Ajouter et gérer des fournisseurs SAML d'identité dans un groupe d'utilisateurs - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajouter et gérer des fournisseurs SAML d'identité dans un groupe d'utilisateurs

Après avoir configuré votre fournisseur d'identité pour qu'il fonctionne avec Amazon Cognito, vous pouvez l'ajouter à vos groupes d'utilisateurs et à vos clients d'applications. Les procédures suivantes montrent comment créer, modifier et supprimer des SAML fournisseurs dans un groupe d'utilisateurs Amazon Cognito.

AWS Management Console

Vous pouvez utiliser le AWS Management Console pour créer et supprimer des fournisseurs SAML d'identité (IdPs).

Avant de créer un SAML IdP, vous devez disposer du document de SAML métadonnées obtenu auprès de l'IdP tiers. Pour obtenir des instructions sur la façon d'obtenir ou de générer le document de SAML métadonnées requis, consultezConfiguration de votre fournisseur SAML d'identité tiers.

Pour configurer un IdP SAML 2.0 dans votre groupe d'utilisateurs

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, saisissez vos informations d’identification AWS .

  2. Choisissez Groupes d’utilisateurs.

  3. Choisissez un groupe d’utilisateurs existant dans la liste ou créez un groupe d’utilisateurs.

  4. Choisissez l'onglet Expérience de connexion. Localisez Ouverture de session fédérée et choisissez Ajout d'un fournisseur d'identité.

  5. Choisissez un SAMLIdP.

  6. Entrez le nom du fournisseur. Vous pouvez transmettre ce nom convivial dans un paramètre de identity_provider requête auPoint de terminaison d’autorisation.

  7. Saisissez Identifiants séparés par des virgules. Un identifiant indique à Amazon Cognito qu'il doit vérifier l'adresse électronique qu'un utilisateur saisit lorsqu'il se connecte, puis le redirige vers le fournisseur correspondant à son domaine.

  8. Choisissez Ajouter un flux de déconnexion si vous souhaitez qu'Amazon Cognito envoie des demandes de déconnexion signées à votre fournisseur lorsqu'un utilisateur se déconnecte. Vous devez configurer votre IdP SAML 2.0 pour envoyer des réponses de déconnexion au point de https://mydomain.us-east-1.amazoncognito.com/saml2/logout terminaison créé lorsque vous configurez l'interface utilisateur hébergée. Le saml2/logout point final utilise la POST liaison.

    Note

    Si cette option est sélectionnée et que votre SAML IdP attend une demande de déconnexion signée, vous devez également fournir à votre SAML IdP le certificat de signature de votre groupe d'utilisateurs.

    L'SAMLIdP traitera la demande de déconnexion signée et déconnectera votre utilisateur de la session Amazon Cognito.

  9. Choisissez votre configuration de SAMLconnexion initiée par l'IdP. Pour des raisons de sécurité, choisissez Accepter uniquement les SAML assertions initiées par le SP. Si vous avez préparé votre environnement pour accepter en toute sécurité les sessions de SAML connexion non sollicitées, choisissez Accepter les assertions initiées par le SP et par l'IdP. SAML Pour de plus amples informations, veuillez consulter SAMLlancement de session dans les groupes d'utilisateurs Amazon Cognito.

  10. Choisissez une Source du document de métadonnées. Si votre IdP propose des SAML métadonnées à un publicURL, vous pouvez choisir un document de métadonnées URL et saisir ce public. URL Sinon, choisissez Upload metadata documen (Charger un document de métadonnées) et sélectionnez un fichier de métadonnées que vous avez téléchargé depuis votre fournisseur précédemment.

    Note

    Nous vous recommandons de saisir un document de métadonnées URL si votre fournisseur dispose d'un point de terminaison public au lieu de télécharger un fichier. Amazon Cognito actualise automatiquement les métadonnées à partir des métadonnées. URL En règle générale, l'actualisation des métadonnées a lieu toutes les 6 heures ou avant l'expiration des métadonnées, selon la première éventualité.

  11. Mappez les attributs entre votre SAML fournisseur et votre groupe d'utilisateurs pour mapper les attributs du SAML fournisseur au profil utilisateur de votre groupe d'utilisateurs. Incluez les attributs requis de votre groupe d'utilisateurs dans votre carte attributaire.

    Par exemple, lorsque vous choisissez l'attribut User poolemail, entrez le nom de SAML l'attribut tel qu'il apparaît dans l'SAMLassertion de votre IdP. Si votre IdP propose des exemples d'SAMLassertions, vous pouvez utiliser ces exemples d'assertions pour vous aider à trouver le nom. Certains IdPs utilisent des noms simples, tels queemail, tandis que d'autres utilisent des noms tels que les suivants.

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  12. Sélectionnez Create (Créer).

API/CLI

Utilisez les commandes suivantes pour créer et gérer un fournisseur SAML d'identité (IdP).

Pour créer un fournisseur d'identité et charger un document de métadonnées

  • AWS CLI: aws cognito-idp create-identity-provider

    Exemple avec fichier de métadonnées : aws cognito-idp create-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-type SAML --provider-details file:///details.json --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    details.json contient :

    "ProviderDetails": { 
      "MetadataFile": "<SAML metadata XML>",
      "IDPSignout" : "true",
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}
    Note

    Si l'icône <SAML metadata XML> contient toutes les instances du personnage", vous devez ajouter \ en tant que caractère d'échappement :\".

    Exemple avec métadonnées URL : aws cognito-idp create-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-type SAML --provider-details MetadataURL=https://myidp.example.com/sso/saml/metadata --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • AWS API: CreateIdentityProvider

Pour charger un nouveau document de métadonnées pour un fournisseur d'identité

  • AWS CLI: aws cognito-idp update-identity-provider

    Exemple avec fichier de métadonnées : aws cognito-idp update-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-details file:///details.json --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    details.json contient :

    "ProviderDetails": { 
      "MetadataFile": "<SAML metadata XML>",
      "IDPSignout" : "true",
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}
    Note

    Si l'icône <SAML metadata XML> contient toutes les instances du personnage", vous devez ajouter \ en tant que caractère d'échappement :\".

    Exemple avec métadonnées URL : aws cognito-idp update-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-details MetadataURL=https://myidp.example.com/sso/saml/metadata --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • AWS API: UpdateIdentityProvider

Pour obtenir des informations sur un fournisseur d'identité spécifique

  • AWS CLI: aws cognito-idp describe-identity-provider

    aws cognito-idp describe-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1

  • AWS API: DescribeIdentityProvider

Pour répertorier les informations concernant tous IdPs

  • AWS CLI: aws cognito-idp list-identity-providers

    Exemple : aws cognito-idp list-identity-providers --user-pool-id us-east-1_EXAMPLE --max-results 3

  • AWS API: ListIdentityProviders

Pour supprimer un IdP

  • AWS CLI: aws cognito-idp delete-identity-provider

    aws cognito-idp delete-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1

  • AWS API: DeleteIdentityProvider

Pour configurer l'SAMLIdP afin d'ajouter un groupe d'utilisateurs en tant que partie utilisatrice

  • Le fournisseur de services de groupes d'utilisateurs URN est :urn:amazon:cognito:sp:us-east-1_EXAMPLE. Amazon Cognito requiert une valeur de restriction d'audience correspondant à celle indiquée URN dans la SAML réponse. Configurez votre IdP pour utiliser le point de terminaison de POST liaison suivant pour le message de IdP-to-SP réponse.

    https://mydomain.us-east-1.amazoncognito.com/saml2/idpresponse

  • Votre SAML IdP doit renseigner tous NameID les attributs requis pour votre groupe d'utilisateurs dans l'assertion. SAML NameIDest utilisé pour identifier de manière unique votre utilisateur SAML fédéré dans le groupe d'utilisateurs. Votre IdP doit transmettre le SAML nom et l'identifiant de chaque utilisateur dans un format cohérent et en distinguant majuscules et minuscules. Toute variation de la valeur du nom ID d'un utilisateur crée un nouveau profil utilisateur.

Pour fournir un certificat de signature à votre SAML version 2.0 IDP

  • Pour télécharger une copie de la clé publique depuis Amazon Cognito que votre IdP peut utiliser pour valider les demandes de SAML déconnexion, choisissez l'onglet Expérience de connexion de votre groupe d'utilisateurs, sélectionnez votre IdP, puis sous Afficher le certificat de signature, sélectionnez Télécharger au format .crt.

Vous pouvez supprimer n'importe quel SAML fournisseur que vous avez configuré dans votre groupe d'utilisateurs à l'aide de la console Amazon Cognito.

Pour supprimer un SAML fournisseur

  1. Connectez-vous à la console Amazon Cognito.

  2. Dans le volet de navigation, choisissez Groupes d'utilisateurs, puis choisissez le groupe d'utilisateurs que vous souhaitez modifier.

  3. Choisissez l'onglet Expérience de connexion et recherchez la connexion du fournisseur d'identité fédéré.

  4. Sélectionnez le bouton radio à côté de celui SAML IdPs que vous souhaitez supprimer.

  5. Lorsque vous êtes invité à supprimer le fournisseur d'identité, entrez le nom du SAML fournisseur pour confirmer la suppression, puis choisissez Supprimer.