Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Amazon Cognito prend en charge la déconnexion unique
Lorsque vous configurez votre IdP SAML pour prendre en charge le flux de déconnexion, Amazon Cognito redirige votre utilisateur avec une demande de déconnexion SAML signée vers votre IdP. Amazon Cognito détermine l'emplacement de la redirection à partir de l'SingleLogoutService
URL figurant dans les métadonnées de votre IdP. Amazon Cognito signe la demande de déconnexion avec le certificat de signature de votre groupe d'utilisateurs.

Lorsque vous dirigez un utilisateur disposant d'une session SAML vers le point de /logout
terminaison de votre groupe d'utilisateurs, Amazon Cognito redirige votre utilisateur SAML avec la demande suivante vers le point de terminaison SLO spécifié dans les métadonnées de l'IdP.
https://
[SingleLogoutService endpoint]
? SAMLRequest=[encoded SAML request]
& RelayState=[RelayState]
& SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256& Signature=[User pool RSA signature]
Votre utilisateur retourne ensuite sur votre saml2/logout
terminal avec un identifiant LogoutResponse
provenant de son IdP. Votre IdP doit envoyer une LogoutResponse
HTTP POST
demande. Amazon Cognito les redirige ensuite vers la destination de redirection depuis leur demande de déconnexion initiale.
Votre fournisseur SAML peut envoyer un fichier LogoutResponse
contenant plusieurs AuthnStatement
fichiers. Le sessionIndex
premier AuthnStatement
élément d'une réponse de ce type doit correspondre sessionIndex
à celui de la réponse SAML qui a initialement authentifié l'utilisateur. S'il se sessionIndex
trouve dans une autre sessionAuthnStatement
, Amazon Cognito ne reconnaîtra pas la session et votre utilisateur ne sera pas déconnecté.
Pour configurer la déconnexion SAML
-
Créez un groupe d'utilisateurs, un client d'application et un IdP SAML.
-
Lorsque vous créez ou modifiez votre fournisseur d'identité SAML, sous Informations sur le fournisseur d'identité, cochez la case intitulée Ajouter un flux de déconnexion.
-
Dans le menu Réseaux sociaux et fournisseurs externes de votre groupe d'utilisateurs, choisissez votre IdP et recherchez le certificat de signature.
-
Choisissez Télécharger au format .crt.
-
Configurez votre fournisseur SAML pour qu'il prenne en charge la déconnexion unique et la signature des demandes SAML, et téléchargez le certificat de signature du groupe d'utilisateurs. Votre IdP doit être redirigé vers le domaine
/saml2/logout
de votre groupe d'utilisateurs.