Utilisation de fournisseurs SAML d'identité avec un pool d'utilisateurs - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de fournisseurs SAML d'identité avec un pool d'utilisateurs

Vous pouvez choisir de faire en sorte que les utilisateurs de vos applications Web et mobiles se connectent via un fournisseur SAML d'identité (IdP) tel que Microsoft Active Directory Federation Services (ADFS) ou Shibboleth. Vous devez choisir un SAML IdP compatible avec le standard SAML2.0.

Grâce à l'interface utilisateur hébergée et aux points de terminaison de fédération, Amazon Cognito authentifie les utilisateurs IdP locaux et tiers et émet des jetons Web (). JSON JWTs Avec les jetons émis par Amazon Cognito, vous pouvez consolider plusieurs sources d'identité dans une norme universelle OpenID Connect (OIDC) pour toutes vos applications. Amazon Cognito peut traiter SAML les assertions de vos fournisseurs tiers conformément à cette norme. SSO Vous pouvez créer et gérer un SAML IdP dans les groupes d'utilisateurs Amazon Cognito AWS Management Console AWS CLI, par le biais de ou avec ceux-ci. API Pour créer votre premier SAML IdP dans le AWS Management Console, voir. Ajouter et gérer des fournisseurs SAML d'identité dans un groupe d'utilisateurs

Vue d'ensemble de l'authentification avec SAML connexion
Note

La fédération avec connexion via un IdP tiers est une fonctionnalité des groupes d'utilisateurs Amazon Cognito. Les groupes d'identités Amazon Cognito, parfois appelés identités fédérées Amazon Cognito, sont une implémentation de fédération que vous devez configurer séparément dans chaque pool d'identités. Un groupe d'utilisateurs peut être un IdP tiers d'un pool d'identités. Pour de plus amples informations, veuillez consulter Groupes d’identités Amazon Cognito.

Référence rapide pour la configuration de l'IdP

Vous devez configurer votre SAML IdP pour accepter les demandes et envoyer des réponses à votre groupe d'utilisateurs. La documentation de votre SAML IdP contiendra des informations sur la façon d'ajouter votre groupe d'utilisateurs en tant que partie de confiance ou application pour votre SAML IdP 2.0. La documentation suivante fournit les valeurs que vous devez fournir pour l'ID d'entité SP et le service client d'assertion (ACS)URL.

Référence rapide SAML des valeurs du pool d'utilisateurs
ID de l'entité SP
urn:amazon:cognito:sp:us-east-1_EXAMPLE
ACS URL
https://Your user pool domain/saml2/idpresponse

Vous devez configurer votre groupe d'utilisateurs pour qu'il prenne en charge votre fournisseur d'identité. Les étapes de haut niveau pour ajouter un SAML IdP externe sont les suivantes.

  1. Téléchargez SAML les métadonnées depuis votre IdP ou récupérez-les sur votre point de URL terminaison de métadonnées. Consultez Configuration de votre fournisseur SAML d'identité tiers.

  2. Ajoutez un nouvel IdP à votre groupe d'utilisateurs. Téléchargez les SAML métadonnées ou fournissez-lesURL. Consultez Ajouter et gérer des fournisseurs SAML d'identité dans un groupe d'utilisateurs.

  3. Attribuez l'IdP aux clients de votre application. Consultez Paramètres spécifiques à l'application avec les clients d'applications.

La distinction majuscules/minuscules des noms SAML d'utilisateur

Lorsqu'un utilisateur fédéré tente de se connecter, le fournisseur SAML d'identité (IdP) transmet un code NameId unique à Amazon Cognito dans l'assertion de l'utilisateur. SAML Amazon Cognito identifie un utilisateur SAML fédéré par sa réclamation. NameId Quels que soient les paramètres de distinction majuscules/minuscules de votre groupe d'utilisateurs, Amazon Cognito reconnaît un utilisateur fédéré qui revient d'un SAML IdP lorsqu'il transmet sa demande unique et sensible aux majuscules et minuscules. NameId Si vous mappez un attribut comme email à NameId, et que votre utilisateur change d'adresse e-mail, il ne peut pas se connecter à votre application.

NameIdMappez vos SAML assertions à partir d'un attribut IdP dont les valeurs ne changent pas.

Par exemple, Carlos possède un profil utilisateur dans votre groupe d'utilisateurs qui ne fait pas la distinction majuscules/minuscules, issu d'une SAML assertion Active Directory Federation Services (ADFS) qui a transmis NameId la valeur de. Carlos@example.com La prochaine fois que Carlos essaiera de se connecter, votre ADFS IdP transmettra une NameId valeur de. carlos@example.com Comme NameId doit être une correspondance exacte qui respecte la casse, la connexion ne réussit pas.

Si vos utilisateurs ne peuvent pas se connecter après le changement de NameID, supprimez leurs profils utilisateur de votre groupe d'utilisateurs. Amazon Cognito créera de nouveaux profils utilisateur la prochaine fois qu'ils se connecteront.