Utilizzo dell'accesso SAML avviato da SP - Amazon Cognito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dell'accesso SAML avviato da SP

Come best practice, implementa l'accesso service-provider-initiated (avviato da SP) al tuo pool di utenti. Amazon Cognito avvia la sessione dell'utente e lo reindirizza al tuo IdP. Con questo metodo, hai il massimo controllo su chi presenta le richieste di accesso. Puoi anche consentire l'accesso avviato dall'IdP a determinate condizioni. Per ulteriori informazioni, consulta Avvio della sessione SAML nei bacini d'utenza di Amazon Cognito.

La procedura seguente mostra come gli utenti accedono al tuo pool di utenti tramite un provider SAML.

Diagramma del flusso di autenticazione dell'accesso SAML avviato da Amazon Cognito SP.

  1. L'utente inserisce il proprio indirizzo e-mail in una pagina di accesso. Per determinare il reindirizzamento dell'utente al suo IdP, puoi raccogliere il suo indirizzo email in un'app personalizzata o richiamare l'interfaccia utente ospitata nella visualizzazione web. Puoi configurare l'interfaccia utente ospitata per visualizzare un elenco IdPs o per richiedere solo un indirizzo e-mail.

  2. L'app richiama l'endpoint di reindirizzamento del pool di utenti e richiede una sessione con l'ID client che corrisponde all'app e l'ID IdP che corrisponde all'utente.

  3. Amazon Cognito reindirizza l'utente all'IdP con una richiesta SAML, facoltativamente firmata, in un elemento. AuthnRequest

  4. L'IdP autentica l'utente in modo interattivo o con una sessione memorizzata in un cookie del browser.

  5. L'IdP reindirizza l'utente all'endpoint di risposta SAML del pool di utenti con l'asserzione SAML crittografata facoltativamente nel payload POST.

    Nota

    Amazon Cognito annulla le sessioni che non ricevono una risposta entro 5 minuti e reindirizza l'utente all'interfaccia utente ospitata. Quando il tuo utente riscontra questo risultato, riceve un messaggio di errore. Something went wrong

  6. Dopo aver verificato l'asserzione SAML e aver mappato gli attributi utente dalle affermazioni nella risposta, Amazon Cognito crea o aggiorna internamente il profilo dell'utente nel pool di utenti. In genere, il tuo pool di utenti restituisce un codice di autorizzazione alla sessione del browser dell'utente.

  7. L'utente presenta il codice di autorizzazione all'app, che lo scambia con token web JSON (JWT).

  8. L'app accetta ed elabora il token ID dell'utente come autenticazione, genera richieste autorizzate alle risorse con il relativo token di accesso e archivia il relativo token di aggiornamento.

Quando un utente si autentica e riceve una concessione di codice di autorizzazione, il pool di utenti restituisce ID, accesso e token di aggiornamento. Il token ID è un oggetto di autenticazione per la gestione delle identità basata su OIDC. Il token di accesso è un oggetto di autorizzazione con ambiti OAuth 2.0. Il token di aggiornamento è un oggetto che genera nuovi ID e token di accesso quando i token correnti dell'utente sono scaduti. Puoi configurare la durata dei token degli utenti nel client dell'app del pool di utenti.

Puoi anche scegliere la durata dei token di aggiornamento. Dopo la scadenza del token di aggiornamento, l'utente deve effettuare nuovamente l'accesso. Se si sono autenticati tramite un IdP SAML, la durata della sessione degli utenti è impostata dalla scadenza dei loro token, non dalla scadenza della sessione con il loro IdP. L'app deve archiviare il token di aggiornamento di ogni utente e rinnovare la sessione alla scadenza. L'interfaccia utente ospitata mantiene le sessioni utente in un cookie del browser valido per 1 ora.