Adicionar e gerenciar provedores de SAML identidade em um grupo de usuários - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionar e gerenciar provedores de SAML identidade em um grupo de usuários

Depois de configurar seu provedor de identidade para trabalhar com o Amazon Cognito, você pode adicioná-lo aos seus grupos de usuários e clientes de aplicativos. Os procedimentos a seguir demonstram como criar, modificar e excluir SAML provedores em um grupo de usuários do Amazon Cognito.

AWS Management Console

Você pode usar o AWS Management Console para criar e excluir provedores de SAML identidade (IdPs).

Antes de criar um SAML IdP, você deve ter o documento de SAML metadados obtido do IdP de terceiros. Para obter instruções sobre como obter ou gerar o documento de SAML metadados necessário, consulteConfigurando seu provedor de SAML identidade terceirizado.

Para configurar um IdP SAML 2.0 em seu grupo de usuários

  1. Acesse o console do Amazon Cognito. Se solicitado, insira suas credenciais da AWS .

  2. Escolha User Pools (Grupos de usuários).

  3. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  4. Escolha a guia Sign-in experience (Experiência de acesso). Localize Federated sign-in (Acesso federado) e escolha Add an identity provider (Adicionar um provedor de identidade).

  5. Escolha um SAMLIdP.

  6. Insira um nome de provedor. Você pode passar esse nome amigável em um parâmetro de identity_provider solicitação para Autorizar endpoint o.

  7. Insira Identifiers (Identificadores) separados por vírgulas. Um identificador diz ao Amazon Cognito que ele deve conferir o endereço de e-mail que um usuário insere quando faz o acesso e, em seguida, direcioná-lo ao provedor que corresponde ao domínio dele.

  8. Escolha Add sign-out flow (Adicionar fluxo de desconexão) se quiser que o Amazon Cognito envie solicitações de desconexão assinadas ao seu provedor quando um usuário se desconectar. Você deve configurar seu IdP SAML 2.0 para enviar respostas de desconexão para o https://mydomain.us-east-1.amazoncognito.com/saml2/logout endpoint que é criado quando você configura a interface do usuário hospedada. O saml2/logout endpoint usa POST vinculação.

    nota

    Se essa opção for selecionada e seu SAML IdP esperar uma solicitação de logout assinada, você também deverá fornecer ao IdP o certificado de assinatura do seu SAML grupo de usuários.

    O SAML IdP processará a solicitação de logout assinada e desconectará seu usuário da sessão do Amazon Cognito.

  9. Escolha sua configuração de SAMLlogin iniciada pelo IdP. Como prática recomendada de segurança, escolha Aceitar somente SAML afirmações iniciadas pelo SP. Se você preparou seu ambiente para aceitar com segurança sessões de SAML login não solicitadas, escolha Aceitar afirmações iniciadas pelo SP e iniciadas pelo IdP. SAML Para obter mais informações, consulte SAMLinício de sessão nos grupos de usuários do Amazon Cognito.

  10. Escolha uma Metadata document source (Fonte de documento de metadados). Se o seu IdP oferecer SAML metadados em um públicoURL, você poderá escolher o documento de metadados URL e inserir esse público. URL Do contrário, escolha Upload metadata document (Carregar documento de metadados) e, em seguida, um arquivo de metadados que você tenha baixado de seu provedor anteriormente.

    nota

    Recomendamos que você insira um documento de metadados URL se seu provedor tiver um endpoint público em vez de fazer o upload de um arquivo. O Amazon Cognito atualiza automaticamente os metadados dos metadados. URL Normalmente, a atualização de metadados ocorre a cada seis horas ou antes de os metadados expirarem, o que ocorrer primeiro.

  11. Mapeie atributos entre seu SAML provedor e seu grupo de usuários para mapear os atributos do SAML provedor para o perfil de usuário em seu grupo de usuários. Inclua os atributos obrigatórios do grupo de usuários no mapa de atributos.

    Por exemplo, ao escolher o atributo do grupo de usuáriosemail, insira o nome do SAML atributo conforme ele aparece na SAML declaração do seu IdP. Se o seu IdP oferecer exemplos de SAML asserções, você poderá usar esses exemplos de asserções para ajudá-lo a encontrar o nome. Alguns IdPs usam nomes simples, comoemail, enquanto outros usam nomes como os seguintes.

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  12. Escolha Criar.

API/CLI

Use os comandos a seguir para criar e gerenciar um provedor de SAML identidade (IdP).

Para criar um IdP e carregar um documento de metadados

  • AWS CLI: aws cognito-idp create-identity-provider

    Exemplo com arquivo de metadados: aws cognito-idp create-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-type SAML --provider-details file:///details.json --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    Onde details.json contém:

    "ProviderDetails": { 
      "MetadataFile": "<SAML metadata XML>",
      "IDPSignout" : "true",
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}
    nota

    Se o <SAML metadata XML> contém todas as instâncias do personagem", você deve adicionar \ como caractere de escape:\".

    Exemplo com metadados: URL aws cognito-idp create-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-type SAML --provider-details MetadataURL=https://myidp.example.com/sso/saml/metadata --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • AWS API: CreateIdentityProvider

Para fazer upload de um novo documento de metadados para um IdP

  • AWS CLI: aws cognito-idp update-identity-provider

    Exemplo com arquivo de metadados: aws cognito-idp update-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-details file:///details.json --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    Onde details.json contém:

    "ProviderDetails": { 
      "MetadataFile": "<SAML metadata XML>",
      "IDPSignout" : "true",
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}
    nota

    Se o <SAML metadata XML> contém todas as instâncias do personagem", você deve adicionar \ como caractere de escape:\".

    Exemplo com metadados: URL aws cognito-idp update-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-details MetadataURL=https://myidp.example.com/sso/saml/metadata --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • AWS API: UpdateIdentityProvider

Para obter informações sobre um IdP específico

  • AWS CLI: aws cognito-idp describe-identity-provider

    aws cognito-idp describe-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1

  • AWS API: DescribeIdentityProvider

Para listar informações sobre todos IdPs

  • AWS CLI: aws cognito-idp list-identity-providers

    Exemplo: aws cognito-idp list-identity-providers --user-pool-id us-east-1_EXAMPLE --max-results 3

  • AWS API: ListIdentityProviders

Para excluir um IdP

  • AWS CLI: aws cognito-idp delete-identity-provider

    aws cognito-idp delete-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1

  • AWS API: DeleteIdentityProvider

Para configurar o SAML IdP para adicionar um grupo de usuários como parte confiável

  • O provedor de serviços de grupos de usuários URN é:urn:amazon:cognito:sp:us-east-1_EXAMPLE. O Amazon Cognito exige um valor de restrição de público que corresponda a isso URN na resposta. SAML Configure seu IdP para usar o seguinte endpoint de POST vinculação para a IdP-to-SP mensagem de resposta.

    https://mydomain.us-east-1.amazoncognito.com/saml2/idpresponse

  • Seu SAML IdP deve preencher todos NameID os atributos necessários para seu grupo de usuários na declaração. SAML NameIDé usado para identificar exclusivamente seu usuário SAML federado no grupo de usuários. Seu IdP deve transmitir o ID de SAML nome de cada usuário em um formato consistente com distinção entre maiúsculas e minúsculas. Qualquer variação no valor do ID do nome de um usuário cria um novo perfil de usuário.

Para fornecer um certificado de assinatura para seu SAML 2.0 IDP

  • Para baixar uma cópia da chave pública do Amazon Cognito que seu IdP pode usar para validar solicitações de SAML logout, escolha a guia Experiência de login do seu grupo de usuários, selecione seu IdP e, em Exibir certificado de assinatura, selecione Baixar como .crt.

Você pode excluir qualquer SAML provedor que tenha configurado no seu grupo de usuários com o console do Amazon Cognito.

Para excluir um SAML provedor

  1. Faça login no console do Amazon Cognito.

  2. No painel de navegação, escolha User Pools (Grupos de usuários) e escolha o grupo de usuários que deseja editar.

  3. Escolha a guia Experiência de login e localize o login do provedor de identidade federado.

  4. Selecione o botão de rádio ao lado do SAML IdPs que você deseja excluir.

  5. Quando você for solicitado a Excluir provedor de identidade, insira o nome do SAML provedor para confirmar a exclusão e escolha Excluir.