Mengkonfigurasi penyedia identitas untuk kumpulan pengguna Anda

Dengan kumpulan pengguna, Anda dapat menerapkan login melalui berbagai penyedia identitas eksternal (IdPs). Bagian panduan ini memiliki instruksi untuk menyiapkan penyedia identitas ini dengan kumpulan pengguna Anda di konsol Amazon Cognito. Atau, Anda dapat menggunakan kumpulan pengguna API dan AWS SDK untuk menambahkan penyedia identitas kumpulan pengguna secara terprogram. Untuk informasi lebih lanjut, lihat CreateIdentityProvider.

Opsi penyedia identitas yang didukung termasuk penyedia sosial seperti Facebook, Google, dan Amazon, serta penyedia OpenID Connect (OIDC) dan SAML 2.0. Sebelum memulai, siapkan diri Anda dengan kredensi administratif untuk IDP Anda. Untuk setiap jenis penyedia, Anda harus mendaftarkan aplikasi Anda, mendapatkan kredensi yang diperlukan, dan kemudian mengonfigurasi detail penyedia di kumpulan pengguna Anda. Pengguna Anda kemudian dapat mendaftar dan masuk ke aplikasi Anda dengan akun mereka yang ada dari penyedia identitas yang terhubung.

Tab Pengalaman masuk di bawah login penyedia identitas Federasi menambahkan dan memperbarui kumpulan pengguna. IdPs Untuk informasi selengkapnya, lihat Menambahkan login kumpulan pengguna melalui pihak ketiga.

Mengatur login pengguna dengan iDP sosial

Anda dapat menggunakan federasi untuk mengintegrasikan kumpulan pengguna Amazon Cognito dengan penyedia identitas sosial seperti Facebook, Google, dan Login with Amazon.

Untuk menambahkan penyedia identitas sosial, Anda terlebih dahulu membuat akun developer dengan penyedia identitas. Setelah Anda memiliki akun pengembang, daftarkan aplikasi Anda ke penyedia identitas. Penyedia identitas membuat ID aplikasi dan rahasia aplikasi untuk aplikasi Anda, dan Anda mengonfigurasi nilai-nilai tersebut di kolam pengguna Amazon Cognito Anda.

• Platform identitas Google

• Facebook untuk pengembang

• Login with Amazon

• Masuk dengan Apple

Untuk mengintegrasikan login pengguna dengan iDP sosial

1. Masuk ke konsol Amazon Cognito. Jika diminta, masukkan AWS kredensional Anda.

2. Di panel navigasi, pilih Kumpulan Pengguna, dan pilih kumpulan pengguna yang ingin Anda edit.

3. Pilih tab Pengalaman masuk dan temukan Masuk Federasi.

4. Pilih Tambahkan penyedia identitas, atau pilih penyedia identitas Facebook, Google, Amazon, atau Apple yang telah Anda konfigurasikan, cari informasi penyedia Identitas, dan pilih Edit. Untuk informasi selengkapnya tentang menambahkan penyedia identitas sosial, lihatMenggunakan penyedia identitas sosial dengan kumpulan pengguna.

5. Masukkan informasi penyedia identitas sosial Anda dengan menyelesaikan salah satu langkah berikut, berdasarkan pilihan IDP Anda:

   Facebook, Google, dan Login with Amazon

   Masukkan ID aplikasi dan rahasia aplikasi yang Anda terima saat membuat aplikasi klien.

   Masuk dengan Apple

   Masukkan ID layanan yang Anda berikan ke Apple, dan ID tim, ID kunci, dan kunci pribadi yang Anda terima saat membuat klien aplikasi.

6. Untuk cakupan Resmi, masukkan nama cakupan penyedia identitas sosial yang ingin Anda petakan ke atribut kumpulan pengguna. Cakupan menentukan atribut pengguna, seperti nama dan email, yang ingin Anda akses dengan aplikasi Anda. Saat memasukkan cakupan, gunakan panduan berikut berdasarkan pilihan IDP Anda:

   • Facebook — Pisahkan cakupan dengan koma. Sebagai contoh:

     public_profile, email

   • Google, Login with Amazon, dan Masuk dengan Apple — Pisahkan cakupan dengan spasi. Sebagai contoh:

     • Google: profile email openid

     • Login with Amazon: profile postal_code

     • Masuk dengan Apple: name email

       catatan

       Untuk Masuk dengan Apple (konsol), gunakan kotak centang untuk memilih cakupan.

7. Pilih Simpan perubahan.

8. Dari tab Integrasi klien aplikasi, pilih salah satu klien Aplikasi dalam daftar, lalu pilih Edit pengaturan UI yang dihosting. Tambahkan penyedia identitas sosial baru ke klien aplikasi di bawah Penyedia identitas.

9. Pilih Simpan perubahan.

Untuk informasi lebih lanjut tentang sosial IdPs, lihatMenggunakan penyedia identitas sosial dengan kumpulan pengguna.

Mengatur login pengguna dengan iDP OIDC

Anda dapat mengintegrasikan login pengguna dengan penyedia identitas OpenID OIDC Connect () (IDP) seperti Salesforce atau Ping Identity.

Untuk menambahkan OIDC penyedia ke kumpulan pengguna

1. Masuk ke Konsol Amazon Cognito. Jika diminta, masukkan AWS kredensional Anda.

2. Pilih User Pools dari menu navigasi.

3. Pilih kolam pengguna yang ada dari daftar, atau buat kolam pengguna.

4. Pilih tab Pengalaman masuk. Cari Masuk Federasi dan pilih Tambahkan penyedia identitas.

5. Pilih penyedia identitas OpenID Connect.

6. Masukkan nama unik ke dalam nama Penyedia.

7. Masukkan ID klien yang Anda terima dari penyedia Anda ke ID Klien.

8. Masukkan rahasia klien yang Anda terima dari penyedia Anda ke dalam rahasia Klien.

9. Masukkan cakupan resmi untuk penyedia ini. Cakupan menentukan grup atribut pengguna mana (seperti name danemail) yang akan diminta aplikasi Anda dari penyedia Anda. Lingkup harus dipisahkan oleh spasi, mengikuti spesifikasi OAuth2.0.

   Pengguna Anda harus menyetujui untuk memberikan atribut ini ke aplikasi Anda.

10. Pilih metode permintaan Atribut untuk menyediakan Amazon Cognito dengan HTTP metode (salah satu GET atauPOST) yang digunakan Amazon Cognito untuk mengambil detail pengguna dari userInfotitik akhir yang dioperasikan oleh penyedia Anda.

11. Pilih metode Pengaturan untuk mengambil titik akhir OpenID Connect baik dengan pengisian Otomatis URL melalui penerbit atau input Manual. Gunakan Isi otomatis melalui penerbit URL saat penyedia Anda memiliki .well-known/openid-configuration titik akhir publik tempat Amazon Cognito dapat mengambil URLs titik akhirtoken,,, userInfo dan titik authorization akhir. jwks_uri

12. Masukkan penerbit URL atauauthorization,, tokenuserInfo, dan jwks_uri titik akhir URLs dari IDP Anda.

    catatan

    Anda hanya dapat menggunakan nomor port 443 dan 80 dengan penemuan, diisi otomatis, dan dimasukkan secara manual. URLs Login pengguna gagal jika OIDC penyedia Anda menggunakan port yang tidak standarTCP.

    Penerbit URL harus mulai denganhttps://, dan tidak boleh diakhiri dengan / karakter. Misalnya, Salesforce menggunakan ini: URL

    https://login.salesforce.com

    openid-configurationDokumen yang terkait dengan penerbit Anda URL harus memberikan HTTPS URLs nilai-nilai berikut:authorization_endpoint,, token_endpointuserinfo_endpoint, danjwks_uri. Demikian pula, ketika Anda memilih input Manual, Anda hanya bisa masuk HTTPSURLs.

13. Sub OIDC klaim dipetakan ke atribut kumpulan pengguna Username secara default. Anda dapat memetakan OIDC klaim lain ke atribut kumpulan pengguna. Masukkan OIDC klaim, dan pilih atribut kumpulan pengguna yang sesuai dari daftar drop-down. Misalnya, email klaim sering dipetakan ke atribut kolam pengguna Email.

14. Petakan atribut tambahan dari penyedia identitas Anda ke kumpulan pengguna Anda. Untuk informasi selengkapnya, lihat Menentukan pemetaan atribut Penyedia Identitas untuk kumpulan pengguna Anda.

15. Pilih Buat.

16. Dari tab Integrasi klien aplikasi, pilih salah satu Klien aplikasi dalam daftar dan Edit pengaturan UI yang dihosting. Tambahkan penyedia OIDC identitas baru ke klien aplikasi di bawah Penyedia identitas.

17. Pilih Simpan perubahan.

Untuk informasi lebih lanjut tentang OIDC IdPs, lihatMenggunakan penyedia OIDC identitas dengan kumpulan pengguna.

Mengatur login pengguna dengan iDP SAML

Anda dapat menggunakan federasi untuk kumpulan pengguna Amazon Cognito untuk berintegrasi dengan penyedia SAML identitas (iDP). Anda menyediakan dokumen metadata, baik dengan mengunggah file atau dengan memasukkan titik akhir dokumen metadata. URL Untuk informasi tentang mendapatkan dokumen metadata untuk pihak ketiga SAML IdPs, lihat. Mengkonfigurasi penyedia SAML identitas pihak ketiga Anda

Untuk mengonfigurasi penyedia identitas SAML 2.0 di kumpulan pengguna Anda

1. Masuk ke Konsol Amazon Cognito. Jika diminta, masukkan AWS kredensional Anda.

2. Pilih Kolam Pengguna.

3. Pilih kolam pengguna yang ada dari daftar, atau buat kolam pengguna.

4. Pilih tab Pengalaman masuk. Cari Masuk Federasi dan pilih Tambahkan penyedia identitas.

5. Pilih penyedia SAMLidentitas.

6. Masukkan Identifier dipisahkan dengan koma. Pengidentifikasi mengarahkan Amazon Cognito untuk memeriksa alamat email masuk pengguna, lalu mengarahkan pengguna ke penyedia yang sesuai dengan domain mereka.

7. Pilih Tambahkan alur keluar jika Anda ingin Amazon Cognito mengirim permintaan keluar yang ditandatangani ke penyedia Anda saat pengguna keluar. Konfigurasikan penyedia identitas SAML 2.0 Anda untuk mengirim respons keluar ke https://mydomain.us-east-1.amazoncognito.com/saml2/logout titik akhir yang dibuat Amazon Cognito saat Anda mengonfigurasi UI yang dihosting. saml2/logoutTitik akhir menggunakan POST pengikatan.

   catatan

   Jika Anda memilih opsi ini dan penyedia SAML identitas Anda mengharapkan permintaan logout yang ditandatangani, Anda juga harus mengonfigurasi sertifikat penandatanganan yang disediakan oleh Amazon Cognito dengan IDP Anda. SAML

   SAMLIDP akan memproses permintaan logout yang ditandatangani dan logout pengguna Anda dari sesi Amazon Cognito.

8. Pilih sumber dokumen Metadata. Jika penyedia identitas Anda menawarkan SAML metadata di publikURL, Anda dapat memilih dokumen Metadata URL dan memasukkan publik itu. URL Jika tidak, pilih Unggah dokumen metadata dan pilih file metadata yang Anda unduh dari penyedia Anda sebelumnya.

   catatan

   Jika penyedia Anda memiliki titik akhir publik, sebaiknya Anda memasukkan dokumen metadataURL, daripada mengunggah file. Jika Anda menggunakanURL, Amazon Cognito menyegarkan metadata secara otomatis. Biasanya, penyegaran metadata terjadi setiap 6 jam atau sebelum metadata kedaluwarsa, mana yang lebih awal.

9. Petakan atribut antara SAML penyedia Anda dan aplikasi Anda untuk memetakan atribut SAML penyedia ke profil pengguna di kumpulan pengguna Anda. Sertakan atribut wajib kumpulan pengguna Anda di peta atribut Anda.

   Misalnya, saat Anda memilih atribut User poolemail, masukkan nama SAML atribut seperti yang muncul dalam SAML pernyataan dari penyedia identitas Anda. Penyedia identitas Anda mungkin menawarkan contoh SAML pernyataan untuk referensi. Beberapa penyedia identitas menggunakan nama sederhana, sepertiemail, sementara yang lain menggunakan nama atribut URL -formatted mirip dengan:

   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

10. Pilih Buat.

catatan

Jika Anda melihat InvalidParameterException saat membuat SAML IDP dengan titik akhir HTTPS metadataURL, pastikan bahwa titik akhir metadata telah diatur SSL dengan benar dan ada sertifikat valid yang terkait dengannya. SSL Salah satu contoh pengecualian tersebut adalah “Kesalahan mengambil metadata dari <metadata endpoint>".

Untuk mengatur SAML IDP untuk menambahkan sertifikat penandatanganan

• Untuk mendapatkan sertifikat yang berisi kunci publik yang digunakan IDP untuk memverifikasi permintaan logout yang ditandatangani, pilih Tampilkan sertifikat penandatanganan di bawah SAMLPenyedia Aktif pada SAMLdialog di bawah Penyedia identitas di halaman Konsol Federasi.

Untuk informasi lebih lanjut tentang SAML IdPs lihatMenggunakan penyedia SAML identitas dengan kumpulan pengguna.