022-07-03
auth0
amazon%20aws
aws%20cdk
Amazon S3 でライフサイクルポリシーを設定する
2022-06-19
amazon%20aws
amazon%20s3
AWS Certified Developer Associate に合格した
2022-06-19
amazon%20aws
%E8%B3%87%E6%A0%BC%E8%A9%A6%E9%A8%93
Fisher-Yates shuffleで配列シャッフル [js/ts/php]
2022-06-19
javascript
node.js
typescript
JavaScriptでUTF-16コードを文字列に変換
2022-06-18
javascript
node.js
[JS]乱数でランダムな整数を生成する
2022-06-18
javascript
node.js
[JS]BigIntでMathが使えない件
2022-06-12
javascript
node.js
atcoder
AWS SAPに合格しました
2022-06-11
amazon%20aws
%E8%B3%87%E6%A0%BC%E8%A9%A6%E9%A8%93
Hot posts!
Proxy環境下でcurlを実行する
2019-12-07
linux
curl
OpenCVのMatのタイプ一覧表
2018-11-25
%E7%94%BB%E5%83%8F%E5%87%A6%E7%90%86
opencv
Macでも利用できるDBクライアント MySQL PostgreSQL Oracle など
2019-12-21
linux
%E3%83%87%E3%83%BC%E3%82%BF%E3%83%99%E3%83%BC%E3%82%B9
mysql
TablePlusを使ってみる。シンプルでモダンなSQLクライアントツール
2018-09-30
%E3%83%87%E3%83%BC%E3%82%BF%E3%83%99%E3%83%BC%E3%82%B9
DBクライアントツールはDBeaverをおすすめしたい
2021-03-08
oracle
mysql
sqlite
AWS S3のアクセスキーIDとシークレットアクセスキーの取得 作業用ユーザを作成
2019-06-12
amazon%20aws
linux
amazon%20s3
AtCoderで初めて色がつくまでの話(茶色) レートが中々上がらなかった原因
2018-11-25
%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0
%E7%AB%B6%E6%8A%80%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%9F%E3%83%B3%E3%82%B0
%E9%9B%91%E8%AB%87
CentOS8でEPELとPowerToolsリポジトリの有効化
2020-11-30
centos
red%20hat
EPEL
Macでターミナルからポートスキャンを行う方法。
2018-12-09
linux
mac
apple
Python + OpenCVのfillConvexPolyで複雑なポリゴンを描画する
2018-11-27
python
%E7%94%BB%E5%83%8F%E5%87%A6%E7%90%86
opencv
Date
▶︎
2022 年 (39)
▶︎
2021 年 (40)
▶︎
2020 年 (30)
▶︎
2019 年 (90)
▶︎
2018 年 (89)
▶︎
2017 年 (1)
Tags
javascript(98)
amazon%20aws(47)
linux(47)
node.js(38)
%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0(36)
%E7%94%BB%E5%83%8F%E5%87%A6%E7%90%86(30)
html5(29)
typescript(28)
php(24)
centos(24)
python(22)
%E7%AB%B6%E6%8A%80%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%9F%E3%83%B3%E3%82%B0(21)
mysql(19)
mac(19)
canvas(18)
opencv(17)
%E9%9B%91%E8%AB%87(16)
wordpress(15)
atcoder(14)
docker(14)
apache(12)
%E6%A9%9F%E6%A2%B0%E5%AD%A6%E7%BF%92(12)
%E3%83%87%E3%83%BC%E3%82%BF%E3%83%99%E3%83%BC%E3%82%B9(12)
amazon%20s3(12)
red%20hat(12)
ubuntu(11)
github(10)
git(10)
vue.js(10)
%E7%94%BB%E5%83%8F%E5%87%A6%E7%90%86100%E6%9C%AC%E3%83%8E%E3%83%83%E3%82%AF(10)
mariadb(10)
aws%20cdk(9)
css3(8)
%E5%8F%AF%E8%A6%96%E5%8C%96(8)
%E5%B0%8F%E3%83%8D%E3%82%BF(8)
amazon%20lightsail(7)
react(7)
%E3%83%96%E3%83%AD%E3%82%B0(6)
cms(6)
oracle(6)
perl(6)
gitlab(6)
next.js(6)
iam(5)
amazon%20ec2(5)
%E8%B3%87%E6%A0%BC%E8%A9%A6%E9%A8%93(5)
aws%20amplify(5)
curl(4)
webassembly(4)
ssh(4)
Author
s-yoshiki
s-yoshiki
githubzenntwitterqiita
ただの備忘録です。
JavaScript/TypeScript/node.js/React/AWS/OpenCV
※このブログの内容は個人の見解であり、所属する組織等の見解ではありません。