Intégration de fournisseurs d'identité SAML tiers avec des groupes d'utilisateurs Amazon Cognito - Amazon Cognito

Intégration de fournisseurs d'identité SAML tiers avec des groupes d'utilisateurs Amazon Cognito

Pour configurer les solutions de fournisseur d'identité SAML 2.0 tiers afin qu'elles fonctionnent avec la fédération pour des groupes d'utilisateurs Amazon Cognito, vous devez saisir l'URL de redirection suivante : https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse. Le préfixe de domaine et la valeur de la région pour votre groupe d'utilisateurs sont disponibles dans la page de console Domain name (Nom de domaine) de la console Amazon Cognito.

Note

Tous les fournisseurs d'identité SAML que vous avez créés dans un groupe d'utilisateurs en version bêta publique avant le 10 août 2017 ont des URL de redirection de https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/login/redirect. Si vous avez l'un des fournisseurs d'identité SAML provenant de la version bêta publique dans votre groupe d'utilisateurs, vous devez :

  • Le remplacer par un nouveau fournisseur utilisant la nouvelle URL de redirection.

  • Ou mettre à jour la configuration de votre fournisseur d'identité SAML afin qu'il accepte à la fois les anciennes versions et versions actuelles de l'URL de redirection.

Tous les fournisseurs d'identité SAML d'Amazon Cognito passeront aux nouvelles URL. L'ancienne URL cessera de fonctionner le 31 octobre 2017.

Pour certains fournisseurs d'identité SAML, vous devez fournir les valeurs urn / URI du public ciblé / ID d'entité du fournisseur de services, sous la forme urn:amazon:cognito:sp:<yourUserPoolID>. L'ID de votre groupe d'utilisateurs se trouve sous l'onglet Paramètres généraux de la console Amazon Cognito.

Vous devez également configurer votre fournisseur d'identité SAML pour fournir des valeurs d'attributs pour tous les attributs requis dans votre groupe d'utilisateurs. Généralement, email est un attribut requis pour les groupes d'utilisateurs, auquel cas le fournisseur d'identité SAML doit fournir une valeur email (demande) dans l'assertion SAML.

Note

Amazon Cognito n'accepte pas un emoji transmis par votre fournisseur d'identité en tant que valeur d'attribut. Vous pouvez encoder l'emoji en Base64 pour le transmettre sous forme de texte, puis le décoder dans votre application.

Dans l'exemple suivant, la revendication d'attribut ne sera pas acceptée :

<saml2:Attribute Name="Name" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">😐</saml2:AttributeValue> </saml2:Attribute>

Contrairement à l'exemple précédent, la revendication d'attribut suivante sera acceptée :

<saml2:Attribute Name="Name" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">8J+YkA==</saml2:AttributeValue> </saml2:Attribute>

Les liens suivants vous aident à configurer les solutions de fournisseurs d'identité SAML 2.0 tiers afin qu'ils fonctionnent avec la fédération pour les groupes d'utilisateurs Amazon Cognito.

Note

Amazon Cognito inclut la prise en charge des fournisseurs d'identité, ce qui signifie que vous devez simplement accéder aux sites des fournisseurs suivants pour obtenir le document de métadonnées SAML. Des instructions supplémentaires concernant l'intégration avec AWS sont éventuellement disponibles sur le site web du fournisseur, mais vous n'en avez pas besoin.

Solution En savoir plus
Microsoft Active Directory Federation Services (AD FS) Vous pouvez télécharger le document de métadonnées SAML pour votre serveur de fédération ADFS à partir de l'adresse suivante : https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml.
Okta Une fois que vous avez configuré votre groupe d'utilisateurs Amazon Cognito en tant qu'application dans Okta, vous pouvez trouver le document de métadonnées dans la section Admin du tableau de bord Okta. Choisissez l'application, sélectionnez la section Sign On (Identification) et consultez Settings for SAML (Paramètres pour SAML). L'URL doit ressembler à https://<app-domain>.oktapreview.com/app/<application-ID>/sso/saml/metadata.
Auth0 Le document de métadonnées à télécharger est disponible sur le tableau de bord Auth0. Choisissez Clients, puis Settings (Paramètres). Faites défiler la page vers le bas, choisissez Afficher les paramètres avancés, puis recherchez votre SAML Metadata URL (URL de métadonnées SAML). Elle doit ressembler à https://<your-domain-prefix>.auth0.com/samlp/metadata/<your-Auth0-client-ID>.
Ping Identity Pour PingFederate, vous pouvez trouver des instructions relatives au téléchargement d'un fichier XML de métadonnées dans Provide general SAML metadata by file (Fournir des métadonnées SAML générales par fichier).