Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Namen und Kennungen von SAML-Identitätsanbietern

PDF
Fokusmodus
Namen und Kennungen von SAML-Identitätsanbietern - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie Ihre SAML-Identitätsanbieter (IdPs) benennen und IdP-Identifikatoren zuweisen, können Sie den Fluss von SP-initiierten Anmelde- und Abmeldeanfragen an diesen Anbieter automatisieren. Informationen zu Zeichenketteneinschränkungen für den Anbieternamen finden Sie in der Eigenschaft von. ProviderName CreateIdentityProvider

Authentifizierungsflussdiagramm der von Amazon Cognito SP initiierten SAML-Anmeldung mit einer IdP-ID und verwalteter Anmeldung. Der Benutzer gibt eine E-Mail-Adresse für die verwaltete Anmeldung an und Amazon Cognito leitet ihn automatisch an seinen Anbieter weiter.

Sie können auch bis zu 50 Identifikatoren für Ihre SAML-Anbieter auswählen. Ein Identifier ist ein benutzerfreundlicher Name für einen IdP in Ihrem Benutzerpool und muss innerhalb des Benutzerpools eindeutig sein. Wenn Ihre SAML-Identifikatoren mit den E-Mail-Domains Ihrer Benutzer übereinstimmen, fordert die verwaltete Anmeldung die E-Mail-Adresse jedes Benutzers an, bewertet die Domain in seiner E-Mail-Adresse und leitet sie an den IdP weiter, der seiner Domain entspricht. Da dieselbe Organisation mehrere Domains besitzen kann, kann ein einzelner IdP mehrere Identifikatoren haben.

Unabhängig davon, ob Sie E-Mail-Domain-IDs verwenden oder nicht, können Sie Identifikatoren in einer Mehrmandanten-App verwenden, um Benutzer zum richtigen IdP weiterzuleiten. Wenn Sie die verwaltete Anmeldung vollständig umgehen möchten, können Sie die Links, die Sie Benutzern präsentieren, so anpassen, dass sie Autorisieren des Endpunkts direkt zu ihrem IdP weiterleiten. Um Ihre Benutzer mit einer Kennung anzumelden und zu ihrem IdP weiterzuleiten, fügen Sie die Kennung in das Format idp_identifier=myidp.example.com in die Anforderungsparameter ihrer ersten Autorisierungsanfrage ein.

Eine andere Methode, um einen Benutzer an Ihren IdP weiterzuleiten, besteht darin, den Parameter identity_provider mit dem Namen Ihres IdP im folgenden URL-Format zu füllen.

https://mydomain.us-east-1.amazoncognito.com/oauth2/authorize?
response_type=code&
identity_provider=MySAMLIdP&
client_id=1example23456789&
redirect_uri=https://www.example.com

Nachdem sich ein Benutzer mit Ihrem SAML-IdP angemeldet hat, leitet Ihr IdP ihn mit einer SAML-Antwort im HTTP POST Text an Ihren Endpunkt weiter. /saml2/idpresponse Amazon Cognito verarbeitet die SAML-Assertion und leitet, wenn die Ansprüche in der Antwort den Erwartungen entsprechen, zu Ihrer App-Client-Callback-URL weiter. Nachdem Ihr Benutzer die Authentifizierung auf diese Weise abgeschlossen hat, hat er nur mit Webseiten für Ihren IdP und Ihre App interagiert.

Bei IdP-Identifikatoren in einem Domänenformat fordert die verwaltete Anmeldung bei der Anmeldung E-Mail-Adressen an und leitet die Benutzer dann, wenn die E-Mail-Domain mit einer IdP-ID übereinstimmt, zur Anmeldeseite für ihren IdP weiter. Sie erstellen beispielsweise eine App, für die sich Mitarbeiter zweier verschiedener Unternehmen anmelden müssen. Das erste Unternehmen, AnyCompany A, besitzt exampleA.com undexampleA.co.uk. Das zweite Unternehmen, AnyCompany B, besitztexampleB.com. Für dieses Beispiel haben Sie zwei eingerichtet IdPs, eine für jedes Unternehmen, wie folgt:

  • Für IdP A definieren Sie die IDs exampleA.com und exampleA.co.uk.

  • Für IdP-B definieren Sie die ID exampleB.com.

Rufen Sie in Ihrer App die verwaltete Anmeldung für Ihren App-Client auf, um jeden Benutzer zur Eingabe seiner E-Mail-Adresse aufzufordern. Amazon Cognito leitet die Domain von der E-Mail-Adresse ab, korreliert die Domain mit einem IdP mit einer Domain-ID und leitet Ihren Benutzer mit einer Anfrage an den, die einen Anforderungsparameter enthältAutorisieren des Endpunkts, an den richtigen IdP weiter. idp_identifier Wenn ein Benutzer beispielsweise eintritt, ist die nächste Seitebob@exampleA.co.uk, mit der er interagiert, die IdP-Anmeldeseite unter. https://auth.exampleA.co.uk/sso/saml

Sie können dieselbe Logik auch unabhängig voneinander implementieren. In Ihrer App können Sie ein benutzerdefiniertes Formular erstellen, das Benutzereingaben sammelt und sie gemäß Ihrer eigenen Logik mit dem richtigen IdP korreliert. Sie können benutzerdefinierte Portale für jeden Ihrer App-Mandanten generieren, wobei jedes Portal mit der ID des Mandanten in den Anforderungsparametern auf den Autorisierungsendpunkt verweist.

Um eine E-Mail-Adresse zu erfassen und die Domain bei der verwalteten Anmeldung zu analysieren, weisen Sie jedem SAML-IdP, den Sie Ihrem App-Client zugewiesen haben, mindestens eine Kennung zu. Standardmäßig zeigt der Anmeldebildschirm für die verwaltete Anmeldung eine Schaltfläche für jedes Element an IdPs, das Sie Ihrem App-Client zugewiesen haben. Wenn Sie jedoch erfolgreich Kennungen zugewiesen haben, sieht Ihre klassische Hosted UI-Anmeldeseite wie in der folgenden Abbildung aus.

Eine von Amazon Cognito verwaltete Anmeldeseite, auf der die lokale Benutzeranmeldung und die Aufforderung eines Verbundbenutzers zur Eingabe einer E-Mail-Adresse angezeigt werden.
Anmerkung

In der klassischen gehosteten Benutzeroberfläche werden Sie auf der Anmeldeseite für Ihren App-Client automatisch zur Eingabe einer E-Mail-Adresse aufgefordert, wenn Sie Ihrer E-Mail-Adresse Kennungen zuweisen. IdPs Bei der verwalteten Anmeldung müssen Sie dieses Verhalten im Branding-Designer aktivieren. Wählen Sie in der Kategorie Einstellungen für das Authentifizierungsverhalten unter der Überschrift Anbieteranzeige die Option Domain-Sucheingabe aus.

Die Domainanalyse bei verwalteter Anmeldung erfordert, dass Sie Domains als Ihre IdP-Identifikatoren verwenden. Wenn Sie jeder SAML IdPs für einen App-Client eine Kennung beliebigen Typs zuweisen, zeigt die verwaltete Anmeldung für diese App keine IDP-Auswahlschaltflächen mehr an. Fügen Sie IdP-Identifikatoren für SAML hinzu, wenn Sie E-Mail-Parsing oder benutzerdefinierte Logik zum Generieren von Weiterleitungen verwenden möchten. Wenn Sie unbeaufsichtigte Weiterleitungen generieren möchten und auch möchten, dass auf Ihren verwalteten Anmeldeseiten eine Liste von angezeigt wird IdPs, weisen Sie keine Kennungen zu und verwenden Sie den identity_provider Anforderungsparameter in Ihren Autorisierungsanfragen.

  • Wenn Sie Ihrem App-Client nur einen SAML-IdP zuweisen, wird auf der verwalteten Anmeldeseite eine Schaltfläche angezeigt, mit der Sie sich mit diesem IdP anmelden können.

  • Wenn Sie jedem SAML-IdP, den Sie für Ihren App-Client aktivieren, eine Kennung zuweisen, wird auf der verwalteten Anmeldeseite eine Benutzereingabeaufforderung für eine E-Mail-Adresse angezeigt.

  • Wenn Sie mehrere haben IdPs und nicht allen eine Kennung zuweisen, wird auf der Anmeldeseite für verwaltete Anmeldung eine Schaltfläche angezeigt, mit der Sie sich bei jedem zugewiesenen IdP anmelden können.

  • Wenn Sie Ihren Identifikatoren zugewiesen haben IdPs und Sie möchten, dass auf Ihren verwalteten Anmeldeseiten eine Auswahl von IdP-Schaltflächen angezeigt wird, fügen Sie Ihrem App-Client einen neuen IdP hinzu, der keine ID hat, oder erstellen Sie einen neuen App-Client. Sie können auch einen vorhandenen IdP löschen und ihn ohne ID erneut hinzufügen. Wenn Sie einen neuen IdP erstellen, erstellen Ihre SAML-Benutzer neue Benutzerprofile. Diese doppelte Anzahl aktiver Benutzer kann sich in dem Monat, in dem Sie Ihre IdP-Konfiguration ändern, auf die Abrechnung auswirken.

Weitere Informationen zur IdP-Einrichtung finden Sie unter Konfigurieren von Identitätsanbietern für Ihren Benutzerpool..

Related resources

Amazon Cognito-Benutzerpools API-Referenz
AWS CLI Befehle für Amazon Cognito-Benutzerpools
SDKs und Werkzeuge 

Related resources

Amazon Cognito-Benutzerpools API-Referenz
AWS CLI Befehle für Amazon Cognito-Benutzerpools
SDKs und Werkzeuge 
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.