Amazon Cognito Hosted UIのサインアップ時、ユーザーがMFAタイプを選択できるようにする方法

はじめに

本記事では、Amazon Cognito Hosted UIのサインアップ時に、ユーザー側で2つのMFAタイプ（SMS・Authenticatorアプリケーション）から登録するMFAを選択する方法をご紹介します。

具体例として、ALBとEC2を組み合わせた構成に、CognitoのHosted UIによる認証を実装します。

以下の記事を参考にしました。

https://dev.classmethod.jp/articles/alb-ec2-cognito-hosted-ui-2023/

SMS送信が優先されるケース

通常、2つのMFAタイプを有効化してユーザープールを作成した場合、サインアップ時にユーザーがMFAタイプを選択することができず、SMSで登録されてしまいます。
ここでは、実際にSMSで登録される挙動を確認してみましょう。

以下の2つのMFAタイプを有効化してユーザープールを作成します。

サインイン画面に遷移します。

サインアップするため、[Sign up]に遷移します。

• 名前、電話番号、メールアドレス、パスワードを登録します。

メールアドレスに6桁の認証コードが送られます。

6桁を入力するとユーザーのEメールが検証済みとなります。

電話番号にもSMS送信され、6桁を入力すると、ユーザーの電話番号が検証済みとなります。

[Sign in]を入力すると、EC2のWebサーバーの内容が表示されます。

このように、MFAタイプはSMSとAuthenticatorアプリケーションのどちらで登録するか選択できず、SMS送信で登録されました。

SMS送信が優先される理由

SMS送信が優先される理由は、AWSが公開している情報からは確認できませんでした。

おそらく必須属性に電話番号があるため、SMSが優先されると推測します。

どのような方法で実装すれば実現できるか

AWSのドキュメントによると、SMSとAuthenticatorアプリケーションの2つのMFAを有効化している場合、Hosted UIで登録するMFAタイプは選択可能と記載があります。

https://docs.aws.amazon.com/ja_jp/cognito/latest/developerguide/user-pool-settings-mfa.html?icmpid=docs_cognito_console_help_panel

実装方法は、AWSドキュメントには記載されていないため、実際にユーザープールを作成して試したところ、実現方法を見つけました。

サインアップ時にユーザー側でMFAタイプを選択する方法は、以下の通りです。

1. 「 MFA なし」を選択しユーザープールを作成します。電話番号を必須属性としないユーザープールを作成することができます。
2. 作成後、「 MFA を必須にする」を選択し、SMS と Authenticator アプリケーションの 2 つの MFA を有効化します。
3. この状態で Hosted UI からサインアップを行うと、ユーザーは SMS と Authenticator アプリケーションのどちらを MFA として使用するか選択することができます。

実際に試してみます。

ユーザープール作成

サインインオプションで選択する属性は任意です。電話番号を選択しても必須属性にはならないため、問題ありません。

[MFAなし]を選択します。

必須属性に電話番号が入っていないことを確認します。

Eメールプロバイダーの選択は任意です。

アプリケーション統合の設定は、以下の通り行いました。

これでユーザープールを作成します。

ユーザープール編集

次に、作成したユーザープールのMFA設定を有効化します。[編集]をクリックします。

2つのMFAタイプを選択すると、CognitoがSMS送信時に必要なIAMロールを設定するための[SMSの設定]画面が表示されますので、クリックします。
IAMロールは新規作成または既存のものから選択し、設定を保存します。

MFAの設定画面に戻り、[変更を保存]をクリックします。しかし、[SMSの設定]が反映されていないためエラーが発生しますので、[キャンセル]をクリックしてください。
再度編集すると、[SMSの設定]が反映されており、MFAタイプのうちSMSメッセージが有効化されています。Authenticatorアプリケーションも有効化し、保存します。

試してみる

2つのMFAタイプを選択して登録できるか確認します。

Hosted UIのサインアップ画面に遷移します。

サインアップ情報を入力します。なお、電話番号は必須属性ではないため、入力欄がありません。

Eメールに送信された6桁の認証コードを入力します。

本記事の目的である「ユーザーが登録するMFAタイプを選択できるようにする」が実現できました。ここでは例としてSMSを選択してみます。

SMS認証のための電話番号を入力します。

SMSで電話番号に送信された6桁の認証コードを入力します。

認証コードの入力後、ログインが成功し、目的のWebサイトにアクセスできました。

ちなみに、Hosted UIでは、デフォルトで電話番号とAuthenticatorアプリケーションの両方を同時に登録することはできません。両方を使用したい場合は、サインイン画面を開発する必要があります。

Authenticator アプリケーションが優先されるケース

補足：MFAをAuthenticatorアプリケーションのみに設定し、必須属性から電話番号を除外した状態でユーザープールを作成した後、MFAタイプにSMSを追加した場合、MFAの登録はAuthenticatorアプリケーションが優先されました。

まとめ

本記事では、Amazon Cognito Hosted UIを使用して、ユーザー側で登録するMFAタイプ（SMSとAuthenticatorアプリケーション）を選択させる方法について解説しました。主なポイントは以下の通りです

1. ユーザープール作成時に、MFAタイプを有効にしても、サインアップ画面でユーザーが登録するMFAタイプを選択できません。

• ユーザープール作成時に、SMSを有効化すると、SMSが優先されます。
• ユーザープール作成時に、Authenticatorアプリケーションのみ有効化すると、Authenticatorアプリケーションが優先されます。

2. 以下の手順によって、サインアップ時に、ユーザーが希望するMFAタイプを選択できるようになります。

   • 「MFAなし」を選択し、電話番号を必須属性としないユーザープールを作成する。
   • ユーザープール作成後、MFA設定を更新し、SMSとAuthenticatorアプリケーションの両方を有効にする。

3. ただし、Hosted UIでは電話番号とAuthenticatorアプリケーションの両方を同時に登録することはできません。両方を使用したい場合は、サインイン画面の開発が必要です。