SAMLNamen und Kennungen von Identitätsanbietern - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SAMLNamen und Kennungen von Identitätsanbietern

Wenn Sie Ihre SAML Identitätsanbieter (IdPs) benennen und IdP-Identifikatoren zuweisen, können Sie den Fluss von SP-initiierten An- und Abmeldeanfragen an diesen Anbieter automatisieren. Informationen zu Zeichenketteneinschränkungen für den Anbieternamen finden Sie in der Eigenschaft von. ProviderName CreateIdentityProvider

Authentifizierungsflussdiagramm der von Amazon Cognito SP initiierten SAML Anmeldung mit einer IdP-ID und der gehosteten Benutzeroberfläche. Der Benutzer gibt eine E-Mail-Adresse für die gehostete Benutzeroberfläche an und Amazon Cognito leitet ihn automatisch an seinen Anbieter weiter.

Sie können auch bis zu 50 Identifikatoren für Ihre SAML Anbieter auswählen. Ein Identifier ist ein benutzerfreundlicher Name für einen IdP in Ihrem Benutzerpool und muss innerhalb des Benutzerpools eindeutig sein. Wenn Ihre SAML Kennungen mit den E-Mail-Domains Ihrer Benutzer übereinstimmen, fordert die von Amazon Cognito gehostete Benutzeroberfläche die E-Mail-Adresse jedes Benutzers an, bewertet die Domain in seiner E-Mail-Adresse und leitet ihn an den IdP weiter, der seiner Domain entspricht. Da dieselbe Organisation mehrere Domains besitzen kann, kann ein einzelner IdP mehrere Identifikatoren haben.

Unabhängig davon, ob Sie E-Mail-Domain-IDs verwenden oder nicht, können Sie Identifikatoren in einer Mehrmandanten-App verwenden, um Benutzer zum richtigen IdP weiterzuleiten. Wenn Sie die gehostete Benutzeroberfläche vollständig umgehen möchten, können Sie die Links, die Sie Benutzern präsentieren, so anpassen, dass sie Autorisieren des Endpunkts direkt zu ihrem IdP weiterleiten. Um Ihre Benutzer mit einer Kennung anzumelden und zu ihrem IdP weiterzuleiten, fügen Sie die Kennung in das Format idp_identifier=myidp.example.com in die Anforderungsparameter ihrer ersten Autorisierungsanfrage ein.

Eine andere Methode, um einen Benutzer an Ihren IdP weiterzuleiten, besteht darin, den Parameter identity_provider mit dem Namen Ihres IdP im folgenden Format zu füllen. URL

https://mydomain.us-east-1.amazoncognito.com/oauth2/authorize?
response_type=code&
identity_provider=MySAMLIdP&
client_id=1example23456789&
redirect_uri=https://www.example.com

Nachdem sich ein Benutzer mit Ihrem SAML IdP angemeldet hat, leitet Ihr IdP ihn mit einer SAML Antwort im HTTP POST Text an Ihren /saml2/idpresponse Endpunkt weiter. Amazon Cognito verarbeitet die SAML Behauptung und leitet, wenn die Ansprüche in der Antwort den Erwartungen entsprechen, an Ihren App-Client-Callback weiter. URL Nachdem Ihr Benutzer die Authentifizierung auf diese Weise abgeschlossen hat, hat er nur mit Webseiten für Ihren IdP und Ihre App interagiert.

Mit IdP-Identifikatoren in einem Domain-Format fordert die von Amazon Cognito gehostete Benutzeroberfläche bei der Anmeldung E-Mail-Adressen an und leitet die Benutzer dann, wenn die E-Mail-Domain mit einer IdP-ID übereinstimmt, zur Anmeldeseite für ihren IdP weiter. Sie erstellen beispielsweise eine App, für die sich Mitarbeiter zweier verschiedener Unternehmen anmelden müssen. Das erste Unternehmen, AnyCompany A, besitzt exampleA.com undexampleA.co.uk. Das zweite Unternehmen, AnyCompany B, besitztexampleB.com. Für dieses Beispiel haben Sie zwei eingerichtet IdPs, eine für jedes Unternehmen, wie folgt:

  • Für IdP A definieren Sie die IDs exampleA.com und exampleA.co.uk.

  • Für IdP-B definieren Sie die ID exampleB.com.

Rufen Sie in Ihrer App die gehostete Benutzeroberfläche für Ihren App-Client auf, um jeden Benutzer zur Eingabe seiner E-Mail-Adresse aufzufordern. Amazon Cognito leitet die Domain von der E-Mail-Adresse ab, korreliert die Domain mit einem IdP mit einer Domain-ID und leitet Ihren Benutzer mit einer Anfrage an den, die einen Anforderungsparameter enthältAutorisieren des Endpunkts, an den richtigen IdP weiter. idp_identifier Wenn ein Benutzer beispielsweise eintritt, ist die nächste Seitebob@exampleA.co.uk, mit der er interagiert, die IdP-Anmeldeseite unter. https://auth.exampleA.co.uk/sso/saml

Sie können dieselbe Logik auch unabhängig voneinander implementieren. In Ihrer App können Sie ein benutzerdefiniertes Formular erstellen, das Benutzereingaben sammelt und sie gemäß Ihrer eigenen Logik mit dem richtigen IdP korreliert. Sie können benutzerdefinierte App-Portale für jeden Ihrer App-Mandanten generieren, wobei jedes Portal mit der ID des Mandanten in den Anforderungsparametern auf den Autorisierungsendpunkt verweist.

Um eine E-Mail-Adresse zu erfassen und die Domain in der gehosteten Benutzeroberfläche zu analysieren, weisen Sie jedem SAML IdP, den Sie Ihrem App-Client zugewiesen haben, mindestens eine Kennung zu. Standardmäßig zeigt der Anmeldebildschirm der gehosteten Benutzeroberfläche eine Schaltfläche für jedes Element an IdPs , das Sie Ihrem App-Client zugewiesen haben. Wenn Sie jedoch erfolgreich Kennungen zugewiesen haben, sieht Ihre gehostete UI-Anmeldeseite wie in der folgenden Abbildung aus.

Eine Anmeldeseite der gehosteten Amazon-Cognito-Benutzeroberfläche, die die lokale Benutzeranmeldung und eine Aufforderung für einen Verbundbenutzer zur Eingabe einer E-Mail-Adresse anzeigt.

Das Domain-Parsing in der gehosteten Benutzeroberfläche erfordert, dass Sie Domains als Ihre IdP-Identifikatoren verwenden. Wenn Sie jedem der Bezeichner SAML IdPs für einen App-Client einen beliebigen Typ zuweisen, zeigt die gehostete Benutzeroberfläche für diese App keine IDP-Auswahlschaltflächen mehr an. Fügen Sie IdP-Identifikatoren hinzuSAML, wenn Sie E-Mail-Parsing oder benutzerdefinierte Logik verwenden möchten, um Weiterleitungen zu generieren. Wenn Sie unbeaufsichtigte Weiterleitungen generieren möchten und auch möchten, dass Ihre gehostete Benutzeroberfläche eine Liste davon anzeigt IdPs, weisen Sie keine Kennungen zu und verwenden Sie den identity_provider Anforderungsparameter in Ihren Autorisierungsanfragen.

  • Wenn Sie Ihrem App-Client nur einen SAML IdP zuweisen, wird auf der gehosteten UI-Anmeldeseite eine Schaltfläche angezeigt, mit der Sie sich mit diesem IdP anmelden können.

  • Wenn Sie jedem SAML IdP, den Sie für Ihren App-Client aktivieren, eine ID zuweisen, wird auf der gehosteten UI-Anmeldeseite eine Benutzereingabeaufforderung für eine E-Mail-Adresse angezeigt.

  • Wenn Sie mehrere haben IdPs und nicht allen eine ID zuweisen, wird auf der gehosteten UI-Anmeldeseite eine Schaltfläche angezeigt, mit der Sie sich bei jedem zugewiesenen IdP anmelden können.

  • Wenn Sie Ihrem Identifier zugewiesen haben IdPs und Sie möchten, dass Ihre gehostete Benutzeroberfläche eine Auswahl von IdP-Schaltflächen anzeigt, fügen Sie Ihrem App-Client einen neuen IdP hinzu, der keine ID hat, oder erstellen Sie einen neuen App-Client. Sie können auch einen vorhandenen IdP löschen und ihn ohne ID erneut hinzufügen. Wenn Sie einen neuen IdP erstellen, erstellen Ihre SAML Benutzer neue Benutzerprofile. Diese doppelte Anzahl aktiver Benutzer kann sich in dem Monat, in dem Sie Ihre IdP-Konfiguration ändern, auf die Abrechnung auswirken.

Weitere Informationen zur IdP-Einrichtung finden Sie unter Konfigurieren von Identitätsanbietern für Ihren Benutzerpool..