Configuration des fournisseurs d'identités pour votre groupe d'utilisateurs - Amazon Cognito
Configuration d'une connexion utilisateur avec un fournisseur d'identité socialConfigurer la connexion utilisateur avec un IdP OIDCConfigurer la connexion utilisateur avec un IdP SAML

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des fournisseurs d'identités pour votre groupe d'utilisateurs

Avec les groupes d'utilisateurs, vous pouvez implémenter la connexion par le biais de divers fournisseurs d'identité externes (IdPs). Cette section du guide contient des instructions pour configurer ces fournisseurs d'identité avec votre groupe d'utilisateurs dans la console Amazon Cognito. Vous pouvez également utiliser les groupes d'utilisateurs API et an AWS SDK pour ajouter par programmation des fournisseurs d'identité aux groupes d'utilisateurs. Pour plus d'informations, consultez CreateIdentityProvider.

Les options de fournisseur d'identité prises en charge incluent les fournisseurs de réseaux sociaux tels que Facebook, Google et Amazon, ainsi que les fournisseurs OpenID Connect (OIDC) et SAML 2.0. Avant de commencer, configurez-vous les informations d'identification administratives de votre IdP. Pour chaque type de fournisseur, vous devez enregistrer votre application, obtenir les informations d'identification nécessaires, puis configurer les détails du fournisseur dans votre groupe d'utilisateurs. Vos utilisateurs peuvent ensuite s'inscrire et se connecter à votre application avec leurs comptes existants auprès des fournisseurs d'identité connectés.

L'onglet Expérience de connexion sous Connexion au fournisseur d'identité fédéré ajoute et met à jour le groupe d'utilisateurs. IdPs Pour de plus amples informations, veuillez consulter Ajout de la connexion du groupe d'utilisateurs via un tiers.

Configuration d'une connexion utilisateur avec un fournisseur d'identité social

Vous pouvez utiliser une fédération pour intégrer des groupes d'utilisateurs Amazon Cognito à des fournisseurs d'identité sociaux tels que Facebook, Google et Login with Amazon.

Pour ajouter un fournisseur d'identité social, vous devez d'abord créer un compte développeur à l'aide du fournisseur d'identité. Une fois que vous disposez de votre compte développeur, inscrivez votre application avec le fournisseur d'identité. Le fournisseur d'identité crée un ID d'application et une clé secrète d'application pour votre application, tandis que vous configurez ces valeurs dans vos groupes d'utilisateurs Amazon Cognito.

Pour intégrer la connexion utilisateur à un fournisseur d'identité social

  1. Connectez-vous à la console Amazon Cognito. Si vous y êtes invité, entrez vos AWS informations d'identification.

  2. Dans le volet de navigation, choisissez Groupes d'utilisateurs, puis choisissez le groupe d'utilisateurs que vous souhaitez modifier.

  3. Choisissez l'onglet Sign-in experience (Expérience de connexion) et localisez Federated sign-in (Connexion fédérée).

  4. Choisissez Add an identity provider (Ajouter un fournisseur d'identité) ou choisissez le fournisseur d'identité Facebook, Google, Amazon ou Apple que vous avez configuré, localisez Identity provider information (Informations sur le fournisseur d'identité) et choisissez Edit (Modifier). Pour plus d'informations sur l'ajout de fournisseurs d'identité sociaux, consultez Utilisation de fournisseurs d'identité sociale avec un pool d'utilisateurs.

  5. Saisissez les informations de votre fournisseur d'identité sociale en effectuant l'une des étapes suivantes, en fonction de votre choix d'IdP :

    Facebook, Google et Login with Amazon

    Saisissez l'ID d'application et le secret d'application que vous avez reçus lors de la création de votre application cliente.

    Connexion avec Apple

    Saisissez l'ID de service que vous avez fourni à Apple, ainsi que l'ID d'équipe, l'ID de clé et la clé privée que vous avez reçus lors de la création de votre client d'application.

  6. Pour Authorized scopes (Périmètres autorisés), saisissez les noms des périmètres de fournisseur d'identité social à mapper aux attributs de groupe d'utilisateurs. Les portées définissent les attributs d'utilisateur comme le nom et l'adresse e-mail auxquels vous souhaitez accéder avec votre application. Lorsque vous saisissez des portées, suivez les directives suivantes en fonction de votre choix de fournisseur d'identité :

    • Facebook : séparez les périmètre par des virgules. Par exemple :

      public_profile, email

    • Google, Login with Amazon et Sign in with Apple : séparez les périmètres par des espaces. Par exemple :

      • Google :profile email openid

      • Login with Amazon :profile postal_code

      • Sign in with Apple :name email

        Note

        Pour Sign In with Apple (console), utilisez les cases à cocher pour les sélectionner.

  7. Sélectionnez Enregistrer les modifications.

  8. De l'onglet Intégration du client d'application, choisissez l'un des Clients d'application dans la liste, puis choisissez Modifier les paramètres d'interface utilisateur hébergée. Ajoutez le nouveau fournisseur d'identité sociale au client de l'application sous Fournisseurs d'identité.

  9. Sélectionnez Enregistrer les modifications.

Pour plus d'informations sur les réseaux sociaux IdPs, consultezUtilisation de fournisseurs d'identité sociale avec un pool d'utilisateurs.

Configurer la connexion utilisateur avec un IdP OIDC

Vous pouvez intégrer la connexion utilisateur à un fournisseur d'identité (IdP) OpenID OIDC Connect () tel que Salesforce ou Ping Identity.

Pour ajouter un OIDC fournisseur à un groupe d'utilisateurs

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, entrez vos AWS informations d'identification.

  2. Choisissez Groupes d'utilisateurs dans le menu de navigation.

  3. Choisissez un groupe d’utilisateurs existant dans la liste ou créez un groupe d’utilisateurs.

  4. Choisissez l'onglet Expérience de connexion. Localisez Ouverture de session fédérée et sélectionnez Ajout d'un fournisseur d'identité.

  5. Choisir un fournisseur d'identité OpenID Connect

  6. Saisissez un nom unique dans le champ Nom du fournisseur.

  7. Saisissez l'ID client que vous avez reçu de votre fournisseur dans Client ID (ID client).

  8. Saisissez le secret client que vous avez reçu de votre fournisseur dans Client secret (Secret client).

  9. Saisissez les périmètres d'autorisation pour ce fournisseur. Les périmètres définissent les groupes d'attributs utilisateur (tels que name et email) que votre demande demandera à votre fournisseur. Les étendues doivent être séparées par des espaces, conformément à la spécification OAuth2.0.

    L'utilisateur doit accepter de fournir ces attributs à votre application.

  10. Choisissez une méthode de demande d'attribut pour fournir à Amazon Cognito la HTTP méthode (l'une GET ou l'autrePOST) qu'Amazon Cognito utilise pour récupérer les informations de l'utilisateur depuis userInfole point de terminaison géré par votre fournisseur.

  11. Choisissez une méthode de configuration pour récupérer les points de terminaison OpenID Connect soit par remplissage automatique via l'émetteur URL, soit par saisie manuelle. Utilisez l'émetteur de remplissage automatique URL lorsque votre fournisseur dispose d'un point de .well-known/openid-configuration terminaison public sur lequel Amazon Cognito peut récupérer URLs les points de authorization terminaisontoken,userInfo, jwks_uri et.

  12. Entrez l'émetteur URL ouauthorization, tokenuserInfo, et le point de jwks_uri terminaison URLs de votre IdP.

    Note

    Vous ne pouvez utiliser que les numéros de port 443 et 80 avec détection, remplis automatiquement et saisis URLs manuellement. Les connexions utilisateur échouent si votre OIDC fournisseur utilise des ports non standardTCP.

    L'émetteur URL doit commencer par un https:// caractère et ne doit pas se terminer par un / caractère. Par exemple, Salesforce utilise ceci URL :

    https://login.salesforce.com

    Le openid-configuration document associé à votre émetteur URL doit fournir HTTPS URLs les valeurs suivantes :authorization_endpoint, token_endpointuserinfo_endpoint, etjwks_uri. De même, lorsque vous choisissez Saisie manuelle, vous ne pouvez que saisir HTTPSURLs.

  13. Le OIDC sous-claim est mappé par défaut à l'attribut Username du groupe d'utilisateurs. Vous pouvez associer d'autres OIDC revendications aux attributs du groupe d'utilisateurs. Entrez la OIDC réclamation et sélectionnez l'attribut du groupe d'utilisateurs correspondant dans la liste déroulante. Par exemple, l'e-mail de demande est souvent mappé à l'e-mail de l'attribut de groupe d'utilisateurs.

  14. Mappez d'autres attributs de votre fournisseur d'identité à votre groupe d'utilisateurs. Pour de plus amples informations, veuillez consulter Spécification des mappages d'attribut du fournisseur d'identité pour votre groupe d'utilisateurs.

  15. Sélectionnez Create (Créer).

  16. Dans l'onglet Intégration du client d'application, sélectionnez l'un des Clients d'application dans la liste et Modifier les paramètres d'interface utilisateur hébergée. Ajoutez le nouveau fournisseur OIDC d'identité au client de l'application sous Fournisseurs d'identité.

  17. Sélectionnez Enregistrer les modifications.

Pour plus d'informations sur OIDC IdPs, voirUtilisation de fournisseurs OIDC d'identité avec un pool d'utilisateurs.

Configurer la connexion utilisateur avec un IdP SAML

Vous pouvez utiliser la fédération pour les groupes d'utilisateurs Amazon Cognito afin de les intégrer à un fournisseur d'SAMLidentité (IdP). Vous fournissez un document de métadonnées, soit en téléchargeant le fichier, soit en saisissant un point de terminaison URL du document de métadonnées. Pour plus d'informations sur l'obtention de documents de métadonnées pour des tiers SAML IdPs, consultezConfiguration de votre fournisseur SAML d'identité tiers.

Pour configurer un fournisseur d'identité SAML 2.0 dans votre groupe d'utilisateurs

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, entrez vos AWS informations d'identification.

  2. Choisissez Groupes d’utilisateurs.

  3. Choisissez un groupe d’utilisateurs existant dans la liste ou créez un groupe d’utilisateurs.

  4. Choisissez l'onglet Expérience de connexion. Localisez Ouverture de session fédérée et sélectionnez Ajout d'un fournisseur d'identité.

  5. Choisissez un fournisseur SAMLd'identité.

  6. Saisissez Identifiants séparés par des virgules. Un identifiant indique à Amazon Cognito qu'il doit vérifier l'adresse e-mail de connexion de l'utilisateur, puis rediriger l'utilisateur vers le fournisseur correspondant à son domaine.

  7. Choisissez Ajouter un flux de déconnexion si vous souhaitez qu'Amazon Cognito envoie des demandes de déconnexion signées à votre fournisseur lorsqu'un utilisateur se déconnecte. Configurez votre fournisseur d'identité SAML 2.0 pour envoyer des réponses de déconnexion au https://mydomain.us-east-1.amazoncognito.com/saml2/logout point de terminaison créé par Amazon Cognito lorsque vous configurez l'interface utilisateur hébergée. Le saml2/logout point de terminaison utilise la POST liaison.

    Note

    Si vous sélectionnez cette option et que votre fournisseur SAML d'identité attend une demande de déconnexion signée, vous devez également configurer le certificat de signature fourni par Amazon Cognito avec votre SAML IdP.

    L'SAMLIdP traitera la demande de déconnexion signée et déconnectera votre utilisateur de la session Amazon Cognito.

  8. Choisissez une Source du document de métadonnées. Si votre fournisseur d'identité propose SAML des métadonnées à un publicURL, vous pouvez choisir un document de métadonnées URL et saisir ce publicURL. Sinon, choisissez Upload metadata documen (Charger un document de métadonnées) et sélectionnez un fichier de métadonnées que vous avez téléchargé depuis votre fournisseur précédemment.

    Note

    Si votre fournisseur dispose d'un point de terminaison public, nous vous recommandons de saisir un document URL de métadonnées plutôt que de télécharger un fichier. Si vous utilisez leURL, Amazon Cognito actualise automatiquement les métadonnées. En règle générale, l'actualisation des métadonnées a lieu toutes les 6 heures ou avant l'expiration des métadonnées, selon la première éventualité.

  9. Mappez les attributs entre votre SAML fournisseur et votre application pour associer les attributs du SAML fournisseur au profil utilisateur de votre groupe d'utilisateurs. Incluez les attributs requis de votre groupe d'utilisateurs dans votre carte attributaire.

    Par exemple, lorsque vous choisissez l'attribut User poolemail, entrez le nom de SAML l'attribut tel qu'il apparaît dans l'SAMLassertion de votre fournisseur d'identité. Votre fournisseur d'identité peut proposer des exemples d'SAMLassertions à titre de référence. Certains fournisseurs d'identité utilisent des noms simples, tels queemail, tandis que d'autres utilisent des noms d'attributs URL au format -formaté similaires à :

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Sélectionnez Create (Créer).

Note

Si vous rencontrez un InvalidParameterException problème lors de la création d'un SAML IdP avec un HTTPS point de terminaison de métadonnéesURL, assurez-vous que le point de terminaison de métadonnées est SSL correctement configuré et qu'un SSL certificat valide lui est associé. Voici un exemple d'une telle exception : « Erreur lors de la récupération des métadonnées depuis <metadata endpoint>".

Pour configurer l'SAMLIdP afin d'ajouter un certificat de signature

  • Pour obtenir le certificat contenant la clé publique que l'IdP utilise pour vérifier la demande de déconnexion signée, choisissez Afficher le certificat de signature sous SAMLFournisseurs actifs dans la boîte de SAMLdialogue située sous Fournisseurs d'identité sur la page de console de fédération.

Pour plus d'informations sur, SAML IdPs voirUtilisation de fournisseurs SAML d'identité avec un pool d'utilisateurs.