Amazon Cognito の外部IdP連携で自動作成されるユーザをあらかじめ作成する方法を教えてください
困っていた内容
Amazon Cognito のユーザプールで、外部IdP連携によるサインインを設定しています。ユーザは外部IdPでサインインしたタイミングで作成されますが、事前に作成して権限付与をしておきたいです。
Cognito コンソールのユーザ作成では、identitiesプロパティが設定できず、外部IdPで作成されるのと同じユーザは作成できないようでした。どうしたら良いでしょうか。
管理者としてのユーザーアカウントの作成 - Amazon Cognito
どう対応すればいいの?
ユーザを作成後、AWS CLI のadmin-link-provider-for-userを実行してください。
admin-link-provider-for-user — AWS CLI 2.7.3 Command Reference
Links an existing user account in a user pool (DestinationUser ) to an identity from an external IdP (SourceUser ) based on a specified attribute name and value from the external IdP. This allows you to create a link from the existing user account to an external federated user identity that has not yet been used to sign in.
外部IdPでサインインしたユーザは、identitiesプロパティに外部IdPの情報が付与された状態で自動作成されますが、このプロパティはユーザ作成時に設定できません。
そのため、一度identitiesプロパティがない状態のユーザを作成し、その後、作成したユーザと外部IdPのユーザをリンクさせる必要があります。リンクによって自動的にidentitiesプロパティが設定され、サインイン時に自動作成されるユーザをあらかじめ作成できます。
現時点でCognito コンソールからリンクはできないため、AWS CLI のadmin-link-provider-for-userをお使いください。
$ aws cognito-idp admin-link-provider-for-user --user-pool-id hato-userpool --destination-user ProviderName='Cognito',ProviderAttributeName='userId',ProviderAttributeValue='【ユーザプールのユーザID】' --source-user ProviderName='AzureActiveDirectoryforCognito',ProviderAttributeName='username',ProviderAttributeValue='【Azure ADのユーザ名】'
![[WIC] Okta Workforce Identity Cloudを利用してAWSアカウントに対してSSO設定をしてみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-d91c3f01500237e80a7d37ce9c2ae878/856860d631599070d4ec2bf694c75ac8/eyecatch_okta_1200x630.png)
![[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた](https://devio2023-media.developers.io/wp-content/uploads/2023/08/amazon-cognito.png)
