Aggiungi un provider di identità SAML 2.0 - Amazon Cognito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiungi un provider di identità SAML 2.0

Gli utenti della tua app possono accedere con un provider di identità SAML 2.0 (IdP). Potresti scegliere la SAML versione 2.0 IdPs rispetto ai social IdPs se i tuoi clienti sono clienti interni o aziende collegate alla tua organizzazione. Laddove un IdP social consenta a tutti gli utenti di registrarsi per un account, è più probabile che un SAML IdP si abbini a un elenco utenti controllato dall'organizzazione. Sia che effettuino l'accesso direttamente o attraverso terze parti, tutti gli utenti hanno un profilo nel bacino d'utenza. Salta questo passaggio se non desideri aggiungere l'accesso tramite un provider di identità. SAML

Per ulteriori informazioni, consulta Utilizzo di provider di SAML identità con un pool di utenti.

È necessario aggiornare il provider di SAML identità e configurare il pool di utenti. Per informazioni su come aggiungere il pool di utenti come relying party o applicazione per il provider di identità SAML 2.0, consulta la documentazione del provider di SAML identità.

È inoltre necessario fornire un endpoint assertion consumer service (ACS) al provider SAML di identità. Configura il seguente endpoint nel dominio del tuo pool di utenti per l'POSTassociazione SAML 2.0 nel tuo SAML provider di identità. Per ulteriori informazioni sui domini del pool di utenti, vedere. Configurazione di un dominio di bacino d'utenza

https://Your user pool domain/saml2/idpresponse
With an Amazon Cognito domain:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
With a custom domain:
https://Your custom domain/saml2/idpresponse

Puoi trovare il prefisso del dominio e il valore della regione per il tuo pool di utenti nella scheda Nome dominio della console Amazon Cognito.

Per alcuni provider di SAML identità, devi anche fornire il service provider (SP)urn, chiamato anche audience URI o ID dell'entità SP, nel formato:

urn:amazon:cognito:sp:<yourUserPoolID>

Puoi trovare l'ID del bacino d'utenza nella scheda Impostazioni generali nella console Amazon Cognito.

È inoltre necessario configurare il provider di SAML identità per fornire i valori degli attributi per tutti gli attributi richiesti nel pool di utenti. Di solito, email è un attributo obbligatorio per i bacini d'utenza. In tal caso, il provider di SAML identità deve fornire un email valore (affermazione) nell'SAMLasserzione.

I pool di utenti di Amazon Cognito supportano la federazione SAML 2.0 con endpoint post-binding. Ciò elimina la necessità per l'app di recuperare o analizzare le risposte alle SAML asserzioni, poiché il pool di utenti riceve direttamente la SAML risposta dal tuo provider di identità tramite uno user agent.

Per configurare un provider di identità SAML 2.0 nel tuo pool di utenti

  1. Passa alla console Amazon Cognito. Se richiesto, inserisci le tue AWS credenziali.

  2. Scegli User Pools (Pool di utenti).

  3. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  4. Scegli la scheda Sign-in experience (Esperienza di accesso). Individua l'opzione Federated sign-in (Accesso federato) e seleziona Add an identity provider (Aggiungi un provider di identità).

  5. Scegli un fornitore di identità SAMLsocial.

  6. Inserisci gli Identifiers (Identificatori) separati da virgole. Un identificatore indica ad Amazon Cognito che deve controllare l'indirizzo e-mail che un utente inserisce quando effettua l'accesso. Quindi li indirizza al provider che corrisponde al loro dominio.

  7. Scegli Add sign-out flow (Aggiungi flusso di disconnessione) se desideri che Amazon Cognito invii richieste di disconnessione firmate al tuo provider quando un utente si disconnette. È necessario configurare il provider di identità SAML 2.0 per inviare risposte di disconnessione all'https://<your Amazon Cognito domain>/saml2/logoutendpoint creato quando si configura l'interfaccia utente ospitata. L'saml2/logoutendpoint utilizza l'associazione. POST

    Nota

    Se questa opzione è selezionata e il tuo provider di SAML identità prevede una richiesta di disconnessione firmata, dovrai anche configurare il certificato di firma fornito da Amazon Cognito con il tuo IdP. SAML

    L'SAMLIdP elaborerà la richiesta di disconnessione firmata e disconnetterà l'utente dalla sessione di Amazon Cognito.

  8. Scegli una Metadata document source (Fonte del documento di metadati). Se il tuo provider di identità offre SAML metadati a un pubblicoURL, puoi scegliere il documento di metadati e inserire tale documento URL pubblico. URL In caso contrario, seleziona Upload metadata document (Carica documento di metadati) e seleziona un file di metadati scaricato dal tuo provider in precedenza.

    Nota

    Ti consigliamo di inserire un documento di metadati URL se il tuo provider ha un endpoint pubblico, anziché caricare un file. Ciò consente ad Amazon Cognito di aggiornare automaticamente i metadati. In genere, l'aggiornamento dei metadati avviene ogni 6 ore oppure prima della scadenza dei metadati, in base a ciò che avviene prima.

  9. Seleziona gli attributi della mappa tra il tuo SAML provider e la tua app per mappare gli attributi del SAML provider al profilo utente nel tuo pool di utenti. Includi gli attributi richiesti del bacino d'utenza nella mappa degli attributi.

    Ad esempio, quando scegli l'attributo User poolemail, inserisci il nome dell'SAMLattributo così come appare nell'SAMLasserzione del tuo provider di identità. Il tuo provider di identità potrebbe offrire esempi di SAML asserzioni come riferimento. Alcuni provider di identità utilizzano nomi semplici, ad esempioemail, mentre altri utilizzano nomi di attributi URL -formatted, come l'esempio seguente:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Scegli Create (Crea) .