Configuration de votre fournisseur d'identité SAML tiers - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de votre fournisseur d'identité SAML tiers

Pour configurer des solutions de fournisseur d'identité (IdP) SAML 2.0 tiers afin qu'elles fonctionnent avec la fédération pour les groupes d'utilisateurs Amazon Cognito, vous devez configurer votre IdP SAML pour qu'il soit redirigé vers l'URL Assertion Consumer Service (ACS) suivante :. https://mydomain.us-east-1.amazoncognito.com/saml2/idpresponse Si votre groupe d'utilisateurs dispose d’un domaine Amazon Cognito, vous pouvez trouver le chemin du domaine de votre groupe d'utilisateurs dans l’onglet App integration (Intégration d'application) de votre groupe d'utilisateurs dans la console Amazon Cognito.

Certains protocoles SAML IdPs exigent que vous fournissiez leurn, également appelé URI d'audience ou ID d'entité SP, dans le formulaireurn:amazon:cognito:sp:us-east-1_EXAMPLE. Vous trouverez l'ID de votre groupe d'utilisateurs dans la section Vue d'ensemble du groupe d'utilisateurs dans la console Amazon Cognito.

Vous devez également configurer votre IdP SAML pour fournir des valeurs pour tous les attributs que vous avez désignés comme étant obligatoires dans votre groupe d'utilisateurs. Généralement, email il s'agit d'un attribut obligatoire pour les groupes d'utilisateurs, auquel cas l'IdP SAML doit fournir email une forme de réclamation dans son assertion SAML, et vous devez associer la réclamation à l'attribut de ce fournisseur.

Les informations de configuration suivantes pour les solutions IdP SAML 2.0 tierces constituent un bon point de départ pour configurer la fédération avec les groupes d'utilisateurs Amazon Cognito. Pour obtenir les informations les plus récentes, consultez directement la documentation de votre fournisseur.

Pour signer des demandes SAML, vous devez configurer votre IdP pour qu'il approuve les demandes signées par le certificat de signature de votre groupe d'utilisateurs. Pour accepter les réponses SAML chiffrées, vous devez configurer votre IdP pour chiffrer toutes les réponses SAML envoyées à votre groupe d'utilisateurs. Votre fournisseur disposera de la documentation sur la configuration de ces fonctionnalités. Pour un exemple fourni par Microsoft, voir Configurer le chiffrement par jeton Microsoft Entra SAML.

Note

Amazon Cognito a uniquement besoin du document de métadonnées de votre fournisseur d'identité. Votre fournisseur peut fournir des informations de configuration pour Compte AWS la fédération avec SAML 2.0 ; ces informations ne sont pas pertinentes pour l'intégration d'Amazon Cognito.