Usando provedores de SAML identidade com um grupo de usuários

Você pode optar por fazer com que seus usuários de aplicativos móveis e da Web entrem por meio de um provedor de SAML identidade (IdP), como o Microsoft Active Directory Federation Services (ADFS) ou o Shibboleth. Você deve escolher um SAML IdP que suporte o padrão SAML2.0.

Com a interface hospedada e os endpoints de federação, o Amazon Cognito autentica usuários de IdP locais e terceirizados e emite tokens da web (). JSON JWTs Com os tokens que o Amazon Cognito emite, você pode consolidar várias fontes de identidade em um padrão universal OpenID Connect OIDC () em todos os seus aplicativos. O Amazon Cognito pode processar SAML afirmações de seus fornecedores terceirizados de acordo com esse padrão. SSO Você pode criar e gerenciar um SAML IdP no AWS Management Console, por meio do ou com os grupos AWS CLI de usuários do Amazon Cognito. API Para criar seu primeiro SAML IdP no AWS Management Console, consulte. Adicionar e gerenciar provedores de SAML identidade em um grupo de usuários

nota

A federação com login por meio de um IdP de terceiros é um recurso dos grupos de usuários do Amazon Cognito. Os grupos de identidades do Amazon Cognito, às vezes chamados de identidades federadas do Amazon Cognito, são uma implementação da federação que você deve configurar separadamente em cada grupo de identidades. Um grupo de usuários pode ser um IdP de terceiros para um grupo de identidades. Para ter mais informações, consulte Banco de identidades do Amazon Cognito.

Referência rápida para configuração do IdP

Você deve configurar seu SAML IdP para aceitar solicitações e enviar respostas ao seu grupo de usuários. A documentação do seu SAML IdP conterá informações sobre como adicionar seu grupo de usuários como parte confiável ou aplicativo para seu IdP 2.0SAML. A documentação a seguir fornece os valores que você deve fornecer para o ID da entidade SP e o serviço ao consumidor de asserção (ACS)URL.

Referência rápida de SAML valores do grupo de usuários

ID da entidade SP

urn:amazon:cognito:sp:us-east-1_EXAMPLE

ACS URL

https://Your user pool domain/saml2/idpresponse

Você deve configurar seu grupo de usuários para oferecer suporte ao seu provedor de identidade. As etapas de alto nível para adicionar um SAML IdP externo são as seguintes.

1. Faça o download dos SAML metadados do seu IdP ou recupere-os URL no seu endpoint de metadados. Consulte Configurando seu provedor de SAML identidade terceirizado.

2. Adicione um novo IdP ao seu grupo de usuários. Faça upload dos SAML metadados ou forneça os metadadosURL. Consulte Adicionar e gerenciar provedores de SAML identidade em um grupo de usuários.

3. Atribua o IdP aos seus clientes de aplicativos. Consulte Clientes de aplicações de grupos de usuários

Tópicos

• Coisas que você deve saber sobre os grupos SAML IdPs de usuários do Amazon Cognito
• Diferenciação de maiúsculas e SAML minúsculas
• Adicionar e gerenciar provedores de SAML identidade em um grupo de usuários
• SAMLinício de sessão nos grupos de usuários do Amazon Cognito
• Usando o login iniciado pelo SP SAML
• Usando o login iniciado pelo IdP SAML
• SAMLfluxo de saída
• SAMLassinatura e criptografia
• SAMLnomes e identificadores de provedores de identidade
• Configurando seu provedor de SAML identidade terceirizado

Diferenciação de maiúsculas e SAML minúsculas

Quando um usuário federado tenta fazer login, o provedor de SAML identidade (IdP) passa uma mensagem NameId exclusiva para o Amazon Cognito na declaração do usuário. SAML O Amazon Cognito identifica um usuário SAML federado por meio de sua reivindicação. NameId Independentemente das configurações de distinção entre maiúsculas e minúsculas do seu grupo de usuários, o Amazon Cognito reconhece um usuário federado que retorna de um SAML IdP quando ele passa sua reivindicação exclusiva e com distinção entre maiúsculas e minúsculas. NameId Se você mapear um atributo como email para NameId e seu usuário alterar o endereço de e-mail, ele não conseguirá fazer login na aplicação.

NameIdMapeie suas SAML afirmações a partir de um atributo IdP que tenha valores que não mudam.

Por exemplo, Carlos tem um perfil de usuário em seu grupo de usuários que não diferencia maiúsculas de minúsculas de uma SAML declaração do Active Directory Federation Services (ADFS) que passou um valor de. NameId Carlos@example.com Na próxima vez que Carlos tentar fazer login, seu ADFS IdP passará um NameId valor de. carlos@example.com Como NameId deve apresentar uma correspondência exata de maiúsculas e minúsculas, o login não é bem-sucedido.

Se seus usuários não conseguirem fazer login depois que o respectivo NameID mudar, exclua o perfil desses usuários do grupo de usuários. O Amazon Cognito criará novos perfis de usuário na próxima vez em que eles fizerem login.

Tópicos

• Adicionar e gerenciar provedores de SAML identidade em um grupo de usuários
• SAMLinício de sessão nos grupos de usuários do Amazon Cognito
• Usando o login iniciado pelo SP SAML
• Usando o login iniciado pelo IdP SAML
• SAMLfluxo de saída
• SAMLassinatura e criptografia
• SAMLnomes e identificadores de provedores de identidade
• Configurando seu provedor de SAML identidade terceirizado