MFAを有効化したCognitoユーザープールよりCLIでToken取得

この記事は公開されてから半年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

何かとサーバレス構成の認証でよく利用するCognitoで、MFAを有効化したCognitoユーザープールよりCLIでToken取得をしてみました。

手順の概要

基本的には下記の認証フロー通りに実施するだけです。
https://docs.aws.amazon.com/ja_jp/cognito/latest/developerguide/amazon-cognito-user-pools-authentication-flow.html
一番上の図を参照

ClientからInitiate Authの実行

返却されたSession情報を受信
MFAコードを受信 (今回はSMSを設定)

AuthChallengeへ応答

MFAコードの送信

目的のToken受信

手順

Cognito アプリクライントの設定

アプリベースの認証でユーザー名とパスワードの (SRP を使用しない) フローを有効にする (USER_PASSWORD_AUTH)

ClientからInitiate Authの実行

$ aws cognito-idp initiate-auth \
> --auth-flow USER_PASSWORD_AUTH \
> --client-id ***Cognito設定にて確認できるアプリクライントID \
> --auth-parameters \
> USERNAME=[Cognito上に作成したユーザID],PASSWORD=[Cognito上に作成したユーザPW]

下記レスポンス
{
    "ChallengeName": "SMS_MFA",
    "Session": "[次のリクエストで利用するためのSession情報]",
    "ChallengeParameters": {
        "CODE_DELIVERY_DELIVERY_MEDIUM": "SMS",
        "CODE_DELIVERY_DESTINATION": "+***MFA通知先電話番号",
        "USER_ID_FOR_SRP": "***ユーザ名が表示される"
    }
}

$ aws cognito-idp initiate-auth \

> --auth-flow USER_PASSWORD_AUTH \

> --client-id ***Cognito設定にて確認できるアプリクライントID \

> --auth-parameters \

> USERNAME=[Cognito上に作成したユーザID],PASSWORD=[Cognito上に作成したユーザPW]

下記レスポンス

{

"ChallengeName": "SMS_MFA",

"Session": "[次のリクエストで利用するためのSession情報]",

"ChallengeParameters": {

"CODE_DELIVERY_DELIVERY_MEDIUM": "SMS",

"CODE_DELIVERY_DESTINATION": "+***MFA通知先電話番号",

"USER_ID_FOR_SRP": "***ユーザ名が表示される"

}

※Profileを利用している場合、パラメータに --profile *** として指定

AuthChallengeへ応答

$ aws cognito-idp respond-to-auth-challenge \
> --client-id ***Cognito設定にて確認できるアプリクライントID \
> --challenge-name SMS_MFA \
> --challenge-responses \
> USERNAME=[Cognito上に作成したユーザID],SMS_MFA_CODE=[SMSに通知されたCode]] \
> --session "[上記レスポンスでSessionとして返却された内容を入れ込む]"

下記レスポンス
{
    "ChallengeParameters": {},
    "AuthenticationResult": {
        "AccessToken": "***アクセストークンが表示される",
        "ExpiresIn": 3600,
        "TokenType": "Bearer",
        "RefreshToken": "***リフレッシュトークンが表示される",
        "IdToken": "***Idトークンが表示される",
        "NewDeviceMetadata": {
            "DeviceKey": "ap-northeast-1_***",
            "DeviceGroupKey": "***"
        }
    }
}

$ aws cognito-idp respond-to-auth-challenge \

> --client-id ***Cognito設定にて確認できるアプリクライントID \

> --challenge-name SMS_MFA \

> --challenge-responses \

> USERNAME=[Cognito上に作成したユーザID],SMS_MFA_CODE=[SMSに通知されたCode]] \

> --session "[上記レスポンスでSessionとして返却された内容を入れ込む]"

下記レスポンス

{

"ChallengeParameters": {},

"AuthenticationResult": {

"AccessToken": "***アクセストークンが表示される",

"ExpiresIn": 3600,

"TokenType": "Bearer",

"RefreshToken": "***リフレッシュトークンが表示される",

"IdToken": "***Idトークンが表示される",

"NewDeviceMetadata": {

"DeviceKey": "ap-northeast-1_***",

"DeviceGroupKey": "***"

}

※Profileを利用している場合、パラメータに --profile *** として指定

結果確認

https://jwt.io 等でTokenがDecode出来る事を確認できました。

AWS・クラウドのMSP スカイアーチネットワークス株式会社

AWS・クラウド導入における構築から監視・運用保守までをマネージドサービスで提供する、スカイアーチネットワークスの公式サイト。AWS・クラウドを始め、豊富なサーバー管理の経験と安心のセキュリティ対策、専門エンジニアの確かな知識で、お客様のビジネスの成長をサポートします。AWS・クラウド導入における構築から監視・運用保守までをマネージドサービスで提供する、スカイアーチネットワークスの公式サイト。AWS・クラウドを始め、豊富なサーバー管理の経験と安心のセキュリティ対策、専門エンジニアの確かな知識で、お客様のビジネスの成長をサポートします。

投稿者プロフィール

takashi

Japan AWS Ambassadors 2023, 2024
開発会社での ASP型WEBサービス企画 / 開発 / サーバ運用を経て
2010年よりスカイアーチネットワークスに在籍しております

機械化/効率化/システム構築を軸に人に喜んで頂ける物作りが大好きです。

はじめに

目次

手順の概要

手順

Cognito アプリクライントの設定

ClientからInitiate Authの実行

AuthChallengeへ応答

結果確認

投稿者プロフィール

最新の投稿

ABOUTこの記事をかいた人

NEW POSTこのライターの最新記事

Amazon Q Developer CLI でMCPサーバ起動に失敗したの…

WebスクレイピングにAmazon CloudWatch Synthetic…

AWS re:Invent 2024から読み解く、次世代クラウドコンピューテ…

Bedrock Flows と Amazon Q Developer Age…

サービス

インフォメーション

企業情報

会社Facebook

はじめに

目次

手順の概要

手順

Cognito アプリクライントの設定

ClientからInitiate Authの実行

AuthChallengeへ応答

結果確認

投稿者プロフィール

最新の投稿

RECOMMENDこちらの記事も人気です。

M5StickC with ENV HatでAWS IoT Device…

[AWS Fargate] Platform Version 1.4.0…

SkyHopper 2015.06月版リリース

LambdaでAWS Systems Manager パラメータストア（…

やってみよう Amazon connect [9] コンタクトキューフロ…

AWS Well-Architectedの社内勉強会を実施しました

SkyHopper 1.9.0のAMIを公開しました

続報：Amazon RDSメンテナンス (MySQL5.6のアップデート…

ABOUTこの記事をかいた人

NEW POSTこのライターの最新記事

Amazon Q Developer CLI でMCPサーバ起動に失敗したの…

WebスクレイピングにAmazon CloudWatch Synthetic…

AWS re:Invent 2024から読み解く、次世代クラウドコンピューテ…

Bedrock Flows と Amazon Q Developer Age…

タグクラウド

サービス

インフォメーション

企業情報

会社Facebook

タグ