Étape 4. Ajouter la connexion à un groupe d'utilisateurs avec un fournisseur d'identité SAML (Facultatif) - Amazon Cognito

Étape 4. Ajouter la connexion à un groupe d'utilisateurs avec un fournisseur d'identité SAML (Facultatif)

Vous pouvez autoriser la connexion des utilisateurs de l'application via un fournisseur d'identité SAML. Que vos utilisateurs se connectent directement ou via un tiers, ils ont tous un profil dans le groupe d'utilisateurs. Ignorez cette étape si vous ne souhaitez pas ajouter la connexion via un fournisseur d'identité SAML.

Vous devez mettre à jour votre fournisseur d'identité SAML et configurer votre groupe d'utilisateurs. Consultez la documentation de votre fournisseur d'identité SAML pour plus d'informations sur la façon d'ajouter votre groupe d'utilisateurs en tant que partie utilisatrice ou application dans votre fournisseur d'identité SAML 2.0.

Vous devez également fournir un point de terminaison consommateur d'assertion à votre fournisseur d'identité SAML. La configuration de ce point de terminaison pour la liaison POST SAML 2.0 dans votre fournisseur d'identité SAML :

https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse

Le préfixe de domaine et la valeur de la région pour votre groupe d'utilisateurs sont disponibles sous l'onglet Nom de domaine de la console Amazon Cognito.

Pour certains fournisseurs d'identité SAML, vous devrez également fournir les valeurs urn/Audience URI/SP Entity ID dans la fiche :

urn:amazon:cognito:sp:<yourUserPoolID>

L'ID de votre groupe d'utilisateurs se trouve dans l'onglet Paramètres généraux de la console Amazon Cognito.

Vous devez également configurer votre fournisseur d'identité SAML afin qu'il fournisse des valeurs d'attributs pour tous les attributs requis dans votre groupe d'utilisateurs. Généralement, email est un attribut requis pour les groupes d'utilisateurs. Dans ce cas, le fournisseur d'identité SAML doit fournir une valeur email (demande) dans l'assertion SAML.

Les groupes d'utilisateurs Amazon Cognito prennent en charge la fédération SAML 2.0 avec points de terminaison de liaison postérieure. Ainsi, votre application n'a plus besoin d'analyser ou de récupérer les réponses d'assertion SAML côté client, étant donné que l'utilisateur reçoit la réponse SAML de votre fournisseur d'identité via un agent utilisateur.

Original console

Pour configurer un fournisseur d'identité SAML 2.0 dans votre groupe d'utilisateurs

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, saisissez vos informations d'identification AWS.

  2. Sélectionnez Gérer les groupes d'utilisateurs.

  3. Choisissez un groupe d'utilisateurs existant dans la liste ou créez-en un.

  4. Dans la barre de navigation de gauche, sélectionnez Identity providers (Fournisseurs d'identité).

  5. Choisissez SAML pour ouvrir la boîte de dialogue SAML.

  6. Sous Document de métadonnées, chargez un document de métadonnées depuis votre IdP SAML. Vous pouvez également saisir une URL qui pointe vers le document de métadonnées. Pour plus d'informations, consultez Intégration de fournisseurs d'identité SAML tiers avec des groupes d'utilisateurs Amazon Cognito.

    Note

    Nous vous recommandons de fournir l'URL du point de terminaison s'il s'agit d'un point de terminaison public, plutôt que de charger un fichier, car cela permet à Amazon Cognito d'actualiser les métadonnées automatiquement. En règle générale, l'actualisation des métadonnées a lieu toutes les 6 heures ou avant l'expiration des métadonnées, selon la première éventualité.

  7. Saisissez le nom de votre fournisseur SAML. Pour plus d'informations sur l'attribution d'un nom SAML, consultez Choix de noms de fournisseur d'identité SAML.

  8. Indiquez tous les identifiants SAML facultatifs que vous souhaitez utiliser.

  9. Sélectionnez Enable IdP sign out flow (Activer le flux de déconnexion des fournisseurs d'identité) si vous voulez que votre utilisateur soit déconnecté à la fois d'Amazon Cognito et du SAML IdP lorsqu'il se déconnecte de votre groupe d'utilisateurs.

    L'activation de ce flux envoie une demande de déconnexion signée au fournisseur d'identité SAML lors de l'appel du Logout-endpoint.

    Configurez ce point de terminaison pour le traitement des réponses de déconnexion par votre IdP. Ce point de terminaison utilise les liaisons POST.

    https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/logout
    Note

    Si cette option est sélectionnée et que votre fournisseur d'identité SAML attend une demande de déconnexion signée, vous devez également configurer le certificat de signature fourni par Amazon Cognito avec votre IdP SAML.

    Le SAML IdP traitera la demande de déconnexion signée et déconnectera votre utilisateur de la session Amazon Cognito.

  10. Choisissez Create provider (Créer un fournisseur).

  11. Dans l'onglet Attribute mapping (Mappage d'attribut), ajoutez des mappages au moins pour les attributs requis, en général email, comme suit :

    1. Saisissez le nom de l'attribut SAML tel qu'il apparaît dans l'assertion SAML de votre fournisseur d'identité. Votre fournisseur d'identité peut proposer des exemples d'assertions SAML à titre de référence. Certains fournisseurs d'identité utilisent des noms simples, commeemail, tandis que d'autres utilisent des noms d'attributs au format URL, tels que l'exemple suivant :

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    2. Sélectionnez l'attribut du groupe d'utilisateurs de destination dans la liste déroulante.

  12. Choisissez Enregistrer les modifications.

  13. Choisissez Go to summary (Aller au récapitulatif).

New console

Pour configurer un fournisseur d'identité SAML 2.0 dans votre groupe d'utilisateurs

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, saisissez vos informations d'identification AWS.

  2. Choisissez Groupes d'utilisateurs.

  3. Choisissez un groupe d'utilisateurs existant dans la liste ou créez un groupe d'utilisateurs.

  4. Choisissez l'onglet Expérience de connexion. Localisez la Session fédéréeet sélectionnez Ajouter un fournisseur d'identité.

  5. Choisissez un SAML fournisseur d'identité social.

  6. Saisissez Identifiants séparés par des virgules. Un identifiant indique à Amazon Cognito qu'il doit vérifier l'adresse électronique qu'un utilisateur saisit lorsqu'il se connecte, puis le redirige vers le fournisseur correspondant à son domaine.

  7. Choisissez Ajouter un flux de déconnexion si vous souhaitez qu'Amazon Cognito envoie des demandes de déconnexion signées à votre fournisseur lorsqu'un utilisateur se déconnecte. Vous devez configurer votre fournisseur d'identité SAML 2.0 afin qu'il envoie les réponses de déconnexion au point de terminaison https://<your Amazon Cognito domain>/saml2/logout créé lorsque vous configurez l'interface utilisateur hébergée. Ce point de terminaison saml2/logout utilise la liaison POST.

    Note

    Si cette option est sélectionnée et que votre fournisseur d'identité SAML attend une demande de déconnexion signée, vous devez également configurer le certificat de signature fourni par Amazon Cognito avec votre IdP SAML.

    l'IdP SAML traite la demande de déconnexion signée et déconnecte votre utilisateur de la session Amazon Cognito.

  8. Choisissez une Source du document de métadonnées. Si votre fournisseur d'identité propose des métadonnées SAML à une URL publique, vous pouvez choisir Metadata document URL (URL du document de métadonnées) et saisir cette URL publique. Sinon, choisissez Upload metadata documen (Charger un document de métadonnées) et sélectionnez un fichier de métadonnées que vous avez téléchargé depuis votre fournisseur précédemment.

    Note

    Nous vous recommandons d'entrer une URL de document de métadonnées si votre fournisseur dispose d'un point de terminaison public, au lieu de télécharger un fichier. En effet, cela permet à Amazon Cognito de rafraîchir les métadonnées automatiquement. En règle générale, l'actualisation des métadonnées a lieu toutes les 6 heures ou avant l'expiration des métadonnées, selon la première éventualité.

  9. Sélectionnez Mappage des attributs entre votre fournisseur SAML et votre application pour mapper les attributs du fournisseur SAML au profil utilisateur de votre groupe d'utilisateurs. Incluez les attributs requis de votre groupe d'utilisateurs dans votre carte attributaire.

    Par exemple, lorsque vous choisissez le champ groupe d'utilisateurs email, saisissez le nom de l'attribut SAML tel qu'il apparaît dans l'assertion SAML de votre fournisseur d'identité. Votre fournisseur d'identité peut proposer des exemples d'assertions SAML à titre de référence. Certains fournisseurs d'identité utilisent des noms simples, comme email, tandis que d'autres utilisent des noms d'attributs au format URL, tels que l'exemple suivant :

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  10. Sélectionnez Créer un .

Pour plus d'informations, consultez Ajout de fournisseurs d'identité SAML à un groupe d'utilisateurs..