Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
SAMLnoms et identifiants des fournisseurs d'identité
Lorsque vous nommez vos fournisseurs SAML d'identité (IdPs) et que vous attribuez des identifiants IdP, vous pouvez automatiser le flux des demandes de connexion et de déconnexion initiées par le fournisseur de services d'accès à ce fournisseur. Pour plus d'informations sur les contraintes de chaîne appliquées au nom du fournisseur, consultez la ProviderName
propriété de CreateIdentityProvider.
Vous pouvez également choisir jusqu'à 50 identifiants pour vos SAML fournisseurs. Un identifiant est un nom convivial pour un IdP de votre groupe d'utilisateurs. Il doit être unique au sein de ce groupe d'utilisateurs. Si vos SAML identifiants correspondent aux domaines de messagerie de vos utilisateurs, l'interface utilisateur hébergée par Amazon Cognito demande l'adresse e-mail de chaque utilisateur, évalue le domaine dans son adresse e-mail et les redirige vers l'IdP correspondant à leur domaine. Étant donné qu'une même organisation peut posséder plusieurs domaines, un même IdP peut avoir plusieurs identifiants.
Que vous utilisiez ou non des identifiants de domaine de messagerie, vous pouvez utiliser des identifiants dans une application mutualisée pour rediriger les utilisateurs vers le bon IdP. Lorsque vous souhaitez contourner complètement l'interface utilisateur hébergée, vous pouvez personnaliser les liens que vous présentez aux utilisateurs afin qu'ils les redirigent Point de terminaison d’autorisation directement vers leur IdP. Pour connecter vos utilisateurs à l'aide d'un identifiant et les rediriger vers leur IdP, incluez l'identifiant dans le format indiqué idp_identifier=
dans les paramètres de demande de leur demande d'autorisation initiale.myidp.example.com
Une autre méthode pour transmettre un utilisateur à votre IdP consiste à renseigner le paramètre identity_provider
avec le nom de votre IdP au format suivant. URL
https://
mydomain.us-east-1.amazoncognito.com
/oauth2/authorize? response_type=code
& identity_provider=MySAMLIdP
& client_id=1example23456789
& redirect_uri=https://www.example.com
Une fois qu'un utilisateur s'est connecté avec votre SAML IdP, celui-ci le redirige avec une SAML réponse dans le HTTP POST
corps vers votre terminal. /saml2/idpresponse
Amazon Cognito traite l'SAMLassertion et, si les affirmations contenues dans la réponse répondent aux attentes, redirige vers le service de rappel du client de votre application. URL Une fois que votre utilisateur s'est authentifié de cette manière, il n'a interagi qu'avec les pages Web de votre IdP et de votre application.
Avec des identifiants IdP au format de domaine, l'interface utilisateur hébergée par Amazon Cognito demande des adresses e-mail lors de la connexion, puis, lorsque le domaine de messagerie correspond à un identifiant IdP, redirige les utilisateurs vers la page de connexion de leur IdP. Par exemple, vous créez une application qui nécessite la connexion des employés de deux entreprises différentes. La première société, AnyCompany A, possède exampleA.com
etexampleA.co.uk
. La deuxième société, AnyCompany B, est propriétaireexampleB.com
. Pour cet exemple, vous en avez configuré deux IdPs, un pour chaque entreprise, comme suit :
-
Pour le fournisseur d'identité A, vous définissez les identifiants
exampleA.com
etexampleA.co.uk
. -
Pour le fournisseur d'identité B, vous définissez l'identifiant
exampleB.com
.
Dans votre application, appelez l'interface utilisateur hébergée de votre client d'application pour inviter chaque utilisateur à saisir son adresse e-mail. Amazon Cognito déduit le domaine à partir de l'adresse e-mail, met en corrélation le domaine avec un IdP avec un identifiant de domaine et redirige votre utilisateur vers le bon IdP en envoyant une demande à celui qui contient un paramètre de demande. Point de terminaison d’autorisation idp_identifier
Par exemple, si un utilisateur entrebob@exampleA.co.uk
, la page suivante avec laquelle il interagit est la page de connexion à l'IdP à l'adresse. https://auth.exampleA.co.uk/sso/saml
Vous pouvez également implémenter la même logique indépendamment. Dans votre application, vous pouvez créer un formulaire personnalisé qui collecte les informations des utilisateurs et les met en corrélation avec l'IdP approprié selon votre propre logique. Vous pouvez générer des portails d'applications personnalisés pour chacun de vos locataires d'applications, chacun étant lié au point de terminaison autorisé avec l'identifiant du locataire dans les paramètres de demande.
Pour collecter une adresse e-mail et analyser le domaine dans l'interface utilisateur hébergée, attribuez au moins un identifiant à chaque SAML IdP que vous avez attribué à votre client d'application. Par défaut, l'écran de connexion à l'interface utilisateur hébergée affiche un bouton pour chacun des éléments IdPs que vous avez attribués à votre client d'application. Toutefois, si vous avez attribué des identifiants avec succès, la page de connexion à l'interface utilisateur hébergée ressemble à l'image suivante.
L'analyse des domaines dans l'interface utilisateur hébergée nécessite que vous utilisiez des domaines comme identifiants d'IdP. Si vous attribuez un identifiant de n'importe quel type à chacune des applications clientes, l'interface utilisateur hébergée pour cette application n'affiche plus les boutons de sélection d'IDP. SAML IdPs Ajoutez des identifiants IdP SAML lorsque vous avez l'intention d'utiliser l'analyse des e-mails ou une logique personnalisée pour générer des redirections. Lorsque vous souhaitez générer des redirections silencieuses et que vous souhaitez également que votre interface utilisateur hébergée affiche une liste de IdPs, n'attribuez pas d'identifiants et utilisez le paramètre de identity_provider
demande dans vos demandes d'autorisation.
-
Si vous n'attribuez qu'un seul SAML IdP à votre client d'application, la page de connexion de l'interface utilisateur hébergée affiche un bouton permettant de se connecter avec cet IdP.
-
Si vous attribuez un identifiant à chaque SAML IdP que vous activez pour votre client d'application, une demande d'adresse e-mail s'affiche sur la page de connexion de l'interface utilisateur hébergée.
-
Si vous en avez plusieurs IdPs et que vous ne leur attribuez pas d'identifiant, la page de connexion de l'interface utilisateur hébergée affiche un bouton permettant de se connecter à chaque IdP attribué.
-
Si vous avez attribué des identifiants à votre client d'application IdPs et que vous souhaitez que votre interface utilisateur hébergée affiche une sélection de boutons IdP, ajoutez un nouvel IdP sans identifiant à votre client d'application ou créez un nouveau client d'application. Vous pouvez également supprimer un IdP existant et l'ajouter à nouveau sans identifiant. Si vous créez un nouvel IdP, vos SAML utilisateurs créeront de nouveaux profils utilisateur. Cette duplication d'utilisateurs actifs peut avoir un impact sur la facturation le mois où vous modifiez la configuration de votre IdP.
Pour plus d'informations sur la configuration du fournisseur d'identité, consultez Configuration des fournisseurs d'identités pour votre groupe d'utilisateurs.