Choix de noms de fournisseur d'identité SAML - Amazon Cognito

Choix de noms de fournisseur d'identité SAML

Choisissez des noms pour vos fournisseurs SAML. La chaîne peut contenir jusqu'à 32 caractères et doit correspondre à l'expression régulière suivante :

[\p{L}\p{M}\p{S}\p{N}\p{P}\p{Z}]+|[^_\p{Z}][\p{L}\p{M}\p{S}\p{N}\p{P}][^_\p{Z}]+

Vous pouvez également choisir des identifiants pour vos fournisseurs SAML. Un identifiant identifie de façon unique un fournisseur d'identité associé à votre groupe d'utilisateurs. En règle générale, chaque identifiant correspond à un domaine de l'organisation que le fournisseur d'identité SAML représente. Pour une application multi-locataire que plusieurs organisations partagent, vous pouvez utiliser des identifiants pour rediriger les utilisateurs vers le fournisseur d'identité approprié. Comme une même organisation peut posséder plusieurs domaines, vous pouvez fournir plusieurs identifiants. Pour connecter vos utilisateurs avec un identifiant, dirigez leurs sessions vers le Point de terminaison AUTORISATION pour votre application client avec un paramètre idp_identifier.

Vous pouvez associer jusqu'à 50 identifiants à chaque fournisseur SAML. Les identifiants doivent être uniques dans le groupe d'utilisateurs.

Vous pouvez créer des liens vers le point de terminaison /authorize de votre groupe d'utilisateurs Amazon Cognito, qui redirigent silencieusement votre utilisateur vers la page de connexion pour votre fournisseur d'identité. Incluez un identifiant en tant que paramètre idp_identifier dans une demande au point de terminaison /authorize de votre groupe d'utilisateurs. Vous pouvez également remplir le paramètre identity_provider avec le nom de votre fournisseur d'identité. Utilisez le format d'URL suivant :

https://your_Amazon_Cognito_userpool_domain/authorize?response_type=code&identity_provider=your-SAML-IdP-name&client_id=your-client-id&redirect_uri=https://your_application_redirect_url

Une fois qu'un utilisateur s'est connecté avec votre fournisseur d'identité SAML, il soumet de manière transparente la réponse SAML à votre point de terminaison saml2/idpresponse. Amazon Cognito répond à la réponse du fournisseur d'identité en redirigeant vers l'URL de rappel de votre client d'application. L'utilisateur n'a vu aucune interaction avec votre interface utilisateur hébergée.

Créez des identifiants de fournisseur d'identité dans un format de domaine pour collecter les adresses e-mail des utilisateurs et les diriger vers la page de connexion pour le fournisseur d'identité correspondant à leur domaine. Par exemple, supposons que vous avez développé une application pour les employés de deux entreprises différentes. La première entreprise, AnyCompany A, possède exampleA.com et exampleA.co.uk. La deuxième entreprise, AnyCompany B, possède exampleB.com. Pour cet exemple, vous avez configuré deux fournisseurs d'identité, un pour chaque entreprise, comme suit :

  • Pour le fournisseur d'identité A, vous définissez les identifiants exampleA.com et exampleA.co.uk.

  • Pour le fournisseur d'identité B, vous définissez l'identifiant exampleB.com.

Dans votre application, vous pouvez inviter les utilisateurs à saisir leur adresse e-mail. Votre application dérive le domaine des utilisateurs à partir de leur adresse e-mail et les redirige vers le fournisseur d'identité approprié, en fournissant le domaine dans le paramètre idp_identifier dans l'appel au point de terminaison /authorize. Par exemple, si un utilisateur saisit bob@exampleA.co.uk, l'utilisateur est redirigé vers le fournisseur d'identité A.

L'interface utilisateur hébergée d'Amazon Cognito peut collecter une adresse e-mail pour les utilisateurs fédérés et analyser le domaine. Pour ce faire, attribuez au moins un identifiant à chaque fournisseur d'identité SAML que vous avez attribué à votre client d'application. Si vous avez attribué les identifiants avec succès, votre page de connexion de l'interface utilisateur hébergée ressemble à l'image suivante.

Page de connexion de l'interface utilisateur hébergée d'Amazon Cognito affichant la connexion d'un utilisateur local et une invite à un utilisateur fédéré d'entrer une adresse e-mail.

Pour utiliser cette stratégie, vous devez utiliser des domaines comme identifiants de votre fournisseur d'identité. Amazon Cognito extrait le domaine de messagerie de l'adresse e-mail saisie par votre utilisateur. Amazon Cognito ajoute ensuite le domaine de messagerie en tant que paramètre IdPIdentifier dans une demande adressée au point de terminaison /authorize. Votre utilisateur voit une page de connexion de fournisseur d'identité après avoir choisi le bouton Sign in(Connexion) affiché dans l'image précédente.

  • Si vous n'attribuez qu'un seul fournisseur d'identité SAML à votre client d'application, la page de connexion de l'interface utilisateur hébergée affiche un bouton permettant de se connecter avec ce fournisseur d'identité.

  • Si vous attribuez un identifiant à chaque fournisseur d'identité SAML que vous activez pour votre client d'application, une case permettant de saisir une adresse e-mail apparaît dans la page de connexion de l'interface utilisateur hébergée.

  • Si vous avez plusieurs fournisseurs d'identité et que vous n'attribuez pas un identifiant à tous, la page hébergée contient la liste des fournisseurs d'identité.

Si vous avez une interface utilisateur personnalisée, analysez le nom de domaine afin qu'il corresponde aux identifiants que vous avez attribués lors de l'ajout du fournisseur d'identité. Pour plus d'informations sur la configuration du fournisseur d'identité, consultez Configuration des fournisseurs d'identités pour votre groupe d'utilisateurs.