Le point de terminaison de l'assertion IdP SAML

Il /saml2/idpresponse reçoit des SAML assertions. Lors de la connexion service-provider-initiated (initiée par le SP), votre application n'interagit pas directement avec ce point de terminaison : votre fournisseur SAML d'identité (IdP) 2.0 redirige votre utilisateur ici avec sa réponse. SAML Pour une connexion initiée par le SP, configurez votre IdP avec le chemin d'accès à votre service client saml2/idpresponse en tant qu'assertion (). ACS URL Pour plus d'informations sur le lancement de session, consultezSAMLlancement de session dans les groupes d'utilisateurs Amazon Cognito.

Lors de la connexion initiée par l'IdP, appelez des demandes adressées à ce point de terminaison dans votre application après avoir connecté un utilisateur auprès de votre SAML fournisseur 2.0. Vos utilisateurs se connectent avec votre IdP dans leur navigateur, puis votre application collecte l'SAMLassertion et la soumet à ce point de terminaison. Vous devez soumettre SAML des assertions dans le corps d'une HTTP POST demande. HTTPS Le corps de votre POST demande doit être un SAMLResponse paramètre et un Relaystate paramètre. Pour de plus amples informations, veuillez consulter Utilisation de la connexion initiée par l'IdP SAML.

POST /saml2/idpresponse

Pour utiliser le /saml2/idpresponse point de terminaison lors d'une connexion initiée par un IdP, générez une POST demande avec des paramètres qui fournissent à votre groupe d'utilisateurs des informations sur la session de votre utilisateur.

• Le client d'application auquel ils souhaitent se connecter.

• Le rappel URL auquel ils veulent se retrouver.

• Les étendues OAuth 2.0 qu'ils souhaitent demander dans le jeton d'accès de votre utilisateur.

• L'IdP à l'origine de la demande de connexion.

Paramètres du corps de la demande initiée par l'IDP

SAMLResponse

Une SAML assertion codée en Base64 provenant d'un IdP associé à un client d'application valide et à une configuration IdP dans votre groupe d'utilisateurs.

RelayState

Un RelayState paramètre contient les paramètres de demande que vous transmettriez autrement au oauth2/authorize point de terminaison. Pour obtenir des informations détaillées sur ces paramètres, consultezPoint de terminaison d’autorisation.

response_type

Type de subvention OAuth 2.0.

client_id

ID du client d'application.

redirect_uri

L'URLendroit où le serveur d'authentification redirige le navigateur une fois qu'Amazon Cognito a autorisé l'utilisateur.

identity_provider

Le nom du fournisseur d'identité vers lequel vous souhaitez rediriger votre utilisateur.

idp_identifier

L'identifiant du fournisseur d'identité vers lequel vous souhaitez rediriger votre utilisateur.

scope

Les étendues OAuth 2.0 que vous souhaitez que votre utilisateur demande au serveur d'autorisation.

Exemples de demandes avec réponses positives

Exemple — POST demande

La demande suivante concerne l'octroi d'un code d'autorisation à un utilisateur depuis l'IdP MySAMLIdP dans le client de l'application. 1example23456789 L'utilisateur redirige vers https://www.example.com avec son code d'autorisation, qui peut être échangé contre des jetons comprenant un jeton d'accès avec les portées OAuth 2.0 openidemail, et. phone

POST /saml2/idpresponse HTTP/1.1
User-Agent: USER_AGENT
Accept: */*
Host: example.auth.us-east-1.amazoncognito.com
Content-Type: application/x-www-form-urlencoded

SAMLResponse=[Base64-encoded SAML assertion]&RelayState=identity_provider%3DMySAMLIdP%26client_id%3D1example23456789%26redirect_uri%3Dhttps%3A%2F%2Fwww.example.com%26response_type%3Dcode%26scope%3Demail%2Bopenid%2Bphone

Exemple — réponse

Voici la réponse à la demande précédente.

HTTP/1.1 302 Found
Date: Wed, 06 Dec 2023 00:15:29 GMT
Content-Length: 0
x-amz-cognito-request-id: 8aba6eb5-fb54-4bc6-9368-c3878434f0fb
Location: https://www.example.com?code=[Authorization code]