こんにちは、広野です。
先日、AWS Amplify + Amazon Cognito + React アプリのサインイン機能に あらかじめ登録したドメイン名のメールアドレスを持つユーザのみ、オンラインサインアップを受け付ける 機能を追加したので、具体的な方法を紹介します。
やりたいこと
前提として、アプリに Amplify UI v2 の出来合いのサインインUIが組み込み済みで、Amazon Cognito と連携済みです。
メールアドレスをユーザとして使用する設定にしてあります。
実現方法
Amazon Cognito の「サインアップ前 Lambdaトリガー」を使用します。
Amazon Cognito のサインアップフローの中で、サインアップ前に任意のLambda関数を挟み込みます。そのLambda関数の中でメールアドレスのドメイン名をチェックし、結果を Amazon Cognito に返します。それ以外は Amazon Cognito の標準フローのままです。
設定・解説
Lambda関数
AWS公式ドキュメントにはそのまま使えるサンプルはなかったので、こちらのコードが参考になりましたら幸いです。
コード (Python)
Lambda関数のコードサンプルです。
def lambda_handler(event, context):
try:
print(event) # Amazon Cognitoから渡されたユーザサインアップのリクエストデータ
email = event['request']['userAttributes']['email'] # リクエストデータからメールアドレスを抽出
print(email)
domain = email.split('@')[1] # メールアドレスからドメイン名だけを抽出
allowedDomains = [ "example1.com", "example2.com", "example3.com" ] # サインアップを許可するドメイン名群
if domain in allowedDomains: # ユーザ入力のドメイン名が許可するドメイン名群に含まれているかチェック
print('domain matched')
return event # 含まれていれば、Amazon Cognito に event をそのまま返す
else:
print('domain unmatched')
return None # 含まれていなければ、Amazon Cognito に null (PythonではNone) を返す
except Exception as e:
print(e)
Amazon Cognito から渡されるデータは、上記Lambda関数では event に格納され、以下の JSON フォーマットになっています。このデータにある限りの項目であればLambda関数の中で加工・変更し Amazon Cognito に返して処理を継続させることができます。
{
"version": "1",
"region": "ap-northeast-1",
"userPoolId": "ap-northeast-1_XXXXXXXXX",
"userName": "adea79d7-8f6f-4ff3-9552-caf0ff59239d",
"callerContext": {
"awsSdkVersion": "aws-sdk-unknown-unknown",
"clientId": "xxxxxxxxxxxxxxxxxxxxxx"
},
"triggerSource": "PreSignUp_SignUp",
"request": {
"userAttributes": {
"email": "test@example.com"
},
"validationData": null
},
"response": {
"autoConfirmUser": false,
"autoVerifyEmail": false,
"autoVerifyPhone": false
}
}
サインアップリクエストをそのまま進めたければ、Amazon Cognito から渡された event を加工せず return で返します。
サインアップリクエストを却下したいときには、event の代わりに null を返します。Pythonでは None と記述することに注意しましょう。
実は却下時の return での返し方がAWS公式ドキュメントに見当たりませんでした。ですが、実際に Amazon Cognito に null を返すと、以下のようにLambda関数やJSON のエラーとして画面表示され、処理が終了します。いろいろと調べて試しましたが、Amplify UI の出来合いのUIを使用する限りはエラーメッセージのカスタマイズをすることは出来なさそうです。
IAM ロール
このLambda関数は他のサービスを呼び出すことはないので、Lambda関数の実行ログを Amazon CloudWatch Logs に残すための権限と、必要に応じてですが AWS X-Ray にログを残せる権限を付けておくとよいでしょう。
マネージドポリシーARN
- aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole
- aws:iam::aws:policy/AWSXRayDaemonWriteAccess
リソースベースポリシー
忘れてはいけないのは、このLambda関数が Amazon Cognito から呼び出されることを許可する権限です。
Lambda側で以下のようなリソースベースポリシーを追加します。
詳細なパラメータはブログ最下部に CloudFormation テンプレートを紹介していますので、そちらをご覧ください。
Amazon Cognito 側 Lambda トリガー設定
マネジメントコンソールでは、以下のように「サインアップ前 Lambda トリガー」を追加します。
この連携設定をすることで、ユーザのオンラインサインアップ時、サインアップの確定前に必ず指定したLambda関数が呼び出されることになります。
CloudFormation テンプレート
以下、詳細なパラメータを含む CloudFormation テンプレートのサンプルです。
- Amazon Cognito
- ユーザプール
- アップクライアント
- メールアドレスのみをユーザ名とする
- TOTP MFA 必須
- AWS Lambda
- サインアップを許可するドメイン名は CloudFormation でパラメータ化
- リソースベースポリシー
- IAM ロール
- Lambda関数用
AWSTemplateFormatVersion: 2010-09-09
Description: CloudFormation template example
# ------------------------------------------------------------#
# Input Parameters
# ------------------------------------------------------------#
Parameters:
DomainName:
Type: String
Description: Domain name for URL. xxxxx.xxx (e.g. example.com)
Default: example.com
MaxLength: 40
MinLength: 5
SubDomainName:
Type: String
Description: Sub domain name for URL. xxxx.example.com
Default: subdomain
MaxLength: 20
MinLength: 1
CognitoAdminEmail:
Type: String
Description: Cognito Admin e-mail address. (e.g. xxx@xxx.xx)
Default: xxxxx@example.com
MaxLength: 100
MinLength: 5
AllowedUserEmailDomains:
Description: Domain list to allow user sign up. Each domains must be comma delimited and double quoted.
Type: String
Default: '"example1.com","example2.com","example3.com"'
Resources:
# ------------------------------------------------------------#
# Lambda (triggered from Cognito) Role (IAM)
# ------------------------------------------------------------#
LambdaTriggeredFromCognitoRole:
Type: AWS::IAM::Role
Properties:
RoleName: LambdaTriggeredFromCognitoRole
Description: This role grants Lambda functions triggered from Cognito basic priviledges.
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service:
- lambda.amazonaws.com
Action:
- sts:AssumeRole
Path: /
ManagedPolicyArns:
- arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole
- arn:aws:iam::aws:policy/AWSXRayDaemonWriteAccess
# ------------------------------------------------------------#
# Cognito Lambda Invocation Permission
# ------------------------------------------------------------#
CognitoLambdaInvocationPermissionPresignup:
Type: AWS::Lambda::Permission
Properties:
FunctionName: !GetAtt LambdaCognitoPresignup.Arn
Action: lambda:InvokeFunction
Principal: cognito-idp.amazonaws.com
SourceAccount: !Sub ${AWS::AccountId}
SourceArn: !GetAtt UserPool.Arn
DependsOn:
- LambdaCognitoPresignup
- UserPool
# ------------------------------------------------------------#
# Cognito
# ------------------------------------------------------------#
UserPool:
Type: AWS::Cognito::UserPool
Properties:
UserPoolName: ExampleUserPool
MfaConfiguration: "ON"
EnabledMfas:
- SOFTWARE_TOKEN_MFA
Policies:
PasswordPolicy:
MinimumLength: 8
RequireUppercase: true
RequireLowercase: true
RequireNumbers: true
RequireSymbols: false
TemporaryPasswordValidityDays: 180
AccountRecoverySetting:
RecoveryMechanisms:
- Name: verified_email
Priority: 1
AdminCreateUserConfig:
AllowAdminCreateUserOnly: false
AutoVerifiedAttributes:
- email
DeviceConfiguration:
ChallengeRequiredOnNewDevice: false
DeviceOnlyRememberedOnUserPrompt: false
EmailConfiguration:
EmailSendingAccount: DEVELOPER
From: !Sub ${CognitoAdminEmail}
ReplyToEmailAddress: !Sub ${CognitoAdminEmail}
SourceArn: !Sub arn:aws:ses:ap-northeast-1:${AWS::AccountId}:identity/${CognitoAdminEmail}
EmailVerificationMessage: Verification code: {####}"
EmailVerificationSubject: Verification code"
LambdaConfig:
PreSignUp: !GetAtt LambdaCognitoPresignup.Arn
UsernameAttributes:
- email
UsernameConfiguration:
CaseSensitive: false
UserPoolAddOns:
AdvancedSecurityMode: "OFF"
UserPoolClient:
Type: AWS::Cognito::UserPoolClient
Properties:
UserPoolId: !Ref UserPool
ClientName: example-appclient
GenerateSecret: false
RefreshTokenValidity: 3
AccessTokenValidity: 6
IdTokenValidity: 6
ExplicitAuthFlows:
- ALLOW_USER_SRP_AUTH
- ALLOW_REFRESH_TOKEN_AUTH
PreventUserExistenceErrors: ENABLED
SupportedIdentityProviders:
- COGNITO
CallbackURLs:
- !Sub https://${SubDomainName}.${DomainName}/index.html
LogoutURLs:
- !Sub https://${SubDomainName}.${DomainName}/index.html
DefaultRedirectURI: !Sub https://${SubDomainName}.${DomainName}/index.html
AllowedOAuthFlows:
- implicit
AllowedOAuthFlowsUserPoolClient: true
AllowedOAuthScopes:
- email
- openid
# ------------------------------------------------------------#
# Lambda
# ------------------------------------------------------------#
LambdaCognitoPresignup:
Type: AWS::Lambda::Function
Properties:
FunctionName: CognitoPresignup
Description: Lambda Function triggered from Cognito before user self signup to check the user's email domain
Runtime: python3.9
Timeout: 3
MemorySize: 128
Role: !GetAtt LambdaTriggeredFromCognitoRole.Arn
Handler: index.lambda_handler
Code:
ZipFile: !Sub |
def lambda_handler(event, context):
try:
print(event)
email = event['request']['userAttributes']['email']
print(email)
domain = email.split('@')[1]
allowedDomains = [ ${AllowedUserEmailDomains} ]
if domain in allowedDomains:
print('domain matched')
return event
else:
print('domain unmatched')
return None
except Exception as e:
print(e)
DependsOn: LambdaTriggeredFromCognitoRole
まとめ
細かいことを書き出すと長くなってしまうので、Amazon Cognito と AWS Lambda を中心にコード例や設定例を記載いたしました。アプリ側のことは一切記載していませんので、ある程度そこはわかっている方前提の記事となっております。ご了承ください。
この記事がみなさまのお役に立てると幸いです。