Étape 3. Ajouter la connexion par réseaux sociaux à un groupe d'utilisateurs (Facultatif) - Amazon Cognito

Étape 3. Ajouter la connexion par réseaux sociaux à un groupe d'utilisateurs (Facultatif)

Vos utilisateurs d'application peuvent se connecter via un fournisseur d'identité sociale comme Facebook, Google, Amazon et Apple. Que vos utilisateurs se connectent directement ou via un tiers, ils ont tous un profil dans le groupe d'utilisateurs. Ignorez cette étape si vous ne souhaitez pas ajouter la connexion via un fournisseur d'identité de connexion par les réseaux sociaux.

Étape 1 : Inscription avec un fournisseur d'identité social

Avant de créer un fournisseur d'identité social avec Amazon Cognito, vous devez enregistrer votre application auprès du fournisseur d'identité social pour recevoir un ID client et une clé secrète de client.

  1. Créez un compte développeur avec Facebook.

  2. Connectez-vous avec vos informations d'identification Facebook.

  3. Dans le menu Mes applications, choisissez Créer une nouvelle application.

  4. Saisissez un nom pour votre application Facebook, puis choisissez Créer un ID d'app.

  5. Dans la barre de navigation de gauche, sélectionnez Paramètres, puis Basique.

  6. Notez l'ID d'app et la Clé secrète d'application. Vous les utiliserez dans la section suivante.

  7. Au bas de la page, choisissez + Ajouter une plateforme.

  8. Choisissez Site Web.

  9. Sous Site web, saisissez une URL de connexion pour le point de terminaison de votre client d'application dansSite URL. Le format de votre URL de connexion doit être au format suivant :

    https://your_user_pool_domain/login?response_type=code&client_id=your_app_client_id&redirect_uri=your_callback_url
  10. Choisissez Enregistrer les modifications.

  11. Pour App Domains (Domaines d'applications), saisissez le domaine de votre groupe d'utilisateurs.

    https://your_user_pool_domain
  12. Choisissez Enregistrer les modifications.

  13. Dans la barre de navigation, choisissez Produits, puis Configurer depuis Connexion avec Facebook.

  14. Dans la barre de navigation, choisissez Connexion avec Facebook, puis Paramètres.

    Saisissez votre URL de redirection dans le champ URL de redirection OAuth valide. L'URL de redirection sera constituée du domaine de votre groupe d'utilisateurs avec le champ /oauth2/idpresponse.

    https://your_user_pool_domain/oauth2/idpresponse
  15. Choisissez Enregistrer les modifications.

  1. Créez un compte développeur avec Amazon.

  2. Connectez-vous avec vos informations d'identification Amazon.

  3. Vous devez créer un profil de sécurité Amazon pour recevoir l'ID client et de la clé secrète de client Amazon.

    Choisissez Apps and Services (Applications et services) dans la barre de navigation en haut de la page, puis sélectionnez Login with Amazon.

  4. Sélectionnez Create a Security Profile (Créer un profil de sécurité).

  5. Saisissez un Nom du profil de sécurité, une Description du profil de sécurité et une URL de consentement à l'avis de confidentialité.

  6. Choisissez Enregistrer.

  7. Choisissez Client ID (ID client) et Client Secret (Secret client) pour afficher l'ID et le secret client. Vous les utiliserez dans la section suivante.

  8. Passez le curseur sur l'engrenage et choisissez l'icône Web Settings (Paramètres web), puis Modifier.

  9. Saisissez le domaine de votre groupe d'utilisateurs dans le champ Allowed Origins (Origines autorisées).

    https://<your-user-pool-domain>
  10. Saisissez le domaine de votre groupe d'utilisateurs avec le point de terminaison /oauth2/idpresponse dans Allowed Return URLs (URL de retour autorisées).

    https://<your-user-pool-domain>/oauth2/idpresponse
  11. Choisissez Enregistrer.

  1. Créez un compte développeur avec Google.

  2. Connectez-vous avec vos informations d'identification Google.

  3. Choisissez CONFIGURER UN PROJET.

  4. Saisissez un nom de projet, puis sélectionnez SUIVANT.

  5. Saisissez un nom de produit, puis choisissez SUIVANT.

  6. Choisissez Navigateur Web en réponse à la question D'où appelez-vous ?.

  7. Saisissez le domaine de votre groupe d'utilisateurs dans le champ Authorized JavaScript origins (Origines JavaScript autorisées).

    https://<your-user-pool-domain>
  8. Choisissez CREATE (CREER). Vous n'utiliserez pas l'ID client et la Clé secrète du client à partir de cette étape.

  9. Choisissez DONE (TERMINÉ).

  10. Connectez-vous à la console Google.

  11. Dans la barre de navigation de gauche, sélectionnez Credentials (Informations d'identification).

  12. Créez vos informations d'identification OAuth 2.0 en choisissant OAuth client ID (ID client OAuth) dans la liste déroulante Create credentials (Créer des informations d'identification).

  13. Choisissez Application Web.

  14. Saisissez le domaine de votre groupe d'utilisateurs dans le champ Authorized JavaScript origins (Origines JavaScript autorisées).

    https://<your-user-pool-domain>
  15. Saisissez le domaine de votre groupe d'utilisateurs avec le point de terminaison /oauth2/idpresponse dans les URI de redirection autorisés.

    https://<your-user-pool-domain>/oauth2/idpresponse
  16. Cliquez deux fois sur Créer.

  17. Notez l'ID client OAuth et la clé secrète du client. Vous en aurez besoin pour la section suivante.

  18. Sélectionnez OK.

  1. Créez un compte développeur Apple.

  2. Connectez-vous avec vos informations d'identification Apple.

  3. Dans la barre de navigation de gauche, choisissez Certificates, IDs & Profiles (Certificats, ID et profils).

  4. Dans la barre de navigation de gauche, choisissez Identifiers (Identifiants).

  5. Dans la page Identifiers (Identifiants), choisissez l'icône +.

  6. Dans la page Register a New Identifier (Enregistrer un nouvel identifiant), choisissez App IDs (ID application), puis Continue (Continuer).

  7. Dans la page Register an App ID (Enregistrer un ID d'application), procédez comme suit :

    1. Dans Description, saisissez une description.

    2. Sous App ID Prefix (Préfixe d'ID d'application), saisissez un identifiant. Notez la valeur sous Make a note of the value under (Préfixe d'ID d'application). Vous utiliserez cette valeur après avoir choisi Apple comme fournisseur d'identité dans Étape 2 : Ajout d'un fournisseur d'identité social à votre groupe d'utilisateurs.

    3. Sous Capabilities (Capacités), choisissez Sign In with Apple (Connexion avec Apple), puis Edit (Modifier).

    4. Dans la page Connexion avec Apple : configuration de l'ID d'application, sélectionnez le paramètre adéquat pour votre application, puis choisissez Enregistrer.

    5. Choisissez Continuer.

  8. Dans la page Confirm your App ID (Confirmer votre ID d'application), choisissez Register (Inscrire).

  9. Dans la page Identifiers, pointez sur App IDs sur le côté droit de la page, choisissez Services IDs, puis choisissez l'icône +.

  10. Dans la page Register a New Identifier (Enregistrer un nouvel identifiant), choisissez Services IDs (ID de service), puis Continue (Continuer).

  11. Dans la page Register an App ID (Enregistrer un ID d'application), procédez comme suit :

    1. Dans Description, saisissez une description.

    2. Sous Identifier (Identifiant), saisissez un identifiant. Notez les ID de ces services, car vous en aurez besoin après avoir choisi Apple comme fournisseur d'identité dans Étape 2 : Ajout d'un fournisseur d'identité social à votre groupe d'utilisateurs.

    3. Sélectionnez Sign In with Apple (Connexion avec Apple), puis choisissez Configure (Configurer).

    4. Dans la page Web Authentication Configuration (Configuration de l'authentification web), choisissez un Primary App ID (ID d'application principale). Sous Web Domain (Domaine web), saisissez le domaine de votre groupe d'utilisateurs. Sous Return URLs (URL de retour), saisissez le domaine de votre groupe d'utilisateurs avec le point de terminaison /oauth2/idpresponse. Par exemple :

      https://<your-user-pool-domain>/oauth2/idpresponse
    5. Choisissez Add (Ajouter), puis Save (Enregistrer). Aucune vérification du domaine n'est nécessaire.

    6. Choisissez Continue (Continuer), puis Register (Enregistrer).

  12. Dans la barre de navigation de gauche, choisissez Keys (Clés).

  13. Dans la page Keys (Clés), choisissez l'icône +.

  14. Dans la page Register a New Key (Enregistrer une nouvelle clé), procédez comme suit :

    1. Sous Key Name (Nom de clé), saisissez un nom de clé.

    2. Sélectionnez Sign In with Apple (Connexion avec Apple), puis choisissez Configure (Configurer).

    3. Dans la page Configure Key (Configurer la clé), choisissez un Primary App ID (ID d'application principal), puis Save (Enregistrer).

    4. Choisissez Continue (Continuer), puis Register (Enregistrer).

  15. Dans la page Télécharger votre clé, choisissez Télécharger pour télécharger la clé privée, puis choisissez Terminé. Vous aurez besoin de cette clé privée et de la valeur Key ID (ID de clé) affichées sur cette page après avoir choisi Apple comme fournisseur d'identité dans Étape 2 : Ajout d'un fournisseur d'identité social à votre groupe d'utilisateurs.

Étape 2 : Ajout d'un fournisseur d'identité social à votre groupe d'utilisateurs

Dans cette section, vous configurez un fournisseur d'identité social dans votre groupe d'utilisateurs à l'aide de l'ID client et de la clé secrète du client de la section précédente.

Original console

Pour configurer un fournisseur d'identité social pour votre groupe d'utilisateurs avec la AWS Management Console

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, saisissez vos informations d'identification AWS.

  2. Sélectionnez Gérer les groupes d'utilisateurs.

  3. Choisissez un groupe d'utilisateurs existant dans la liste ou créez-en un.

  4. Dans la barre de navigation de gauche, sélectionnez Identity providers (Fournisseurs d'identité).

  5. Choisissez un fournisseur d'identité social : Facebook, Google, Login with Amazon ou Apple.

  6. Choisissez l'une des étapes suivantes, en fonction du fournisseur d'identité sociale de votre choix :

    • Google et Login with Amazon : Saisissez l'ID du client d'application et la clé secrète du client générés dans la section précédente.

    • Facebook : Saisissez l'ID du client d'application et la clé secrète du client générés dans la section précédente, puis choisissez une version d'API (par exemple, la version 2.12). Nous recommandons de choisir la dernière version possible, car chaque API Facebook a un cycle de vie et une date de dépréciation. Les périmètres et attributs Facebook peuvent varier d'une version d'API à l'autre. Nous vous recommandons de tester votre connexion d'identité sociale avec Facebook pour vous assurer que la fédération fonctionne comme prévu.

    • Sign In with Apple : Saisissez l'ID de services, l'ID d'équipe, l'ID de clé, et la clé privée générés dans la section précédente.

  7. Saisissez les noms des périmètres que vous souhaitez autoriser. Les périmètres définissent les attributs d'utilisateur (tels que name et email) auxquels vous souhaitez accéder avec votre application. Pour Facebook, ils doivent être séparés par des virgules. Pour Google et Login with Amazon, ils doivent être séparés par des espaces. Pour Sign in with Apple (Connexion avec Apple), activez les cases des périmètres auxquelles vous souhaitez accéder.

    Fournisseur d'identité social Exemple de règles
    Facebook public_profile, email
    Google profile email openid
    Login with Amazon profile postal_code
    Se connecter avec Apple email name

    L'utilisateur de l'application est invité à accepter de fournir ces attributs à votre application. Pour plus d'informations sur leurs portées, consultez la documentation Google, Facebook, Login with Amazon et Connexion avec Apple.

    Dans le cas de Sign in with Apple, les scénarios d'utilisation où les périmètres ne peuvent pas être renvoyés sont les suivants :

    • Un utilisateur final rencontre une erreur après avoir quitté la page Apple de connexion (erreur interne au sein d'Amazon Cognito ou toute autre erreur écrite par le développeur).

    • L'identifiant de service est utilisé à travers les groupes d'utilisateurs et/ou autres services d'authentification.

    • Un développeur ajoute des périmètres supplémentaires après que l'utilisateur s'est connecté (aucune nouvelle information n'est extraite).

    • Un développeur supprime l'utilisateur et l'utilisateur se connecte à nouveau sans supprimer l'application de son profil Apple

  8. Choisissez Enable (Activer) pour le fournisseur d'identité social que vous configurez.

  9. Dans la barre de navigation, sélectionnez App client settings (Paramètres du client d'application).

  10. Sélectionnez votre fournisseur d'identité social comme l'un des Fournisseurs d'identité activés pour l'application de votre groupe d'utilisateurs.

  11. Saisissez votre URL de rappel dans le champ URL de rappel pour l'application de votre groupe d'utilisateurs. Il s'agit de l'URL de la page vers laquelle l'utilisateur est redirigé après une authentification réussie.

    https://www.example.com
  12. Choisissez Enregistrer les modifications.

  13. Dans l'onglet Attribute mapping (Mappage d'attribut), ajoutez des mappages au moins pour les attributs requis, en général email, comme suit :

    1. Sélectionnez la case à cocher pour choisir le nom d'attribut Facebook, Google ou Amazon. Vous pouvez également entrer les noms d'attributs supplémentaires qui ne sont pas répertoriés dans la console Amazon Cognito.

    2. Sélectionnez l'attribut du groupe d'utilisateurs de destination dans la liste déroulante.

    3. Choisissez Enregistrer les modifications.

    4. Choisissez Go to summary (Aller au récapitulatif).

New console

Pour configurer un fournisseur d'identité social pour votre groupe d'utilisateurs avec la AWS Management Console

  1. Accédez à la console Amazon Cognito. Il se peut que vous soyez invité à saisir vos informations d'identification AWS.

  2. Choisissez Groupes d'utilisateurs.

  3. Choisissez un groupe d'utilisateurs existant dans la liste ou créez un groupe d'utilisateurs.

  4. Choisissez l'onglet Expérience de connexion. Localisez la Session fédéréeet sélectionnez Ajouter un fournisseur d'identité.

  5. Choisissez un fournisseur d'identité social : Facebook, Google, Login with Amazon ou Se connecter sur Apple.

  6. Choisissez l'une des étapes suivantes, en fonction du fournisseur d'identité sociale de votre choix :

    • Google et Login with Amazon : Saisissez l'ID du client d'application et la clé secrète du client générés dans la section précédente.

    • Facebook : Saisissez l'ID du client d'application et la clé secrète du client générés dans la section précédente, puis choisissez une version d'API (par exemple, la version 2.12). Nous recommandons de choisir la dernière version possible, car chaque API Facebook a un cycle de vie et une date de dépréciation. Les périmètres et attributs Facebook peuvent varier d'une version d'API à l'autre. Nous vous recommandons de tester votre connexion d'identité sociale avec Facebook pour vous assurer que la fédération fonctionne comme prévu.

    • Se connecter avec Apple : Saisissez l'ID de service, l'ID d'équipe, l'ID de clé, et la clé privée générés dans la section précédente.

  7. Saisissez les noms des périmètres autorisés que vous voulez utiliser. Les périmètres définissent les attributs d'utilisateur (tels que name et email) auxquels vous souhaitez accéder avec votre application. Pour Facebook, ils doivent être séparés par des virgules. Pour Google et Login with Amazon, ils doivent être séparés par des espaces. Pour Sign in with Apple (Connexion avec Apple), activez les cases des périmètres auxquelles vous souhaitez accéder.

    Fournisseur d'identité social Exemple de règles
    Facebook public_profile, email
    Google profile email openid
    Login with Amazon profile postal_code
    Se connecter avec Apple email name

    L'utilisateur de l'application est invité à accepter de fournir ces attributs à votre application. Pour plus d'informations sur les périmètres d'application des fournisseurs sociaux, consultez la documentation de Google, Facebook, Login with Amazon et Login with Apple.

    Dans le cas de Sign in with Apple, les scénarios d'utilisation où les périmètres ne peuvent pas être renvoyés sont les suivants :

    • Un utilisateur final rencontre une erreur après avoir quitté la page Apple de connexion (erreur interne au sein d'Amazon Cognito ou toute autre erreur écrite par le développeur).

    • L'identifiant de service est utilisé à travers les groupes d'utilisateurs et/ou autres services d'authentification.

    • Un développeur ajoute des périmètres supplémentaires après que l'utilisateur s'est connecté (aucune nouvelle information n'est extraite).

    • Un développeur supprime l'utilisateur et l'utilisateur se connecte à nouveau sans supprimer l'application de son profil Apple

  8. Mappez les attributs de votre fournisseur d'identité à votre groupe d'utilisateurs. Pour de plus amples informations, veuillez consulter Spécification des mappages d'attribut du fournisseur d'identité pour votre groupe d'utilisateurs.

  9. Sélectionnez Créer un .

  10. De l'onglet Intégration du client d'application, choisissez l'un des Clients d'application dans la liste et Modifier les paramètres d'interface utilisateur hébergée. Ajoutez le nouveau fournisseur d'identité sociale au client d' l'application sous Fournisseurs d'identité.

  11. Choisissez Enregistrer les modifications.

Étape 3 : Test de la configuration de votre fournisseur d'identité social

Vous pouvez créer une URL de connexion en utilisant les éléments des deux sections précédentes. Utilisez-les pour tester votre configuration de fournisseur d'identité social.

https://<your_user_pool_domain>/login?response_type=code&client_id=<your_client_id>&redirect_uri=https://www.example.com

Votre domaine se trouve sur la page de la console répertoriant le nom de domaine du groupe d'utilisateurs. L'ID client se trouve sur la page Paramètres du client d'application. Utilisez votre URL de rappel pour le paramètre redirect_uri. Il s'agit de l'URL de la page vers laquelle l'utilisateur est redirigé après une authentification réussie.

Note

Amazon Cognito annule les demandes d'authentification qui ne se terminent pas dans les 5 minutes et redirige l'utilisateur vers l'interface utilisateur hébergée. La page affiche un message d'erreur Something went wrong.

Étape suivante

Étape 4. Ajouter la connexion à un groupe d'utilisateurs avec un fournisseur d'identité SAML (Facultatif)