Verwenden von SAML Identitätsanbietern mit einem Benutzerpool

Sie können wählen, dass sich Ihre Web- und mobilen App-Benutzer über einen SAML Identitätsanbieter (IdP) wie Microsoft Active Directory Federation Services (ADFS) oder Shibboleth anmelden. Sie müssen einen SAML IdP wählen, der den SAML2.0-Standard unterstützt.

Mit der gehosteten Benutzeroberfläche und den Verbundendpunkten authentifiziert Amazon Cognito lokale IdP-Benutzer und Drittanbieter-IdP-Benutzer und gibt JSON Web-Token aus (). JWTs Mit den Tokens, die Amazon Cognito ausgibt, können Sie mehrere Identitätsquellen zu einem universellen OpenID Connect (OIDC) -Standard für all Ihre Apps konsolidieren. Amazon Cognito kann SAML Assertions Ihrer Drittanbieter in diesen SSO Standard umwandeln. Sie können einen SAML IdP in den AWS Management Console, über oder mit den Amazon Cognito Cognito-Benutzerpools erstellen und verwalten. AWS CLI API Informationen zum Erstellen Ihres ersten SAML IdP in der finden Sie AWS Management Console unterHinzufügen und Verwalten von SAML Identitätsanbietern in einem Benutzerpool.

Anmerkung

Der Verbund mit Anmeldung über einen Drittanbieter-IdP ist eine Funktion der Amazon Cognito Cognito-Benutzerpools. Amazon Cognito-Identitätspools, manchmal auch Amazon Cognito Federated Identities genannt, sind eine Implementierung von Federation, die Sie in jedem Identitätspool separat einrichten müssen. Ein Benutzerpool kann ein Drittanbieter-IdP für einen Identitätspool sein. Weitere Informationen finden Sie unter Amazon-Cognito-Identitätspools.

Kurzreferenz für die IdP-Konfiguration

Sie müssen Ihren SAML IdP so konfigurieren, dass er Anfragen akzeptiert und Antworten an Ihren Benutzerpool sendet. Die Dokumentation für Ihren SAML IdP enthält Informationen darüber, wie Sie Ihren Benutzerpool als vertrauende Partei oder Anwendung für Ihren SAML 2.0-IdP hinzufügen können. Die folgende Dokumentation enthält die Werte, die Sie für die SP-Entitäts-ID und den Assertion-Consumer-Service () angeben müssen. ACS URL

Kurzübersicht zu den SAML Werten des Benutzerpools

SP-Entitäts-ID

urn:amazon:cognito:sp:us-east-1_EXAMPLE

ACS URL

https://Your user pool domain/saml2/idpresponse

Sie müssen Ihren Benutzerpool so konfigurieren, dass er Ihren Identitätsanbieter unterstützt. Die allgemeinen Schritte zum Hinzufügen eines externen SAML IdP lauten wie folgt.

1. Laden Sie SAML Metadaten von Ihrem IdP herunter oder rufen Sie URL sie auf Ihrem Metadaten-Endpunkt ab. Siehe Konfiguration Ihres externen Identitätsanbieters SAML.

2. Fügen Sie Ihrem Benutzerpool einen neuen IdP hinzu. Laden Sie die SAML Metadaten hoch oder stellen Sie die Metadaten URL bereit. Siehe Hinzufügen und Verwalten von SAML Identitätsanbietern in einem Benutzerpool.

3. Weisen Sie den IdP Ihren App-Clients zu. Siehe App-Clients für Benutzerpools

Themen

• Wissenswertes SAML IdPs zu Amazon Cognito Cognito-Benutzerpools
• Berücksichtigung von Groß- und Kleinschreibung bei SAML Benutzernamen
• Hinzufügen und Verwalten von SAML Identitätsanbietern in einem Benutzerpool
• SAMLSitzungsinitiierung in Amazon Cognito Cognito-Benutzerpools
• Verwenden Sie die SP-initiierte Anmeldung SAML
• Verwenden der vom IDP initiierten Anmeldung SAML
• SAMLAblauf der Abmeldung
• SAMLSignierung und Verschlüsselung
• SAMLNamen und Kennungen von Identitätsanbietern
• Konfiguration Ihres externen Identitätsanbieters SAML

Berücksichtigung von Groß- und Kleinschreibung bei SAML Benutzernamen

Wenn ein Verbundbenutzer versucht, sich anzumelden, übergibt der SAML Identitätsanbieter (IdP) in der Assertion des Benutzers einen eindeutigen NameId Wert für Amazon Cognito. SAML Amazon Cognito identifiziert einen SAML Verbundbenutzer anhand seines Anspruchs. NameId Unabhängig von den Einstellungen für die Berücksichtigung von Groß- und Kleinschreibung in Ihrem Benutzerpool erkennt Amazon Cognito einen zurückkehrenden Verbundbenutzer von einem SAML IdP, wenn dieser seinen eindeutigen Antrag unter Berücksichtigung der Groß- und Kleinschreibung weitergibt. NameId Wenn Sie ein Attribut wie email NameId zuordnen und Ihr Benutzer seine E-Mail-Adresse ändert, kann er sich nicht bei Ihrer App anmelden.

Ordnen NameId Sie Ihre SAML Assertionen von einem IdP-Attribut zu, dessen Werte sich nicht ändern.

Beispiel: Carlos hat in Ihrem Benutzerpool, bei dem Groß- und Kleinschreibung nicht berücksichtigt wird, ein Benutzerprofil aus einer Active Directory Federation Services (ADFS) SAML -Assertion, an die ein Wert von übergeben wurde. NameId Carlos@example.com Wenn Carlos das nächste Mal versucht, sich anzumelden, übergibt Ihr ADFS IdP einen NameId Wert voncarlos@example.com. Da die Groß- und Kleinschreibung von NameId exakt übereinstimmen muss, ist die Anmeldung nicht erfolgreich.

Wenn Ihre Benutzer sich nicht anmelden können, nachdem sich ihre NameID geändert hat, löschen Sie ihre Benutzerprofile aus Ihrem Benutzerpool. Amazon Cognito erstellt bei der nächsten Anmeldung neue Benutzerprofile.

Themen

• Hinzufügen und Verwalten von SAML Identitätsanbietern in einem Benutzerpool
• SAMLSitzungsinitiierung in Amazon Cognito Cognito-Benutzerpools
• Verwenden Sie die SP-initiierte Anmeldung SAML
• Verwenden der vom IDP initiierten Anmeldung SAML
• SAMLAblauf der Abmeldung
• SAMLSignierung und Verschlüsselung
• SAMLNamen und Kennungen von Identitätsanbietern
• Konfiguration Ihres externen Identitätsanbieters SAML