Menambahkan dan mengelola penyedia identitas SAMP di kumpulan pengguna - Amazon Cognito

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menambahkan dan mengelola penyedia identitas SAMP di kumpulan pengguna

Prosedur berikut menunjukkan cara membuat, memodifikasi, dan menghapus penyedia SAMP di kumpulan pengguna Amazon Cognito.

AWS Management Console

Anda dapat menggunakan AWS Management Console untuk membuat dan menghapus penyedia identitas SAMP (IdPs).

Sebelum Anda membuat IDP SAMP, Anda harus memiliki dokumen metadata SAMP yang Anda dapatkan dari iDP pihak ketiga. Untuk petunjuk tentang cara mendapatkan atau menghasilkan dokumen metadata SAML yang diperlukan, lihat Mengonfigurasi penyedia identitas SAMP pihak ketiga Anda.

Untuk mengonfigurasi SAMP 2.0 iDP di kumpulan pengguna Anda

  1. Masuk ke Konsol Amazon Cognito. Jika diminta, masukkan AWS kredensil Anda.

  2. Pilih Kolam Pengguna.

  3. Pilih kolam pengguna yang ada dari daftar, atau buat kolam pengguna.

  4. Pilih tab Pengalaman masuk. Cari Masuk Federasi dan pilih Tambahkan penyedia identitas.

  5. Pilih SAMP iDP.

  6. Masukkan nama Penyedia. Anda dapat meneruskan nama ramah ini dalam parameter identity_provider permintaan ke fileOtorisasi titik akhir.

  7. Masukkan Identifier dipisahkan dengan koma. Pengidentifikasi memberi tahu Amazon Cognito bahwa ia harus memeriksa alamat email yang dimasukkan pengguna saat mereka masuk, dan kemudian mengarahkannya ke penyedia yang sesuai dengan domain mereka.

  8. Pilih Tambahkan alur keluar jika Anda ingin Amazon Cognito mengirim permintaan keluar yang ditandatangani ke penyedia Anda saat pengguna keluar. Anda harus mengonfigurasi IDP SAMP 2.0 Anda untuk mengirim respons keluar ke titik akhir yang dibuat saat Anda https://mydomain.us-east-1.amazoncognito.com/saml2/logout mengonfigurasi UI yang dihosting. saml2/logoutTitik akhir menggunakan pengikatan POST.

    catatan

    Jika opsi ini dipilih dan IDP SAMP Anda mengharapkan permintaan logout yang ditandatangani, Anda juga harus memberikan SAMP IDP Anda dengan sertifikat penandatanganan dari kumpulan pengguna Anda.

    SAMP iDP akan memproses permintaan logout yang ditandatangani dan mengeluarkan pengguna Anda dari sesi Amazon Cognito.

  9. Pilih konfigurasi login SAMP yang diprakarsai IDP. Sebagai praktik keamanan terbaik, pilih Terima pernyataan SAMP yang diprakarsai SP saja. Jika Anda telah mempersiapkan lingkungan Anda untuk menerima sesi masuk SAMP yang tidak diminta dengan aman, pilih Terima pernyataan SAMP yang diprakarsai SP dan IDP. Untuk informasi selengkapnya, lihat Inisiasi sesi SAMP di kumpulan pengguna Amazon Cognito.

  10. Pilih sumber dokumen Metadata. Jika IDP Anda menawarkan metadata SAMP di URL publik, Anda dapat memilih URL dokumen Metadata dan memasukkan URL publik tersebut. Jika tidak, pilih Unggah dokumen metadata dan pilih file metadata yang Anda unduh dari penyedia Anda sebelumnya.

    catatan

    Kami menyarankan Anda memasukkan URL dokumen metadata jika penyedia Anda memiliki titik akhir publik alih-alih mengunggah file. Amazon Cognito secara otomatis menyegarkan metadata dari URL metadata. Biasanya, penyegaran metadata terjadi setiap 6 jam atau sebelum metadata kedaluwarsa, mana yang lebih awal.

  11. Petakan atribut antara penyedia SAMP Anda dan kumpulan pengguna Anda untuk memetakan atribut penyedia SAMP ke profil pengguna di kumpulan pengguna Anda. Sertakan atribut wajib kumpulan pengguna Anda di peta atribut Anda.

    Misalnya, ketika Anda memilih atribut User poolemail, masukkan nama atribut SAMP seperti yang muncul dalam pernyataan SAMP dari idP Anda. Jika IDP Anda menawarkan contoh pernyataan SAMP, Anda dapat menggunakan pernyataan sampel ini untuk membantu Anda menemukan nama. Beberapa IdPs menggunakan nama sederhana, sepertiemail, sementara yang lain menggunakan nama seperti berikut ini.

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  12. Pilih Buat.

API/CLI

Gunakan perintah berikut untuk membuat dan mengelola penyedia identitas SAMP (IDP).

Untuk membuat iDP dan mengunggah dokumen metadata

  • AWS CLI: aws cognito-idp create-identity-provider

    Contoh dengan file metadata: aws cognito-idp create-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-type SAML --provider-details file:///details.json --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    Di mana details.json berisi:

    "ProviderDetails": { 
      "MetadataFile": "<SAML metadata XML>",
      "IDPSignout" : "true",
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}
    catatan

    Jika <SAML metadata XML>berisi instance karakter", Anda harus menambahkan \ sebagai karakter escape:\".

    Contoh dengan URL metadata: aws cognito-idp create-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-type SAML --provider-details MetadataURL=https://myidp.example.com/sso/saml/metadata --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • AWS API: CreateIdentityProvider

Untuk mengunggah dokumen metadata baru untuk IDP

  • AWS CLI: aws cognito-idp update-identity-provider

    Contoh dengan file metadata: aws cognito-idp update-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-details file:///details.json --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    Di mana details.json berisi:

    "ProviderDetails": { 
      "MetadataFile": "<SAML metadata XML>",
      "IDPSignout" : "true",
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}
    catatan

    Jika <SAML metadata XML>berisi instance karakter", Anda harus menambahkan \ sebagai karakter escape:\".

    Contoh dengan URL metadata: aws cognito-idp update-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-details MetadataURL=https://myidp.example.com/sso/saml/metadata --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • AWS API: UpdateIdentityProvider

Untuk mendapatkan informasi tentang IDP tertentu

  • AWS CLI: aws cognito-idp describe-identity-provider

    aws cognito-idp describe-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1

  • AWS API: DescribeIdentityProvider

Untuk daftar informasi tentang semua IdPs

  • AWS CLI: aws cognito-idp list-identity-providers

    Contoh: aws cognito-idp list-identity-providers --user-pool-id us-east-1_EXAMPLE --max-results 3

  • AWS API: ListIdentityProviders

Untuk menghapus IdP

  • AWS CLI: aws cognito-idp delete-identity-provider

    aws cognito-idp delete-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1

  • AWS API: DeleteIdentityProvider

Untuk menyiapkan IdP SAML untuk menambahkan kolam pengguna sebagai pihak yang mengandalkan

  • URN penyedia layanan kolam pengguna adalah: urn:amazon:cognito:sp:us-east-1_EXAMPLE. Amazon Cognito memerlukan nilai pembatasan audiens yang cocok dengan URN ini dalam respons SAMP. Konfigurasikan IDP Anda untuk menggunakan titik akhir pengikatan POST berikut untuk pesan respons IDP-ke-SP.

    https://mydomain.us-east-1.amazoncognito.com/saml2/idpresponse

  • IDP SAMP Anda harus NameID terisi dan atribut apa pun yang diperlukan untuk kumpulan pengguna Anda dalam pernyataan SAMP. NameIDdigunakan untuk mengidentifikasi pengguna federasi SAMP Anda secara unik di kumpulan pengguna. IDP Anda harus meneruskan ID nama SAMP setiap pengguna dalam format yang konsisten dan peka huruf besar/kecil. Setiap variasi dalam nilai ID nama pengguna membuat profil pengguna baru.

Untuk memberikan sertifikat penandatanganan ke IDP SAMP 2.0 Anda

  • Untuk mengunduh salinan kunci publik dari Amazon Cognito yang dapat digunakan idP Anda untuk memvalidasi permintaan logout SAMP, pilih tab Pengalaman masuk dari kumpulan pengguna Anda, pilih IDP Anda, dan di bawah Lihat sertifikat penandatanganan, pilih Unduh sebagai.crt.

Anda dapat menghapus penyedia SAMP apa pun yang telah Anda atur di kumpulan pengguna Anda dengan konsol Amazon Cognito.

Untuk menghapus penyedia SAML

  1. Masuk ke Konsol Amazon Cognito.

  2. Di panel navigasi, pilih Kumpulan Pengguna, dan pilih kumpulan pengguna yang ingin Anda edit.

  3. Pilih tab Pengalaman masuk dan temukan login penyedia identitas Federasi.

  4. Pilih tombol radio di sebelah SAMP yang ingin IdPs Anda hapus.

  5. Ketika Anda diminta untuk Hapus penyedia identitas, masukkan nama penyedia SAMP untuk mengonfirmasi penghapusan, lalu pilih Hapus.