Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de fournisseurs SAML d'identité avec un pool d'utilisateurs
Vous pouvez choisir de faire en sorte que les utilisateurs de vos applications Web et mobiles se connectent via un fournisseur SAML d'identité (IdP) tel que Microsoft Active Directory Federation Services (ADFS)
Grâce à l'interface utilisateur hébergée et aux points de terminaison de fédération, Amazon Cognito authentifie les utilisateurs IdP locaux et tiers et émet des jetons Web (). JSON JWTs Avec les jetons émis par Amazon Cognito, vous pouvez consolider plusieurs sources d'identité dans une norme universelle OpenID Connect (OIDC) pour toutes vos applications. Amazon Cognito peut traiter SAML les assertions de vos fournisseurs tiers conformément à cette norme. SSO Vous pouvez créer et gérer un SAML IdP dans les groupes d'utilisateurs Amazon Cognito AWS Management Console AWS CLI, par le biais de ou avec ceux-ci. API Pour créer votre premier SAML IdP dans le AWS Management Console, voir. Ajouter et gérer des fournisseurs SAML d'identité dans un groupe d'utilisateurs
Note
La fédération avec connexion via un IdP tiers est une fonctionnalité des groupes d'utilisateurs Amazon Cognito. Les groupes d'identités Amazon Cognito, parfois appelés identités fédérées Amazon Cognito, sont une implémentation de fédération que vous devez configurer séparément dans chaque pool d'identités. Un groupe d'utilisateurs peut être un IdP tiers d'un pool d'identités. Pour de plus amples informations, veuillez consulter Groupes d’identités Amazon Cognito.
Référence rapide pour la configuration de l'IdP
Vous devez configurer votre SAML IdP pour accepter les demandes et envoyer des réponses à votre groupe d'utilisateurs. La documentation de votre SAML IdP contiendra des informations sur la façon d'ajouter votre groupe d'utilisateurs en tant que partie de confiance ou application pour votre SAML IdP 2.0. La documentation suivante fournit les valeurs que vous devez fournir pour l'ID d'entité SP et le service client d'assertion (ACS)URL.
Référence rapide SAML des valeurs du pool d'utilisateurs
- ID de l'entité SP
-
urn:amazon:cognito:sp:
us-east-1_EXAMPLE
- ACS URL
-
https://
Your user pool domain
/saml2/idpresponse
Vous devez configurer votre groupe d'utilisateurs pour qu'il prenne en charge votre fournisseur d'identité. Les étapes de haut niveau pour ajouter un SAML IdP externe sont les suivantes.
-
Téléchargez SAML les métadonnées depuis votre IdP ou récupérez-les sur votre point de URL terminaison de métadonnées. Consultez Configuration de votre fournisseur SAML d'identité tiers.
-
Ajoutez un nouvel IdP à votre groupe d'utilisateurs. Téléchargez les SAML métadonnées ou fournissez-lesURL. Consultez Ajouter et gérer des fournisseurs SAML d'identité dans un groupe d'utilisateurs.
-
Attribuez l'IdP aux clients de votre application. Consultez Paramètres spécifiques à l'application avec les clients d'applications.
Rubriques
- Informations à connaître sur les groupes SAML IdPs d'utilisateurs Amazon Cognito
- La distinction majuscules/minuscules des noms SAML d'utilisateur
- Configuration de votre fournisseur SAML d'identité tiers
- Ajouter et gérer des fournisseurs SAML d'identité dans un groupe d'utilisateurs
- SAMLlancement de session dans les groupes d'utilisateurs Amazon Cognito
- Déconnexion des SAML utilisateurs à l'aide de la fonction de déconnexion unique
- SAMLsignature et chiffrement
- SAMLnoms et identifiants des fournisseurs d'identité
La distinction majuscules/minuscules des noms SAML d'utilisateur
Lorsqu'un utilisateur fédéré tente de se connecter, le fournisseur SAML d'identité (IdP) transmet un code NameId
unique à Amazon Cognito dans l'assertion de l'utilisateur. SAML Amazon Cognito identifie un utilisateur SAML fédéré par sa réclamation. NameId
Quels que soient les paramètres de distinction majuscules/minuscules de votre groupe d'utilisateurs, Amazon Cognito reconnaît un utilisateur fédéré qui revient d'un SAML IdP lorsqu'il transmet sa demande unique et sensible aux majuscules et minuscules. NameId
Si vous mappez un attribut comme email
à NameId
, et que votre utilisateur change d'adresse e-mail, il ne peut pas se connecter à votre application.
NameId
Mappez vos SAML assertions à partir d'un attribut IdP dont les valeurs ne changent pas.
Par exemple, Carlos possède un profil utilisateur dans votre groupe d'utilisateurs qui ne fait pas la distinction majuscules/minuscules, issu d'une SAML assertion Active Directory Federation Services (ADFS) qui a transmis NameId
la valeur de. Carlos@example.com
La prochaine fois que Carlos essaiera de se connecter, votre ADFS IdP transmettra une NameId
valeur de. carlos@example.com
Comme NameId
doit être une correspondance exacte qui respecte la casse, la connexion ne réussit pas.
Si vos utilisateurs ne peuvent pas se connecter après le changement de NameID
, supprimez leurs profils utilisateur de votre groupe d'utilisateurs. Amazon Cognito créera de nouveaux profils utilisateur la prochaine fois qu'ils se connecteront.
Rubriques
- Configuration de votre fournisseur SAML d'identité tiers
- Ajouter et gérer des fournisseurs SAML d'identité dans un groupe d'utilisateurs
- SAMLlancement de session dans les groupes d'utilisateurs Amazon Cognito
- Déconnexion des SAML utilisateurs à l'aide de la fonction de déconnexion unique
- SAMLsignature et chiffrement
- SAMLnoms et identifiants des fournisseurs d'identité