Request: 認証機構にAmazon Cognitoを追加して欲しい

[sakazuki]

既存のAmazon Cognitoを使って認証したいため、
認証機構設定に Amazon Cognitoがあるとうれしいのですが、
Growiの開発方針的に追加を検討いただくことは可能でしょうか。

可能な場合はコードは既にあるのでPRできます

[yuki-takei]

これですかね！？
master...sakazuki:growi:feat/add-cognito-auth

Admin とか Activity までカバーしてあってすごいです。。この時点で十分取り込みを検討できるクオリティかと思います。

ただ懸念もあって、
現状 GROWI が passport のライブラリでカバーしている範囲は LDAP, SAML, OpenID で、汎用プロトコルが主となっています。外部の特定ベンダーは Google, GitHub などの OAuth2 ですが、過去 Twitter などもあったところを削ってきた経緯があります。理由は簡単で、種類が増えれば増えるほどメンテコストも上がるからで、過去には例えば Azure AD や Auth0 への対応も要望としていただきましたが見送ってきました。

なので同様の理屈でここで Cognito を入れるかを悩んでいるのはあります。

取り込むとなると今後ライブラリアップデートなどもあると思いますが、取り込んだその後、5年10年とまでは言わないまでも、数ヶ月 or 数年という単位でご協力いただくことって可能でしょうか？

[sakazuki]

これですかね！？
master...sakazuki:growi:feat/add-cognito-auth

それです！コード見ていただいたんですね。ありがとうございます！！

なので同様の理屈でここで Cognito を入れるかを悩んでいるのはあります。

ご懸念は理解できます。私でも同様に悩むと思いますので・・・。

取り込むとなると今後ライブラリアップデートなどもあると思いますが、取り込んだその後、5年10年とまでは言わないまでも、数ヶ月 or 数年という単位でご協力いただくことって可能でしょうか？

可能です。
少なくとも数年はメンテでご協力可能ですので、メンテコストの軽減に寄与できると思います。

[sakazuki]

@yuki-takei
その後調べていたらAmazon CognitoはOAuth 2.0 エンドポイントを提供できることを知り、試してみたらOIDCの設定をおこなうことでAmazon Cognitoを認証先として使うことができました（参考：以下の設定例）。

すいませんが、本Requestは取り下げます。
PRも見送ります

---

Amazon Cognito/ユーザープール/アプリケーション統合の設定

ドメイン

Cognito ドメインを作成する

アプリケーションクライアント

アプリケーションクライアントに関する情報

項目名	値
アプリケーションタイプ	パブリッククライアント
クライアントシークレット	生成する
認証フロー	ALLOW_USER_SRP_AUTH

ホストされたUI

項目名	値
許可されているコールバックURL	http://localhost:3000/passport/oidc/callback
IDプロバイダー	Cognitoユーザープール
OAuth2.0許可タイプ	認証コード付与
OpenID Connectのスコープ	email openid profile

---

GROWIセキュリティ設定/認証機構設定

OpenID Connect

OIDC を有効にする

設定

項目名	値
プロバイダ名	cognito
発行ホスト	https://cognito-idp.[region].amazonaws.com/[user_pool_id]
クライアントID	[client_id]
クライアントシークレット	[client_secret]

Attribute Mapping (オプション)

項目名	値
Identifier	sub
username	username
名前	name
Email	email

---

[yuki-takei]

@sakazuki 設定値の投稿ありがとうございます。上記を answer といたします。
別の機能でコントリビュートしたくなったらまた是非 PR 投げてください😁