Cognitoユーザープールの認証にソーシャルサインイン（Google）を追加したうえでGoogleのアクセストークンを取得してみる

Cognitoを利用すると認証機能を簡単に実装できます。Googleアカウントでログインするなんてことも簡単に実現できます。

Cognitoユーザープールでソーシャルサインイン（Google）を追加する方法は、こちらの弊社ブログで設定方法を紹介しています。

• Cognito ユーザープール + ALB の認証にソーシャルサインイン（Google）を追加してみた | Developers.IO

外部IDプロバイダー（Google等）との連携設定をする際に、Cognitoユーザープールのユーザー属性と外部IDプロバイダーのユーザー属性、どれとどれが対応するのかという属性マッピングを設定することができます。

• ユーザープールの ID プロバイダー属性マッピングを指定する - Amazon Cognito

そしてGoogleの属性マッピング設定をよく見てみると、 access_token の値があったりして、アクセストークンをCognitoユーザーの属性として取り込めることに初めて気がついたので試してみました。

やってみた

マネジメントコンソールのCognitoユーザープールの画面で、Googleの属性マッピング設定をします。今回は、Cognitoユーザープールにカスタム属性を作っておいて、 custom:my-attribute に割り当ててみます。

そして、アプリクライアントの設定から有効なIDプロバイダにGoogleへチェックを入れて、ホストされたUIを起動してGoogleでのログインを試してみます。

Cognitoのログイン画面でGoogleでのログインを選択します。

そうするとGoogleのログイン画面がでてくるのでそのままログインします。

Googleのログインが完了するとブラウザの表示は設定されたCallback URLへコールバックされてしまいますが、それは無視します。 Googleへのログインは完了したのでCognitoユーザープールのユーザーは更新されているはずです。Cognitoユーザープールのユーザーを確認します。

Cognitoユーザープールで先ほどログインしたGoogleアカウントに対応するユーザーを確認してみると、ユーザー属性の custom:my-attribute にアクセストークンらしき文字列が追加されていることが確認できました。

GoogleのアクセストークンでGoogleのユーザー情報を取得してみる

アクセストークンらしきものが取得できたので、本当に有効なアクセストークンなのか、GoogleのUserInfoエンドポイントに問い合わせてみます。

GoogleログインはOpenID Connect仕様に準拠しているので、それにそったやり方で取得できるはずです。

• 参考：OpenID Connect  |  Google Identity Platform  |  Google Developers

OpenIDプロバイダに関する情報を取得する手段として、Discovery Documentが公開されています。

• 参考：The Discovery document | OpenID Connect  |  Google Identity Platform  |  Google Developers

これを参照すると、UserInfoエンドポイントは、「 https://openidconnect.googleapis.com/v1/userinfo 」のようです。

• 参考：https://accounts.google.com/.well-known/openid-configuration

UserInfoエンドポイントへのリクエスト方法は、OpenID Connectの仕様として定められています。

• 参考：5.3.1. UserInfo Request | Final: OpenID Connect Core 1.0 incorporating errata set 1

よって、次のように curl コマンドを使えば、GoogleのUserInfoエンドポイントにユーザー情報をリクエストできます。

$ ACCESS_TOKEN=<<Cognitoユーザーに追加されたGoogleのアクセストークンをコピー&ペースト>>
$ curl -H "Authorization:Bearer ${ACCESS_TOKEN}" \
  https://openidconnect.googleapis.com/v1/userinfo
{
  "sub": "XXXXXXXXXXXXXXXXXXXXXX",
  "name": "北野佑一",
  "given_name": "佑一",
  "family_name": "北野",
  "picture": "https://lh4.googleusercontent.com/-iEi5_3J80zg/AAAAAAAAAAI/AAAAAAAAAAA/AMZuucnIDG9McGjbwvrMpFwIY-HrUSvEVQ/photo.jpg",
  "email": "xxxxxxxxxxx@gmail.com",
  "email_verified": true,
  "locale": "ja"
}

結果、確かにユーザー情報が取得できており、Googleの有効なアクセストークンがCognitoユーザーの属性に取り込めていることが確認できました。

終わりに

CognitoでGoogleを利用したフェデレーションログインしつつ、Googleのアクセストークンを取得してみました。

興味本位でやってみただけなので、どういうユースケースにはまるかはまだピンと来てないのですが、Cognitoを利用してログインしつつ、Googleのアクセストークンを利用してGoogleのリソースにアクセスしたいなんて時に、この機能を利用することを検討してもよいと思います。