Tambahkan login dengan penyedia identitas SAMP ke kumpulan pengguna (opsional) - Amazon Cognito

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tambahkan login dengan penyedia identitas SAMP ke kumpulan pengguna (opsional)

Anda dapat mengaktifkan pengguna aplikasi Anda untuk masuk melalui penyedia identitas SAML (IdP). Apakah pengguna Anda masuk secara langsung atau melalui pihak ketiga, semua pengguna memiliki profil di kolam pengguna. Lewati langkah ini jika Anda tidak ingin menambahkan masuk melalui penyedia identitas SAML.

Untuk informasi selengkapnya, lihat Menggunakan penyedia identitas SAMP dengan kumpulan pengguna.

Anda harus memperbarui penyedia identitas SAFL Anda dan mengonfigurasi kumpulan pengguna Anda. Untuk informasi tentang cara menambahkan kumpulan pengguna Anda sebagai pihak yang mengandalkan atau aplikasi untuk penyedia identitas SAMP 2.0 Anda, lihat dokumentasi untuk penyedia identitas SAMP Anda.

Anda juga harus memberikan titik akhir assertion consumer service (ACS) kepada penyedia identitas SALL Anda. Konfigurasikan titik akhir berikut di domain kumpulan pengguna Anda untuk pengikatan SAMP 2.0 POST di penyedia identitas SAMP Anda. Untuk informasi selengkapnya tentang domain kumpulan pengguna, lihatMengkonfigurasi domain kolam pengguna.

https://Your user pool domain/saml2/idpresponse
With an Amazon Cognito domain:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
With a custom domain:
https://Your custom domain/saml2/idpresponse

Anda dapat menemukan awalan domain dan nilai Wilayah untuk kumpulan pengguna Anda di tab Nama domain di konsol Amazon Cognito.

Untuk beberapa penyedia identitas SAMP, Anda juga perlu menyediakan penyedia layanan (SP)urn, juga disebut URI audiens atau ID entitas SP, dalam format:

urn:amazon:cognito:sp:<yourUserPoolID>

Anda dapat menemukan ID kolam pengguna Anda di tab Pengaturan umum di Konsol Amazon Cognito.

Anda juga harus mengonfigurasi penyedia identitas SAML Anda untuk memberikan nilai atribut untuk atribut yang diperlukan di kolam pengguna Anda. Biasanya, email adalah atribut yang diperlukan untuk kolam pengguna. Dalam hal itu, penyedia identitas SAML harus memberikan nilai (klaim) email dalam pernyataan SAML.

Kolam pengguna Amazon Cognito mendukung federasi SAML 2.0 dengan titik akhir pasca-pengikatan. Ini menghilangkan kebutuhan aplikasi Anda untuk mengambil atau mengurai respons pernyataan SAMP karena kumpulan pengguna secara langsung menerima respons SAMP dari penyedia identitas Anda melalui agen pengguna.

Untuk mengonfigurasi penyedia identitas SAML 2.0 di kolam pengguna Anda

  1. Masuk ke Konsol Amazon Cognito. Jika diminta, masukkan AWS kredensional Anda.

  2. Pilih Kolam Pengguna.

  3. Pilih kolam pengguna yang ada dari daftar, atau buat kolam pengguna.

  4. Pilih tab Pengalaman masuk. Cari Masuk Federasi dan pilih Tambahkan penyedia identitas.

  5. Pilih penyedia identitas sosial SAMP.

  6. Masukkan Identifier dipisahkan dengan koma. Pengidentifikasi memberi tahu Amazon Cognito bahwa ia harus memeriksa alamat email yang dimasukkan pengguna saat mereka masuk. Kemudian mengarahkan mereka ke penyedia yang sesuai dengan domain mereka.

  7. Pilih Tambahkan alur keluar jika Anda ingin Amazon Cognito mengirim permintaan keluar yang ditandatangani ke penyedia Anda saat pengguna keluar. Anda harus mengonfigurasi penyedia identitas SAMP 2.0 Anda untuk mengirim respons keluar ke https://<your Amazon Cognito domain>/saml2/logout titik akhir yang dibuat saat Anda mengonfigurasi UI yang dihosting. saml2/logoutTitik akhir menggunakan pengikatan POST.

    catatan

    Jika opsi ini dipilih dan penyedia identitas SAMP Anda mengharapkan permintaan logout yang ditandatangani, Anda juga perlu mengonfigurasi sertifikat penandatanganan yang disediakan oleh Amazon Cognito dengan SAMP IDP Anda.

    SAMP iDP akan memproses permintaan logout yang ditandatangani dan akan mengeluarkan pengguna Anda dari sesi Amazon Cognito.

  8. Pilih sumber dokumen Metadata. Jika penyedia identitas Anda menawarkan metadata SAM di URL publik, Anda dapat memilih URL dokumen Metadata dan memasukkan URL publik tersebut. Jika tidak, pilih Unggah dokumen metadata dan pilih file metadata yang Anda unduh dari penyedia Anda sebelumnya.

    catatan

    Kami menyarankan Anda memasukkan URL dokumen metadata jika penyedia Anda memiliki titik akhir publik, daripada mengunggah file. Ini memungkinkan Amazon Cognito menyegarkan metadata secara otomatis. Biasanya, penyegaran metadata terjadi setiap 6 jam atau sebelum metadata kedaluwarsa, mana yang lebih awal.

  9. Pilih atribut Peta antara penyedia SAFL dan aplikasi Anda untuk memetakan atribut penyedia SAFL ke profil pengguna di kumpulan pengguna Anda. Sertakan atribut yang diperlukan kumpulan pengguna Anda di peta atribut Anda.

    Misalnya, ketika Anda memilih atribut User poolemail, masukkan nama atribut SAMP seperti yang muncul dalam pernyataan SAMP dari penyedia identitas Anda. Penyedia identitas Anda mungkin menawarkan contoh pernyataan SAFL untuk referensi. Beberapa penyedia identitas menggunakan nama sederhana, sepertiemail, sementara yang lain menggunakan nama atribut berformat URL, seperti contoh berikut:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Pilih Buat.