Agregue un proveedor de identidad SAML 2.0

Los usuarios de tu aplicación pueden iniciar sesión con un proveedor de identidad (IdP) SAML 2.0. Puede elegir la SAML versión 2.0 IdPs en lugar de las redes sociales IdPs si sus clientes son clientes internos o empresas vinculadas a su organización. Si un IdP social permite que todos los usuarios se registren en una cuenta, es más probable que un SAML IdP se vincule con un directorio de usuarios que controle su organización. Tanto si los usuarios inician sesión directamente o a través de un tercero, todos los usuarios tienen un perfil en el grupo de usuarios. Omita este paso si no quiere añadir el inicio de sesión a través de un proveedor de SAML identidad.

Para obtener más información, consulte Uso de proveedores de SAML identidad con un grupo de usuarios.

Debe actualizar su proveedor de SAML identidad y configurar su grupo de usuarios. Para obtener información sobre cómo agregar su grupo de usuarios como parte de confianza o aplicación para su proveedor de identidad SAML 2.0, consulte la documentación de su proveedor de SAML identidad.

También debes proporcionar un punto final de servicio al consumidor (ACS) de confirmación a tu proveedor de SAML identidad. Configure el siguiente punto final en el dominio de su grupo de usuarios para el POST enlace SAML 2.0 en su proveedor de SAML identidad. Para obtener más información sobre los dominios de grupos de usuarios, consulteConfiguración de un dominio del grupo de usuarios.

https://Your user pool domain/saml2/idpresponse
With an Amazon Cognito domain:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
With a custom domain:
https://Your custom domain/saml2/idpresponse

Puede encontrar el prefijo de dominio y el valor de región de su grupo de usuarios en la pestaña Nombre de dominio de la consola de Amazon Cognito.

En el caso de algunos proveedores de SAML identidad, también debe proporcionar el proveedor de servicios (SP)urn, también denominado audiencia URI o ID de entidad del SP, en el formato:

urn:amazon:cognito:sp:<yourUserPoolID>

El ID del grupo de usuarios se encuentra en la pestaña General settings (Configuración general) de la consola de Amazon Cognito.

También debe configurar su proveedor de SAML identidades para que proporcione valores de atributo para cualquier atributo que sea necesario en su grupo de usuarios. Normalmente, email es un atributo obligatorio para grupos de usuarios. En ese caso, el proveedor de SAML identidad debe proporcionar un email valor (afirmación) en la SAML afirmación.

Los grupos de usuarios de Amazon Cognito admiten la federación SAML 2.0 con puntos de enlace posteriores al enlace. Esto elimina la necesidad de que la aplicación recupere o analice las respuestas a las SAML afirmaciones, ya que el grupo de usuarios recibe directamente la SAML respuesta de su proveedor de identidad a través de un agente de usuario.

Para configurar un proveedor de identidades SAML 2.0 en su grupo de usuarios

1. Vaya a la consola de Amazon Cognito. Si se le solicita, introduzca sus AWS credenciales.

2. Elija User Pools (Grupos de usuarios).

3. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

4. Elija la pestaña Sign-in experience (Experiencia de inicio de sesión). Localice Federated sign-in (Inicio de sesión federado) y luego seleccione Add an identity provider (Agregar un proveedor de identidad).

5. Elige un proveedor de identidad SAMLsocial.

6. Introduzca Identificadores separados por comas. Un identificador indica a Amazon Cognito que debe comprobar la dirección de correo electrónico que el usuario introduce al iniciar sesión. A continuación, los dirige al proveedor correspondiente a su dominio.

7. Elija Add sign-out flow (Añadir flujo de cierre de sesión) si desea que Amazon Cognito envíe solicitudes de cierre de sesión firmadas a su proveedor cuando un usuario cierra la sesión. Debe configurar su proveedor de identidades SAML 2.0 para que envíe las respuestas de cierre de sesión al https://<your Amazon Cognito domain>/saml2/logout punto final que se creó al configurar la interfaz de usuario alojada. El saml2/logout punto final usa el POST enlace.

   nota

   Si selecciona esta opción y su proveedor de SAML identidad espera una solicitud de cierre de sesión firmada, también tendrá que configurar el certificado de firma que proporciona Amazon Cognito con su SAML IDP.

   El SAML IDP procesará la solicitud de cierre de sesión firmada y cerrará la sesión del usuario de Amazon Cognito.

8. Seleccione un Origen de documentos de metadatos. Si su proveedor de identidad ofrece SAML los metadatos de forma públicaURL, puede elegir el documento de metadatos URL e introducir ese público. URL En caso contrario, elija Upload metadata document (Cargar documento de metadatos) y seleccione un archivo de metadatos que haya descargado anteriormente de su proveedor.

   nota

   Le recomendamos que introduzca un documento de metadatos URL si su proveedor tiene un dispositivo de punto final público, en lugar de cargar un archivo. Esto permite a Amazon Cognito actualizar los metadatos automáticamente. Normalmente, los metadatos se actualizan cada seis horas o antes de que caduquen, lo que ocurra primero.

9. Seleccione Asignar atributos entre su SAML proveedor y su aplicación para asignar los atributos del SAML proveedor al perfil de usuario de su grupo de usuarios. Incluya los atributos requeridos del grupo de usuarios en la asignación de atributos.

   Por ejemplo, cuando elija el atributo Grupo de usuariosemail, introduzca el nombre del SAML atributo tal como aparece en la SAML afirmación de su proveedor de identidad. Es posible que tu proveedor de identidad te ofrezca ejemplos de SAML afirmaciones como referencia. Algunos proveedores de identidad utilizan nombres sencillos, por ejemploemail, mientras que otros utilizan nombres URL de atributos con formato, como en el ejemplo siguiente:

   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

10. Seleccione Crear.