Ajout de fournisseurs d'identité SAML à un groupe d'utilisateurs. - Amazon Cognito

Ajout de fournisseurs d'identité SAML à un groupe d'utilisateurs.

Vous pouvez autoriser les utilisateurs d'applications mobiles et Web à se connecter via un fournisseur d'identité (IdP) SAML tel que Microsoft Active Directory Federation Services (ADFS) ou Shibboleth. Vous devez choisir un fournisseur d'identité SAML qui prend en charge la norme SAML 2.0.

Avec l'interface utilisateur web hébergée intégrée, Amazon Cognito permet de traiter et de gérer tous les utilisateurs authentifiés. Vos systèmes backend peuvent ainsi gérer un ensemble de jetons de groupe d'utilisateurs standard. Vous pouvez créer et gérer un fournisseur d'identité SAML dans AWS Management Console via l'interface AWS CLI ou avec des appels d'API Amazon Cognito. Pour commencer avec la console, reportez-vous à la section Ajouter la connexion à un groupe d'utilisateurs via des fournisseurs d'identité SAML avec la AWS Management Console.


                Présentation de l'authentification avec connexion par les réseaux sociaux
Note

La connexion via un tiers (fédération) est disponible dans les groupes d'utilisateurs Amazon Cognito. Cette fonctionnalité est indépendante de la fédération via les groupes d'identités Amazon Cognito (identités fédérées).

Vous devez mettre à jour votre fournisseur d'identité SAML et configurer votre groupe d'utilisateurs pour prendre en charge ce fournisseur. Consultez la documentation de votre fournisseur d'identité SAML pour plus d'informations sur la façon d'ajouter votre groupe d'utilisateurs en tant que partie utilisatrice ou application pour votre fournisseur d'identité SAML 2.0.

Note

Amazon Cognito prend en charge relayState les valeurs supérieures à 80 octets. Alors que les spécifications SAML indiquent que la valeur relayState « Ne doit pas dépasser 80 octets de longueur », la pratique actuelle de l'industrie s'écarte souvent de ce comportement. En conséquence, le rejet des valeurs relayState de plus de 80 octets rend de nombreuses intégrations de fournisseurs SAML standard inutilisables.

Vous devez également fournir un point de terminaison consommateur d'assertion à votre fournisseur d'identité SAML. Configurez ce point de terminaison pour la liaison POST SAML 2.0 dans votre fournisseur d'identité SAML :

https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse

Le préfixe de domaine et la valeur de la région pour votre groupe d'utilisateurs sont disponibles sous l'onglet Nom de domaine de la console Amazon Cognito.

Pour certains fournisseurs d'identité SAML, vous devez également fournir le fournisseur de services urn / URI du public ciblé / ID d'entité du fournisseur de services, sous la forme :

urn:amazon:cognito:sp:<yourUserPoolID>

L'ID de votre groupe d'utilisateurs se trouve dans l'onglet Paramètres généraux de la console Amazon Cognito.

Vous devez également configurer votre fournisseur d'identité SAML pour fournir des valeurs d'attributs pour tous les attributs requis dans votre groupe d'utilisateurs. Par exemple, email est un attribut requis pour les groupes d'utilisateurs. Ainsi, le fournisseur d'identité SAML doit fournir une valeur email (demande) dans l'assertion SAML.

Les groupes d'utilisateurs Amazon Cognito prennent en charge la fédération SAML 2.0 avec points de terminaison de liaison postérieure. Ainsi, votre application n'a plus besoin d'analyser ni de récupérer les réponses d'assertion SAML, étant donné que le groupe d'utilisateurs reçoit directement la réponse SAML de votre fournisseur d'identité via un agent utilisateur. Votre groupe d'utilisateurs agit en tant que fournisseur de services pour le compte de votre application. Amazon Cognito prend en charge l'authentification unique (SSO) initiée par un fournisseur de services, comme décrit dans la section 5.1.2 de la présentation SAML V2.0 Technical Overview.