いつでも再構成できる認証
Logto は、セットアップ時にアイデンティティスキーマを固定しません。サインイン識別子はコンソールで変更できる設定であり、ユーザープロファイルはスキーマレスのカスタムデータを持てます。要件がメールのみから電話番号やパスキーへと変わったときは、構成を切り替えるだけです。テナントを作り直して全ユーザーを移行する必要はありません。
Cognito は AWS スタックの中で確かな地位を築いてきました。インフラのすぐ隣に存在し、ID プールはアプリに一時的な AWS 認証情報を渡すことができ、Lite ティアは規模が大きくなっても安価なままです。しかし認証がチェックボックスのままでいられることは、めったにありません。サインアップの要件が変わったとき、ビジネス顧客が現れたとき、あるいは請求の形がまた変わったとき、チームはプロダクトを届ける代わりにツールキットを保守していることに気づきます。比較を始めるのは、たいていそのタイミングです。
| 動機 | 実際にどうなるか |
|---|---|
| 動き続ける料金体系 | 2024 年 5 月、AWS はそれまで無料だった machine-to-machine 認証への課金を導入しました。既存アカウントには 12 か月の猶予が与えられ、その請求は 2025 年 5 月に届きました。2024 年 11 月には、新しいティアによって新規アカウントの無料枠が 50,000 MAU から 10,000 MAU に削減され、新しいユーザープールは既定で Essentials(MAU あたり $0.015、Lite の料金の 3 倍近く)になりました。2025 年 11 月、AWS はアプリクライアントごとの M2M 料金を廃止しましたが、トークンリクエストごとの課金は維持しました。変更はいずれも告知されました。しかし、どれ一つとしてこちらの意向を尋ねたものはありませんでした。 |
| 二度と変更できない設定 | Cognito では、サイン イン識別子、ユーザー名の大文字・小文字の区別、必須属性は、ユーザープールの作成時に固定され、カスタム属性は一度作成すると変更も削除もできません。1 つでも間違えたときの公式な対処法は、実にそっけないものです。「ユーザーを新しいユーザープールに移行する」。認証の要件は進化しますが、プールの構成は進化できません。 |
| アカウント全体で共有される 1 つのレート制限枠 | Cognito のリクエストクォータは AWS アカウントごと・リージョンごとに適用され、運用しているすべてのユーザープールで共有されます。そのため、あるプロダクトでサインインが急増すると、そのすべてがスロットリングされる可能性があります。調整可能なカテゴリの上限を引き上げるには、MAU 料金に加えてプロビジョンドキャパシティを購入する必要があります。それ以外は固定されています。パスワード復旧は 1 秒あたり 30 リクエスト、machine-to-machine のトークン発行は 150 が上限で、いくら支払っても変わりません。 |
| B2B は自前で作るプロジェクト | Cognito には組織モデルがありません。公式のマルチテナンシーガイダンスは、ユーザープール、アプリクライアント、またはグループから自分で組み立てるためのパターンを提示しており、テナントごとにプールを分ける方式では「開発と運用の労力」が大きく、「各ユーザーはテナントごとに個別にサインアップしなければならない」と認めています。さらに、SAML または OIDC でサインインするエンタープライズユーザーは、いずれのティアでも最初の 50 名を超えると 1 名あたり月額 $0.015 かかります。 |
| サインインページは本当の意味では自分のものではない | Managed login では、色やロゴを編集できるビジュアルエディターが用意されていますが、AWS は明言しています。テキストの変更やローカライズはできず、組み込みの言語は 12 種類しかありません。Lite ティアは旧来の classic hosted UI に限定されており、ロゴと決まった CSS 値のセットには対応していますが、ローカライズには一切対応していません。さらに、カスタムドメインには、ユーザーがどこにいようと US East (N. Virginia) の証明書が必要です。 |
Logto は、セットアップ時にアイデンティティスキーマを固定しません。サインイン識別子はコンソールで変更できる設定であり、ユーザープロファイルはスキーマレスのカスタムデータを持てます。要件がメールのみから電話番号やパスキーへと変わったときは、構成を切り替えるだけです。テナントを作り直して全ユーザーを移行する必要はありません。
Logto の組織は、各ビジネス顧客に独自のメンバー、ロール、エンタープライズ SSO 接続を与え、ユーザーが初めてサインインした時点でジャストインタイムプロビジョニングを行います。Cognito のベストプラクティスガイドがプール、アプリクライアント、グループから自分で組み立てさせるものが、Logto ではファーストクラスのプロダクト機能になっています。
Logto の無料プランは、machine-to-machine を含めて月間 50K MAU と 50K トークンをカバーし、Pro は月額 $24 で MAU 無制限です。レート制限はテナントごとに適用され、成長するワークロードのために引き上げるのは、キャパシティの購入ではなくサポートとの相談です。Logto Cloud はフルマネージドサービスであり、Logto のオープンソース版(GitHub スター 13k+)と同じコードベースで動作します。もし料金やロードマップが将来自分たちに合わなくなっても、セルフホストに切り替えて使い続けられます。
私たちは誠実なポジショニングを大切にしています。Logto はすべての AWS Cognito のお客様にとって完璧な選択肢とは限りません。
| Logto | AWS Cognito | |
|---|---|---|
| 主な違い | ||
| 無料プラン無料プランに含まれる内容 | 最大 50K MAU と 50K トークン | Lite と Essentials では 10K MAUPlus に無料プランなし |
| machine-to-machine 認証client credentials によるサービス間トークン | 含まれる課金対象はアクセストークンのみ | 無料枠なしトークンリクエストごとに課金、$0.00225 から |
| B2B / マルチテナンシービジネス顧客をロールを持つ組織としてモデル化 | 無制限*ロールと組織ごとの SSO を備えた組織 | 組み込みの組織モデルなしプールやグループを自前で組む方式 |
| エンタープライズ SSO の料金SAML または OIDC フェデレーションでサインインするユーザー | コンソールで構成するコネクタMAU ベースのプラン | フェデレーション 50 MAU まで無料、以降はいずれのティアでも 1 名あたり $0.015 |
| アイデンティティスキーマの変更サインイン識別子や属性を後から調整 | いつでも再構成可能スキーマレスのカスタムデータ | サインイン識別子、大文字・小文字の区別、カスタム属性は作成時に固定 |
| サインイン UI のコントロールホスト型ページのブランディング、文言、言語 | 任意の言語でカスタム文言自前の UI も利用可能 | 色とロゴのみテキストは編集不可12 言語(Essentials 以上) |
| デプロイオプション認証サービスを実行できる場所 | クラウド、プライベートクラウド、またはセルフホスト | AWS ホスティングのみ |
2026 年 7 月時点で公開されている情報に基づきます。Cognito の料金は US East (N. Virginia) のものです。最新の詳細は各ベンダーにてご確認ください。
* 「無制限」とは、固定制限のない機能を指しますが、公平な利用、セキュリティ、最適なパフォーマンスを確保するためのシステムポリシーに従う必要があります。
正直にお伝えします。Cognito はパスワードハッシュのエクスポートを許可していないため、既存のパスワードがすべてそのまま静かに使い続けられるような一括移行を約束できるベンダーは存在しません。Cognito 自身も、インポートされたハッシュを受け付けません。独自の一括インポートでは、ユーザーは初回サインイン時にパスワードをリセットする必要があります。
それ以外はすべてスムーズに移行できます。Cognito の API でユーザープロファイルをエクスポートし、Logto の Management API で一括インポートしてください。ソーシャルプロバイダーやパスワードレス方式でサインインするユーザーは、切り替えにまったく気づきません。
パスワードを使うユーザーについては、一度きりのリセットか段階的なロールアウトのいずれかを計画してください。適切な方法はユーザーベースによって異なるため、構成についてお知らせいただければ、切り替えの計画をお手伝いします。
ユーザー移行ガイドを読む →移行の事情はそれぞれ少しずつ異なります。ガイドでカバーされていないケースがあれば、お問い合わせいただき、必要な内容をお聞かせください。
部分的には無料です。2024 年 11 月 22 日より後に作成されたアカウントは、Lite または Essentials ティアで月間 10,000 MAU まで無料で利用できます。それより前のアカウントは、Lite で 50,000 MAU の無料枠を維持できます。Plus ティアには無料枠がありません。machine-to-machine のトークンリクエストは常に課金され、SAML または OIDC でフェデレーションするユーザーは 50 MAU までしか無料になりません。また、SMS メッセージは Amazon SNS を通じて別途課金されます。
2 年間で 3 つの変更がありました。2024 年 5 月:AWS は machine-to-machine 認証にトークンごとの課金を導入し、既存アカウントには 12 か月の免除がありましたが、これは 2025 年 5 月に終了しました。2024 年 11 月:Cognito は Lite、Essentials、Plus のティアに再編され、新規アカウント向けの無料枠は 50,000 MAU から 10,000 MAU に減り、新しいユーザープールは既定で Essentials(MAU あたり $0.015)になりました。2025 年 11 月:AWS はトークンごとの課金を維持したまま、アプリクライアントごとの M2M 料金を廃止しました。
組み込み機能としては対応していません。AWS は、自分で実装するマルチテナンシーのパターンを文書化しています。テナントごとのユーザープール、テナントごとのアプリクライアント、または 1 つのプール内のグループです。それぞれに、開発・運用の労力の大きさから、ユーザーがテナントごとに個別にサインアップする必要があることまで、文書化されたトレードオフがあります。Logto はこれを組織によって直接モデル化します。各ビジネス顧客が、独自のメンバー、ロール、エンタープライズ SSO 接続を持ちます。
移行する理由によります。アプリが S3 のようなサービス向けに一時的な AWS 認証情報を必要とするなら、Cognito の ID プールは引き続きネイティブな手段です。組み込みの B2B 組織、ユーザーごとのフェデレーション料金のかからないエンタープライズ SSO、そして知らないうちに変わることのない料金体系が欲しいなら、Logto は有力な選択肢です。Auth0、Firebase Auth、Keycloak もよく比較検討されます。
AWS、Amazon Cognito、Amazon Web Services は、Amazon.com, Inc. またはその関連会社の商標です。機能比較は 2026 年 7 月時点で公開されている情報に基づきます。最新の詳細は各ベンダーにてご確認ください。