Aggiunta di un accesso con un provider di identità SAML a un bacino d'utenza (facoltativo) - Amazon Cognito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiunta di un accesso con un provider di identità SAML a un bacino d'utenza (facoltativo)

È possibile abilitare gli utenti della tua app ad accedere tramite un provider di identità (IdP) SAML. Sia che effettuino l'accesso direttamente o attraverso terze parti, tutti gli utenti hanno un profilo nel bacino d'utenza. Salta questa fase se non desideri aggiungere l'accesso attraverso un provider di identità SAML.

È necessario aggiornare il provider di identità SAML e configurare il bacino d'utenza. Consulta la documentazione del provider di identità SAML per informazioni su come aggiungere il bacino d'utenza come relying party o come e per il provider di identità SAML 2.0.

È anche necessario fornire un endpoint assertion consumer al provider di identità SAML. Configura il seguente endpoint nel dominio del pool di utenti per il binding SAML 2.0 POST nel gestore dell'identità digitale SAML. Per ulteriori informazioni sui domini del pool di utenti, consulta l'articolo Configurazione di un dominio di bacino d'utenza.

https://Your user pool domain/saml2/idpresponse
With an Amazon Cognito domain:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
With a custom domain:
https://Your custom domain/saml2/idpresponse

È possibile trovare il prefisso di dominio e il valore della regione per il bacino d’utenza alla scheda Nome dominio della console Amazon Cognito.

Per alcuni provider di identità SAML, è necessario fornire anche l'urn SP / URI Audience / ID entità SP nel formato:

urn:amazon:cognito:sp:<yourUserPoolID>

Puoi trovare l'ID del bacino d'utenza nella scheda Impostazioni generali nella console Amazon Cognito.

È inoltre necessario configurare il provider di identità SAML per fornire i valori di attributo per tutti gli attributi obbligatori nel bacino d'utenza. Di solito, email è un attributo obbligatorio per i bacini d'utenza. In questo caso, il provider di identità SAML deve fornire un valore email (attestazione) nell'asserzione SAML.

I bacini d'utenza di Amazon Cognito supportano la federazione SAML 2.0 con endpoint post-binding. In questo modo, l'app non avrà bisogno di recuperare o analizzare le risposte dell'asserzione SAML poiché il bacino d'utenza riceve la risposta SAML direttamente dal provider di identità tramite un agente utente.

Per configurare un provider di identità SAML 2.0 nel bacino d'utenza

  1. Passa alla console Amazon Cognito. Se richiesto, inserisci le tue credenziali AWS.

  2. Scegli User Pools (Pool di utenti).

  3. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  4. Scegli la scheda Sign-in experience (Esperienza di accesso). Individua Federated sign-in (accesso federato) e seleziona Add an identity provider (aggiungi un provider di identità).

  5. Scegli un provider SAML di identità social.

  6. Inserisci gli Identifiers (identificatori) separati da virgole. Un identificatore indica ad Amazon Cognito che dovrebbe controllare l'indirizzo e-mail inserito dall'utente al momento dell'accesso e quindi indirizzarlo al provider che corrisponde al proprio dominio.

  7. Scegli Add sign-out flow (Aggiungi flusso di disconnessione) se desideri che Amazon Cognito invii richieste di disconnessione firmate al tuo provider quando un utente si disconnette. È necessario configurare il provider di identità SAML 2.0 per inviare le risposte di disconnessione all'endpoint https://<your Amazon Cognito domain>/saml2/logout creato quando si configura l'interfaccia utente ospitata. L'endpoint saml2/logout utilizza POST vincolanti.

    Nota

    Se questa opzione viene selezionata e il provider di identità SAML si aspetta una richiesta di disconnessione con firma, è necessario configurare anche il certificato di firma fornito da Amazon Cognito con l'IdP SAML.

    L'IdP SAML elabora la richiesta di disconnessione con firmata e disconnette l'utente dalla sessione Amazon Cognito.

  8. Seleziona una Metadata document source (Fonte del documento di metadati). Se il tuo provider di identità fornisce metadati SAML a un URL pubblico, puoi scegliere l'opzione Metadata document URL (URL del documento di metadati) e inserire l'URL pubblico. In caso contrario, seleziona Upload metadata document (Carica documento di metadati) e seleziona un file di metadati scaricato dal tuo provider in precedenza.

    Nota

    Se il provider ha un endpoint pubblico, suggeriamo di fornire l'URL di un documento di metadati anziché caricare un file, poiché in questo modo Amazon Cognito può aggiornare i metadati in modo automatico. In genere, l'aggiornamento dei metadati avviene ogni 6 ore oppure prima della scadenza dei metadati, in base a ciò che avviene prima.

  9. Seleziona Map attributes between your SAML provider and your app (mappare gli attributi tra il provider SAML e la tua app) per mappare gli attributi del provider SAML al profilo utente nel bacino d'utenza. Includi gli attributi richiesti del bacino d'utenza nella mappa degli attributi.

    Ad esempio, quando si scegli l'User pool attribute (attributo del bacino d'utenza) email, inserisci il nome dell'attributo SAML come compare nell'asserzione SAML dal provider di identità. Il tuo provider di identità potrebbe offrire esempi di asserzioni SAML come riferimento. Alcuni provider di identità utilizzano nomi semplici, come email, mentre altri utilizzano attributi con formato URL simili a questo:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Scegli Create (Crea).

Per ulteriori informazioni, consulta Aggiunta di provider di identità SAML a un bacino d'utenza.