Ajouter la connexion à un groupe d'utilisateurs avec un fournisseur d'identité SAML (Facultatif) - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajouter la connexion à un groupe d'utilisateurs avec un fournisseur d'identité SAML (Facultatif)

Vous pouvez autoriser la connexion des utilisateurs de l'application via un fournisseur d'identité SAML. Que vos utilisateurs se connectent directement ou via un tiers, ils ont tous un profil dans le groupe d'utilisateurs. Ignorez cette étape si vous ne souhaitez pas ajouter la connexion via un fournisseur d'identité SAML.

Vous devez mettre à jour votre fournisseur d'identité SAML et configurer votre groupe d'utilisateurs. Consultez la documentation de votre fournisseur d'identité SAML pour plus d'informations sur la façon d'ajouter votre groupe d'utilisateurs en tant que partie utilisatrice ou application dans votre fournisseur d'identité SAML 2.0.

Vous devez également fournir un point de terminaison consommateur d'assertion à votre fournisseur d'identité SAML. Configurez le point de terminaison suivant dans le domaine de votre groupe d'utilisateurs pour la liaison POST SAML 2.0 dans votre fournisseur d'identité SAML. Pour plus d'informations sur les domaines de groupes d’utilisateurs, consultez Configuration d'un domaine de groupe d'utilisateurs.

https://Your user pool domain/saml2/idpresponse With an Amazon Cognito domain: https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse With a custom domain: https://Your custom domain/saml2/idpresponse

Le préfixe de domaine et la valeur de la région pour votre groupe d'utilisateurs sont disponibles sous l'onglet Nom de domaine de la console Amazon Cognito.

Pour certains fournisseurs d'identité SAML, vous devrez également fournir les valeurs urn/Audience URI/SP Entity ID dans la fiche :

urn:amazon:cognito:sp:<yourUserPoolID>

L'ID de votre groupe d'utilisateurs se trouve dans l'onglet Paramètres généraux de la console Amazon Cognito.

Vous devez également configurer votre fournisseur d'identité SAML afin qu'il fournisse des valeurs d'attributs pour tous les attributs requis dans votre groupe d'utilisateurs. Généralement, email est un attribut requis pour les groupes d'utilisateurs. Dans ce cas, le fournisseur d'identité SAML doit fournir une valeur email (revendication) dans l'assertion SAML.

Les groupes d'utilisateurs Amazon Cognito prennent en charge la fédération SAML 2.0 avec points de terminaison de liaison postérieure. Ainsi, votre application n'a plus besoin d'analyser ou de récupérer les réponses d'assertion SAML côté client, étant donné que l'utilisateur reçoit la réponse SAML de votre fournisseur d'identité via un agent utilisateur.

Pour configurer un fournisseur d'identité SAML 2.0 dans votre groupe d'utilisateurs
  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, saisissez vos informations d’identification AWS.

  2. Choisissez Groupes d’utilisateurs.

  3. Choisissez un groupe d’utilisateurs existant dans la liste ou créez un groupe d’utilisateurs.

  4. Choisissez l'onglet Expérience de connexion. Localisez la Session fédéréeet sélectionnez Ajouter un fournisseur d'identité.

  5. Choisissez un SAML fournisseur d'identité social.

  6. Saisissez Identifiants séparés par des virgules. Un identifiant indique à Amazon Cognito qu'il doit vérifier l'adresse électronique qu'un utilisateur saisit lorsqu'il se connecte, puis le redirige vers le fournisseur correspondant à son domaine.

  7. Choisissez Ajouter un flux de déconnexion si vous souhaitez qu'Amazon Cognito envoie des demandes de déconnexion signées à votre fournisseur lorsqu'un utilisateur se déconnecte. Vous devez configurer votre fournisseur d'identité SAML 2.0 afin qu'il envoie les réponses de déconnexion au point de terminaison https://<your Amazon Cognito domain>/saml2/logout créé lorsque vous configurez l'interface utilisateur hébergée. Ce point de terminaison saml2/logout utilise la liaison POST.

    Note

    Si cette option est sélectionnée et que votre fournisseur d'identité SAML attend une demande de déconnexion signée, vous devez également configurer le certificat de signature fourni par Amazon Cognito avec votre IdP SAML.

    l'IdP SAML traite la demande de déconnexion signée et déconnecte votre utilisateur de la session Amazon Cognito.

  8. Choisissez une Source du document de métadonnées. Si votre fournisseur d'identité propose des métadonnées SAML à une URL publique, vous pouvez choisir Metadata document URL (URL du document de métadonnées) et saisir cette URL publique. Sinon, choisissez Upload metadata documen (Charger un document de métadonnées) et sélectionnez un fichier de métadonnées que vous avez téléchargé depuis votre fournisseur précédemment.

    Note

    Nous vous recommandons d'entrer une URL de document de métadonnées si votre fournisseur dispose d'un point de terminaison public, au lieu de télécharger un fichier. En effet, cela permet à Amazon Cognito de rafraîchir les métadonnées automatiquement. En règle générale, l'actualisation des métadonnées a lieu toutes les 6 heures ou avant l'expiration des métadonnées, selon la première éventualité.

  9. Sélectionnez Mappage des attributs entre votre fournisseur SAML et votre application pour mapper les attributs du fournisseur SAML au profil utilisateur de votre groupe d'utilisateurs. Incluez les attributs requis de votre groupe d'utilisateurs dans votre carte attributaire.

    Par exemple, lorsque vous choisissez le champ groupe d'utilisateurs email, saisissez le nom de l'attribut SAML tel qu'il apparaît dans l'assertion SAML de votre fournisseur d'identité. Votre fournisseur d'identité peut proposer des exemples d'assertions SAML à titre de référence. Certains fournisseurs d'identité utilisent des noms simples, comme email, tandis que d'autres utilisent des noms d'attributs au format URL, tels que l'exemple suivant :

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  10. Choisissez Créer.

Pour plus d’informations, consultez Ajout de fournisseurs d'identité SAML à un groupe d'utilisateurs..