Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Ajouter la connexion à un groupe d'utilisateurs avec un fournisseur d'identité SAML (Facultatif)
Vous pouvez autoriser la connexion des utilisateurs de l'application via un fournisseur d'identité SAML. Que vos utilisateurs se connectent directement ou via un tiers, ils ont tous un profil dans le groupe d'utilisateurs. Ignorez cette étape si vous ne souhaitez pas ajouter la connexion via un fournisseur d'identité SAML.
Pour plus d’informations, consultez Utilisation de fournisseurs d'identité SAML avec un groupe d'utilisateurs.
Vous devez mettre à jour votre fournisseur d'identité SAML et configurer votre groupe d'utilisateurs. Pour plus d'informations sur la façon d'ajouter votre groupe d'utilisateurs en tant que partie de confiance ou application pour votre fournisseur d'identité SAML 2.0, consultez la documentation de votre fournisseur d'identité SAML.
Vous devez également fournir un point de terminaison ACS (Assertion Consumer Service) à votre fournisseur d'identité SAML. Configurez le point de terminaison suivant dans le domaine de votre groupe d'utilisateurs pour la liaison POST SAML 2.0 dans votre fournisseur d'identité SAML. Pour plus d'informations sur les domaines du groupe d'utilisateurs, consultezConfiguration d'un domaine de groupe d'utilisateurs.
https://Your user pool domain/saml2/idpresponse With an Amazon Cognito domain: https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse With a custom domain: https://Your custom domain/saml2/idpresponse
Vous trouverez le préfixe de votre domaine et la valeur de région pour votre groupe d'utilisateurs dans l'onglet Nom de domaine de la console Amazon Cognito
Pour certains fournisseurs d'identité SAML, vous devez également fournir le fournisseur de services (SP)urn, également appelé URI d'audience ou ID d'entité SP, au format suivant :
urn:amazon:cognito:sp:<yourUserPoolID>
L'ID de votre groupe d'utilisateurs se trouve dans l'onglet Paramètres généraux de la console Amazon Cognito
Vous devez également configurer votre fournisseur d'identité SAML afin qu'il fournisse des valeurs d'attributs pour tous les attributs requis dans votre groupe d'utilisateurs. Généralement, email est un attribut requis pour les groupes d'utilisateurs. Dans ce cas, le fournisseur d'identité SAML doit fournir une valeur email (revendication) dans l'assertion SAML.
Les groupes d'utilisateurs Amazon Cognito prennent en charge la fédération SAML 2.0 avec points de terminaison de liaison postérieure. Votre application n'a donc plus besoin de récupérer ou d'analyser les réponses aux assertions SAML, car le groupe d'utilisateurs reçoit directement la réponse SAML de votre fournisseur d'identité via un agent utilisateur.
Pour configurer un fournisseur d'identité SAML 2.0 dans votre groupe d'utilisateurs
-
Accédez à la console Amazon Cognito
. Si vous y êtes invité, entrez vos AWS informations d'identification. -
Choisissez Groupes d’utilisateurs.
-
Choisissez un groupe d’utilisateurs existant dans la liste ou créez un groupe d’utilisateurs.
-
Choisissez l'onglet Expérience de connexion. Localisez la Session fédéréeet sélectionnez Ajouter un fournisseur d'identité.
-
Choisissez un SAML fournisseur d'identité social.
-
Saisissez Identifiants séparés par des virgules. Un identifiant indique à Amazon Cognito qu'il doit vérifier l'adresse e-mail saisie par un utilisateur lorsqu'il se connecte. Il les dirige ensuite vers le fournisseur correspondant à leur domaine.
-
Choisissez Ajouter un flux de déconnexion si vous souhaitez qu'Amazon Cognito envoie des demandes de déconnexion signées à votre fournisseur lorsqu'un utilisateur se déconnecte. Vous devez configurer votre fournisseur d'identité SAML 2.0 afin qu'il envoie les réponses de déconnexion au point de terminaison
https://créé lorsque vous configurez l'interface utilisateur hébergée. Le<your Amazon Cognito domain>/saml2/logoutsaml2/logoutpoint de terminaison utilise la liaison POST.Note
Si cette option est sélectionnée et que votre fournisseur d'identité SAML attend une demande de déconnexion signée, vous devrez également configurer le certificat de signature fourni par Amazon Cognito avec votre IdP SAML.
L'IdP SAML traitera la demande de déconnexion signée et déconnectera votre utilisateur de la session Amazon Cognito.
-
Choisissez une Source du document de métadonnées. Si votre fournisseur d'identité propose des métadonnées SAML à une URL publique, vous pouvez choisir Metadata document URL (URL du document de métadonnées) et saisir cette URL publique. Sinon, choisissez Upload metadata documen (Charger un document de métadonnées) et sélectionnez un fichier de métadonnées que vous avez téléchargé depuis votre fournisseur précédemment.
Note
Nous vous recommandons de saisir l'URL d'un document de métadonnées si votre fournisseur dispose d'un point de terminaison public, plutôt que de télécharger un fichier. Cela permet à Amazon Cognito d'actualiser automatiquement les métadonnées. En règle générale, l'actualisation des métadonnées a lieu toutes les 6 heures ou avant l'expiration des métadonnées, selon la première éventualité.
-
Sélectionnez Mappage des attributs entre votre fournisseur SAML et votre application pour mapper les attributs du fournisseur SAML au profil utilisateur de votre groupe d'utilisateurs. Incluez les attributs requis de votre groupe d'utilisateurs dans votre carte attributaire.
Par exemple, lorsque vous choisissez le champ groupe d'utilisateurs
email, saisissez le nom de l'attribut SAML tel qu'il apparaît dans l'assertion SAML de votre fournisseur d'identité. Votre fournisseur d'identité peut proposer des exemples d'assertions SAML à titre de référence. Certains fournisseurs d'identité utilisent des noms simples, commeemail, tandis que d'autres utilisent des noms d'attributs au format URL, tels que l'exemple suivant :http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress -
Sélectionnez Create (Créer).
