Configuration des fournisseurs d'identités pour votre groupe d'utilisateurs - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des fournisseurs d'identités pour votre groupe d'utilisateurs

Dans l'onglet Expérience de connexion, sous Connexion au fournisseur d'identité fédéré, vous pouvez ajouter des fournisseurs d'identité (IdPs) à votre groupe d'utilisateurs. Pour plus d’informations, consultez Ajout de la connexion du groupe d'utilisateurs via un tiers.

Configuration d'une connexion utilisateur avec un fournisseur d'identité social

Vous pouvez utiliser une fédération pour intégrer des groupes d'utilisateurs Amazon Cognito à des fournisseurs d'identité sociaux tels que Facebook, Google et Login with Amazon.

Pour ajouter un fournisseur d'identité social, vous devez d'abord créer un compte développeur à l'aide du fournisseur d'identité. Une fois que vous disposez de votre compte développeur, inscrivez votre application avec le fournisseur d'identité. Le fournisseur d'identité crée un ID d'application et une clé secrète d'application pour votre application, tandis que vous configurez ces valeurs dans vos groupes d'utilisateurs Amazon Cognito.

Pour intégrer la connexion utilisateur à un fournisseur d'identité social
  1. Connectez-vous à la console Amazon Cognito. Si vous y êtes invité, saisissez vos informations d'identification AWS.

  2. Dans le volet de navigation, choisissez Groupes d'utilisateurs, puis choisissez le groupe d'utilisateurs que vous souhaitez modifier.

  3. Choisissez l'onglet Sign-in experience (Expérience de connexion) et localisez Federated sign-in (Connexion fédérée).

  4. Choisissez Add an identity provider (Ajouter un fournisseur d'identité) ou choisissez le fournisseur d'identité Facebook, Google, Amazon ou Apple que vous avez configuré, localisez Identity provider information (Informations sur le fournisseur d'identité) et choisissez Edit (Modifier). Pour plus d'informations sur l'ajout de fournisseurs d'identité sociaux, consultez Utilisation de fournisseurs d'identité sociale avec un pool d'utilisateurs.

  5. Saisissez les informations de votre fournisseur d'identité sociale en effectuant l'une des étapes suivantes, en fonction de votre choix d'IdP :

    Facebook, Google et Login with Amazon

    Saisissez l'ID d'application et le secret d'application que vous avez reçus lors de la création de votre application cliente.

    Connexion avec Apple

    Saisissez l'ID de service que vous avez fourni à Apple, ainsi que l'ID d'équipe, l'ID de clé et la clé privée que vous avez reçus lors de la création de votre client d'application.

  6. Pour Authorized scopes (Périmètres autorisés), saisissez les noms des périmètres de fournisseur d'identité social à mapper aux attributs de groupe d'utilisateurs. Les portées définissent les attributs d'utilisateur comme le nom et l'adresse e-mail auxquels vous souhaitez accéder avec votre application. Lorsque vous saisissez des portées, suivez les directives suivantes en fonction de votre choix de fournisseur d'identité :

    • Facebook : séparez les périmètre par des virgules. Par exemple :

      public_profile, email

    • Google, Login with Amazon et Sign in with Apple : séparez les périmètres par des espaces. Par exemple :

      • Google :profile email openid

      • Login with Amazon :profile postal_code

      • Sign in with Apple :name email

        Note

        Pour Sign In with Apple (console), utilisez les cases à cocher pour les sélectionner.

  7. Sélectionnez Enregistrer les modifications.

  8. De l'onglet Intégration du client d'application, choisissez l'un des Clients d'application dans la liste, puis choisissez Modifier les paramètres d'interface utilisateur hébergée. Ajoutez le nouveau fournisseur d'identité sociale au client de l'application sous Fournisseurs d'identité.

  9. Sélectionnez Enregistrer les modifications.

Pour plus d'informations sur les réseaux sociaux IdPs, consultezUtilisation de fournisseurs d'identité sociale avec un pool d'utilisateurs.

Configuration d'une connexion utilisateur avec un fournisseur d'identité social OIDC

Vous pouvez intégrer une connexion utilisateur à un fournisseur d'identité (IdP) OpenID Connect (OIDC) tel que Salesforce ou Ping Identity.

Pour ajouter un fournisseur OIDC à un groupe d'utilisateurs
  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, saisissez vos informations d'identification AWS.

  2. Choisissez Groupes d'utilisateurs dans le menu de navigation.

  3. Choisissez un groupe d’utilisateurs existant dans la liste ou créez un groupe d’utilisateurs.

  4. Choisissez l'onglet Expérience de connexion. Localisez Ouverture de session fédérée et sélectionnez Ajout d'un fournisseur d'identité.

  5. Choisir un fournisseur d'identité OpenID Connect

  6. Saisissez un nom unique dans le champ Nom du fournisseur.

  7. Saisissez l'ID client que vous avez reçu de votre fournisseur dans Client ID (ID client).

  8. Saisissez le secret client que vous avez reçu de votre fournisseur dans Client secret (Secret client).

  9. Saisissez les périmètres d'autorisation pour ce fournisseur. Les périmètres définissent les groupes d'attributs utilisateur (tels que name et email) que votre demande demandera à votre fournisseur. Les périmètres doivent être séparés par des espaces, suivant la spécification OAuth 2.0.

    L'utilisateur doit accepter de fournir ces attributs à votre application.

  10. Choisissez une méthode de demande d'attribut (Attribute request method) pour fournir à Amazon Cognito la méthode HTTP (GET ou POST) à utiliser pour récupérer les détails de l'utilisateur à partir du point de terminaison userInfo exploité par votre fournisseur.

  11. Choisissez une Méthode de configuration pour récupérer les points de terminaison OpenID Connect soit par Remplissage automatique via l'URL du diffuseur soit par Saisie manuel. Utilisez Auto fill through issuer URL (Remplissage automatique via l'URL de l'émetteur) lorsque votre fournisseur dispose d'un point de terminaison .well-known/openid-configuration public sur lequel Amazon Cognito peut récupérer les URL des points de terminaison authorization, token, userInfo et jwks_uri.

  12. Saisissez l'URL du diffuseur ou les URL des points de terminaison authorization, token, userInfo,et jwks_uri de votre IdP.

    Note

    Vous pouvez utiliser uniquement les numéros de port 443 et 80 avec des URL de découverte, remplies automatiquement et saisies manuellement. Les connexions utilisateur échouent si votre fournisseur OIDC utilise des ports TCP non standard.

    L'URL de l'émetteur doit commencer par https:// et ne doit pas se terminer par un caractère /. Par exemple, Salesforce utilise cette URL :

    https://login.salesforce.com

    Le document openid-configuration associé à l'URL de l'émetteur doit fournir des URL HTTPS pour les valeurs suivantes : authorization_endpoint, token_endpoint, userinfo_endpoint et jwks_uri. De même, lorsque vous choisissez Manual input (Entrée manuelle), vous pouvez uniquement saisir des URL HTTPS.

  13. Par défaut, la demande d'OIDC sub est mappée à l'attribut de groupe d'utilisateurs Nom d'utilisateur. Vous pouvez mapper d'autres demandes d'OIDC aux attributs de groupe d'utilisateurs. Saisissez la demande OIDC et choisissez l'attribut du groupe d'utilisateurs correspondant dans la liste déroulante. Par exemple, l'e-mail de demande est souvent mappé à l'e-mail de l'attribut de groupe d'utilisateurs.

  14. Mappez d'autres attributs de votre fournisseur d'identité à votre groupe d'utilisateurs. Pour de plus amples informations, veuillez consulter Spécification des mappages d'attribut du fournisseur d'identité pour votre groupe d'utilisateurs.

  15. Choisissez Créer.

  16. Dans l'onglet Intégration du client d'application, sélectionnez l'un des Clients d'application dans la liste et Modifier les paramètres d'interface utilisateur hébergée. Ajoutez le nouveau fournisseur d'identité OIDC au client de l'application sous Fournisseurs d'identité.

  17. Sélectionnez Enregistrer les modifications.

Pour plus d'informations sur l'OIDC IdPs, voirUtilisation de fournisseurs OIDC d'identité avec un pool d'utilisateurs.

Configuration d'une connexion utilisateur avec un fournisseur d'identité SAML

Vous pouvez utiliser une fédération afin que les groupes d'utilisateurs Amazon Cognito s'intégrent avec un fournisseur d'identité (IdP) SAML. Vous fournissez un document de métadonnées, soit en téléchargeant le fichier ou en entrant l'URL de point de terminaison d'un document de métadonnées. Pour plus d'informations sur l'obtention de documents de métadonnées pour le protocole SAML tiers IdPs, consultezConfiguration de votre fournisseur SAML d'identité tiers.

Pour configurer un fournisseur d'identité SAML 2.0 dans votre groupe d'utilisateurs
  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, saisissez vos informations d’identification AWS.

  2. Choisissez Groupes d’utilisateurs.

  3. Choisissez un groupe d’utilisateurs existant dans la liste ou créez un groupe d’utilisateurs.

  4. Choisissez l'onglet Expérience de connexion. Localisez Connexion fédérée, puis sélectionnez Ajouter un fournisseur d'identité.

  5. Choisissez un fournisseur d'identité SAML.

  6. Saisissez Identifiants séparés par des virgules. Un identifiant indique à Amazon Cognito qu'il doit vérifier l'adresse e-mail de connexion de l'utilisateur, puis rediriger l'utilisateur vers le fournisseur correspondant à son domaine.

  7. Choisissez Ajouter un flux de déconnexion si vous souhaitez qu'Amazon Cognito envoie des demandes de déconnexion signées à votre fournisseur lorsqu'un utilisateur se déconnecte. Configurez votre fournisseur d'identité SAML 2.0 pour envoyer les réponses de déconnexion vers le point de terminaison https://mydomain.us-east-1.amazoncognito.com/saml2/logout créé par Amazon Cognito lorsque vous configurez l'interface utilisateur hébergée. Ce point de terminaison saml2/logout utilise la liaison POST.

    Note

    Si vous sélectionnez cette option et que votre fournisseur d'identité SAML attend une demande de déconnexion signée, vous devez également configurer le certificat de signature fourni par Amazon Cognito avec votre fournisseur d'identité SAML.

    l'IdP SAML traite la demande de déconnexion signée et déconnecte votre utilisateur de la session Amazon Cognito.

  8. Choisissez une Source du document de métadonnées. Si votre fournisseur d'identité propose des métadonnées SAML à une URL publique, vous pouvez choisir Metadata document URL (URL du document de métadonnées) et saisir cette URL publique. Sinon, choisissez Upload metadata documen (Charger un document de métadonnées) et sélectionnez un fichier de métadonnées que vous avez téléchargé depuis votre fournisseur précédemment.

    Note

    Si votre fournisseur dispose d'un point de terminaison public, nous vous recommandons de saisir une URL de document de métadonnées, au lieu de charger un fichier. Si vous utilisez l'URL, Amazon Cognito actualise automatiquement les métadonnées. En règle générale, l'actualisation des métadonnées a lieu toutes les 6 heures ou avant l'expiration des métadonnées, selon la première éventualité.

  9. Mappage des attributs entre votre fournisseur SAML et votre application pour mapper les attributs du fournisseur SAML au profil utilisateur de votre groupe d'utilisateurs. Incluez les attributs requis de votre groupe d'utilisateurs dans votre carte attributaire.

    Par exemple, lorsque vous choisissez Groupe d'utilisateurs email, saisissez le nom de l'attribut SAML tel qu'il apparaît dans l'assertion SAML de votre fournisseur d'identité. Votre fournisseur d'identité peut proposer des exemples d'assertions SAML à titre de référence. Certains fournisseurs d'identité utilisent des noms simples, par exemple email, tandis que d'autres utilisent des noms d'attributs au format URL, tels que :

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  10. Choisissez Créer.

Note

Si vous voyez InvalidParameterException pendant la création d'un fournisseur d'identité SAML avec une URL de point de terminaison de métadonnées HTTPS, veillez à ce que SSL soit correctement configuré pour le point de terminaison de métadonnées et qu'un certificat SSL valide lui soit associé. Un exemple d'une telle exception serait : « Erreur lors de la récupération des métadonnées à partir de <point de terminaison de métadonnées> ».

Pour configurer le fournisseur d'identité SAML afin d'ajouter un certificat de signature
  • Pour obtenir le certificat contenant la clé publique utilisée par le fournisseur d'identité pour vérifier la demande de déconnexion signée, choisissez Afficher le certificat de signature sous Fournisseurs SAML actifs dans la boîte de dialogue SAML sous Fournisseurs d'identité sur la page de console Fédération.

Pour plus d'informations sur le SAML, IdPs voirUtilisation de fournisseurs SAML d'identité avec un pool d'utilisateurs.