SAMLavvio della sessione nei pool di utenti di Amazon Cognito

Amazon Cognito supporta il single sign-on () avviato dal service provider (avviato da SP) e l'avvio da IdP. SSO SSO Come migliore pratica di sicurezza, implementa SP-initiated nel tuo pool di utenti. SSO La sezione 5.1.2 della panoramica tecnica della SAMLversione 2.0 descrive SP-Initiated. SSO Amazon Cognito è il provider di identità della tua app. L'app è il provider di servizi che recupera i token per gli utenti autenticati. Tuttavia, quando utilizzi un provider di identità di terze parti per autenticare gli utenti, Amazon Cognito diventa il provider di servizi. Quando i tuoi utenti SAML 2.0 si autenticano con un flusso avviato da SP, devono sempre prima effettuare una richiesta ad Amazon Cognito e reindirizzare all'IdP per l'autenticazione.

Per alcuni casi d'uso aziendali, l'accesso alle applicazioni interne inizia da un segnalibro in un dashboard ospitato dal provider di identità aziendale. Quando un utente seleziona un segnalibro, l'IdP genera una SAML risposta e la invia all'SP per autenticare l'utente con l'applicazione.

Puoi configurare un SAML IdP nel tuo pool di utenti per supportare l'IdP avviato. SSO Quando supporti l'autenticazione avviata da IdP, Amazon Cognito non può verificare di aver richiesto la risposta che riceve SAML perché Amazon Cognito non avvia l'autenticazione con una richiesta. SAML In SP-Initiated, Amazon SSO Cognito imposta parametri di stato che convalidano una SAML risposta rispetto alla richiesta originale. Con SP-Initiated Sign-in puoi anche proteggerti dalla contraffazione di richieste tra siti (). CSRF

Per un esempio di come creare SP-Initiated SAML in un ambiente in cui non desideri che gli utenti interagiscano con l'interfaccia utente ospitata dal pool di utenti, consulta. Scenario di esempio: aggiungi ai preferiti le app Amazon Cognito in una dashboard aziendale

Argomenti

• Scenario di esempio: aggiungi ai preferiti le app Amazon Cognito in una dashboard aziendale