Agregar y administrar proveedores de SAML identidad en un grupo de usuarios - Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Agregar y administrar proveedores de SAML identidad en un grupo de usuarios

Tras configurar su proveedor de identidad para que funcione con Amazon Cognito, podrá añadirlo a sus grupos de usuarios y clientes de aplicaciones. Los siguientes procedimientos muestran cómo crear, modificar y eliminar SAML proveedores en un grupo de usuarios de Amazon Cognito.

AWS Management Console

Puede usar el AWS Management Console para crear y eliminar proveedores de SAML identidad (IdPs).

Antes de crear un SAML IdP, debe tener el documento de SAML metadatos que obtiene del IdP de terceros. Para obtener instrucciones sobre cómo obtener o generar el documento de SAML metadatos necesario, consulte. Configurar tu proveedor de SAML identidad externo

Para configurar un IdP SAML 2.0 en su grupo de usuarios

  1. Vaya a la consola de Amazon Cognito. Si se le solicita, escriba sus credenciales de AWS .

  2. Elija User Pools (Grupos de usuarios).

  3. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  4. Elija la pestaña Sign-in experience (Experiencia de inicio de sesión). Localice Federated sign-in (Inicio de sesión federado) y elija Add an identity provider (Añadir un proveedor de identidad).

  5. Elija un SAMLIdP.

  6. Introduzca un nombre de proveedor. Puede pasar este nombre descriptivo en un parámetro de identity_provider solicitud alAutorizar punto de conexión.

  7. Introduzca Identificadores separados por comas. Un identificador indica a Amazon Cognito que debe comprobar la dirección de correo electrónico que introduce un usuario al iniciar sesión y, a continuación, dirigirlo al proveedor que corresponda a su dominio.

  8. Elija Add sign-out flow (Añadir flujo de cierre de sesión) si desea que Amazon Cognito envíe solicitudes de cierre de sesión firmadas a su proveedor cuando un usuario cierra la sesión. Debe configurar su IdP SAML 2.0 para enviar respuestas de cierre de sesión al https://mydomain.us-east-1.amazoncognito.com/saml2/logout punto final que se crea al configurar la interfaz de usuario alojada. El saml2/logout punto final utiliza POST el enlace.

    nota

    Si selecciona esta opción y su SAML IdP espera una solicitud de cierre de sesión firmada, también debe proporcionarle a su SAML IdP el certificado de firma de su grupo de usuarios.

    El SAML IDP procesará la solicitud de cierre de sesión firmada y cerrará la sesión del usuario de Amazon Cognito.

  9. Elija la configuración de inicio de SAMLsesión iniciada por el IdP. Como práctica recomendada de seguridad, elige Aceptar solo las aserciones iniciadas por el SP SAML. Si ha preparado su entorno para aceptar de forma segura las sesiones de inicio de SAML sesión no solicitadas, elija Aceptar aserciones iniciadas por SP e iniciadas por IdP. SAML Para obtener más información, consulte SAMLinicio de sesión en grupos de usuarios de Amazon Cognito.

  10. Seleccione un Origen de documentos de metadatos. Si su IdP ofrece SAML metadatos de forma públicaURL, puede elegir el documento de metadatos URL e introducir ese público. URL En caso contrario, elija Upload metadata document (Cargar documento de metadatos) y seleccione un archivo de metadatos que haya descargado anteriormente de su proveedor.

    nota

    Le recomendamos que introduzca un documento de metadatos URL si su proveedor tiene un dispositivo de punto final público en lugar de cargar un archivo. Amazon Cognito actualiza automáticamente los metadatos a partir de los metadatos. URL Normalmente, los metadatos se actualizan cada seis horas o antes de que caduquen, lo que ocurra primero.

  11. Asigne los atributos entre su SAML proveedor y su grupo de usuarios para asignar los atributos del SAML proveedor al perfil de usuario de su grupo de usuarios. Incluya los atributos requeridos del grupo de usuarios en la asignación de atributos.

    Por ejemplo, cuando elija el atributo Grupo de usuariosemail, introduzca el nombre del SAML atributo tal como aparece en la SAML afirmación de su IdP. Si tu IdP ofrece ejemplos de SAML aserciones, puedes usar estas aserciones de ejemplo para ayudarte a encontrar el nombre. Algunas IdPs usan nombres simples, comoemail, mientras que otras usan nombres como los siguientes.

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  12. Seleccione Crear.

API/CLI

Use los siguientes comandos para crear y administrar un proveedor de SAML identidades (IdP).

Para crear un IdP y cargar un documento de metadatos

  • AWS CLI: aws cognito-idp create-identity-provider

    Ejemplo con archivo de metadatos: aws cognito-idp create-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-type SAML --provider-details file:///details.json --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    Donde details.json contiene:

    "ProviderDetails": { 
      "MetadataFile": "<SAML metadata XML>",
      "IDPSignout" : "true",
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}
    nota

    Si el archivo de <SAML metadata XML> contiene cualquier instancia del personaje", debes agregarla \ como personaje de escape:\".

    Ejemplo con metadatosURL: aws cognito-idp create-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-type SAML --provider-details MetadataURL=https://myidp.example.com/sso/saml/metadata --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • AWS API: CreateIdentityProvider

Para cargar un nuevo documento de metadatos para un proveedor de identidades (IdP)

  • AWS CLI: aws cognito-idp update-identity-provider

    Ejemplo con archivo de metadatos: aws cognito-idp update-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-details file:///details.json --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    Donde details.json contiene:

    "ProviderDetails": { 
      "MetadataFile": "<SAML metadata XML>",
      "IDPSignout" : "true",
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}
    nota

    Si el archivo de <SAML metadata XML> contiene cualquier instancia del personaje", debes agregar \ como personaje de escape:\".

    Ejemplo con metadatosURL: aws cognito-idp update-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-details MetadataURL=https://myidp.example.com/sso/saml/metadata --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • AWS API: UpdateIdentityProvider

Para obtener información acerca de un IdP específico

  • AWS CLI: aws cognito-idp describe-identity-provider

    aws cognito-idp describe-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1

  • AWS API: DescribeIdentityProvider

Para enumerar información sobre todos IdPs

  • AWS CLI: aws cognito-idp list-identity-providers

    Ejemplo: aws cognito-idp list-identity-providers --user-pool-id us-east-1_EXAMPLE --max-results 3

  • AWS API: ListIdentityProviders

Para eliminar un proveedor de identidad

  • AWS CLI: aws cognito-idp delete-identity-provider

    aws cognito-idp delete-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1

  • AWS API: DeleteIdentityProvider

Para configurar el SAML IdP para añadir un grupo de usuarios como parte de confianza

  • El proveedor de servicios de grupos de usuarios URN es:urn:amazon:cognito:sp:us-east-1_EXAMPLE. Amazon Cognito requiere un valor de restricción de audiencia que coincida con este URN en la SAML respuesta. Configure su IdP para que utilice el siguiente punto final de POST enlace para el mensaje de IdP-to-SP respuesta.

    https://mydomain.us-east-1.amazoncognito.com/saml2/idpresponse

  • Su SAML IdP debe completar la afirmación NameID y todos los atributos necesarios para su grupo de usuarios. SAML NameIDse utiliza para identificar de forma exclusiva al usuario SAML federado en el grupo de usuarios. Su IdP debe pasar el ID de SAML nombre de cada usuario en un formato coherente y que distinga entre mayúsculas y minúsculas. Cualquier variación en el valor del ID de nombre de un usuario crea un nuevo perfil de usuario.

Para proporcionar un certificado de firma a su SAML versión 2.0 IDP

  • Para descargar una copia de la clave pública de Amazon Cognito que su IdP pueda utilizar para validar las solicitudes de SAML cierre de sesión, seleccione la pestaña Experiencia de inicio de sesión de su grupo de usuarios, seleccione su IdP y, en Ver certificado de firma, seleccione Descargar como .crt.

Puede eliminar cualquier SAML proveedor que haya configurado en su grupo de usuarios con la consola de Amazon Cognito.

Para eliminar un proveedor SAML

  1. Inicie sesión en la consola de Amazon Cognito.

  2. En el panel de navegación, elija User Pools (Grupos de usuarios), y elija el grupo de usuarios que desea editar.

  3. Seleccione la pestaña Experiencia de inicio de sesión y busque el inicio de sesión con un proveedor de identidad federado.

  4. Selecciona el botón de radio situado junto al SAML IdPs que deseas eliminar.

  5. Cuando se le pida que elimine el proveedor de identidad, introduzca el nombre del SAML proveedor para confirmar la eliminación y, a continuación, seleccione Eliminar.