Adicionar um provedor de identidade SAML 2.0 - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionar um provedor de identidade SAML 2.0

Os usuários do seu aplicativo podem fazer login com um provedor de identidade (IdP) SAML 2.0. Você pode escolher SAML 2.0 IdPs em vez de social IdPs quando seus clientes são clientes internos ou empresas vinculadas à sua organização. Quando um IdP social permite que todos os usuários se registrem em uma conta, é mais provável que um IdP se SAML emparelhe com um diretório de usuários controlado por sua organização. Quer os usuários façam login diretamente ou por meio de terceiros, todos têm um perfil no grupo de usuários. Ignore esta etapa se você não quiser adicionar o login por meio de um provedor de SAML identidade.

Para obter mais informações, consulte Usando provedores de SAML identidade com um grupo de usuários.

Você deve atualizar seu provedor de SAML identidade e configurar seu grupo de usuários. Para obter informações sobre como adicionar seu grupo de usuários como parte confiável ou aplicativo para seu provedor de identidade SAML 2.0, consulte a documentação do seu provedor de SAML identidade.

Você também deve fornecer um endpoint assertion consumer service (ACS) ao seu provedor de SAML identidade. Configure o seguinte endpoint em seu domínio de grupo de usuários para POST vinculação SAML 2.0 em seu provedor de SAML identidade. Para obter mais informações sobre domínios de grupos de usuários, consulteComo configurar um domínio de grupo de usuários.

https://Your user pool domain/saml2/idpresponse
With an Amazon Cognito domain:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
With a custom domain:
https://Your custom domain/saml2/idpresponse

Você pode encontrar o prefixo do seu domínio e o valor da região para seu grupo de usuários na guia Nome de domínio do console do Amazon Cognito.

Para alguns provedores de SAML identidade, você também precisa fornecer o provedor de serviços (SP)urn, também chamado de ID da entidade de público URI ou SP, no formato:

urn:amazon:cognito:sp:<yourUserPoolID>

É possível localizar o ID do grupo de usuários na guia General settings (Configurações gerais) no console do Amazon Cognito.

Você também deve configurar seu provedor de SAML identidade para fornecer valores de atributos para quaisquer atributos necessários em seu grupo de usuários. Normalmente, email é um atributo obrigatório para grupos de usuários. Nesse caso, o provedor de SAML identidade deve fornecer um email valor (afirmação) na SAML declaração.

Os grupos de usuários do Amazon Cognito oferecem suporte à federação SAML 2.0 com endpoints pós-vinculação. Isso elimina a necessidade de seu aplicativo recuperar ou analisar respostas de SAML asserção porque o grupo de usuários recebe diretamente a SAML resposta do seu provedor de identidade por meio de um agente de usuário.

Para configurar um provedor de identidade SAML 2.0 em seu grupo de usuários

  1. Acesse o console do Amazon Cognito. Se solicitado, insira suas AWS credenciais.

  2. Escolha User Pools (Grupos de usuários).

  3. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  4. Escolha a guia Sign-in experience (Experiência de acesso). Localize Federated sign-in (Acesso federado) e selecione Add an identity provider (Adicionar um provedor de identidade).

  5. Escolha um provedor de identidade SAMLsocial.

  6. Insira Identifiers (Identificadores) separados por vírgulas. Um identificador diz ao Amazon Cognito que ele deve verificar o endereço de e-mail que o usuário insere ao fazer login. Em seguida, ele os direciona para o provedor que corresponde ao seu domínio.

  7. Escolha Add sign-out flow (Adicionar fluxo de desconexão) se quiser que o Amazon Cognito envie solicitações de desconexão assinadas ao seu provedor quando um usuário se desconectar. Você deve configurar seu provedor de identidade SAML 2.0 para enviar respostas de desconexão para o https://<your Amazon Cognito domain>/saml2/logout endpoint que é criado quando você configura a interface do usuário hospedada. O saml2/logout endpoint usa a POST vinculação.

    nota

    Se essa opção for selecionada e seu provedor de SAML identidade esperar uma solicitação de logout assinada, você também precisará configurar o certificado de assinatura fornecido pelo Amazon Cognito com seu SAML IdP.

    O SAML IdP processará a solicitação de logout assinada e desconectará seu usuário da sessão do Amazon Cognito.

  8. Escolha uma Metadata document source (Fonte de documento de metadados). Se seu provedor de identidade oferecer SAML metadados em um públicoURL, você poderá escolher o documento de metadados URL e inserir esse público. URL Do contrário, escolha Upload metadata document (Carregar documento de metadados) e, em seguida, um arquivo de metadados que você tenha baixado de seu provedor anteriormente.

    nota

    Recomendamos que você insira um documento de metadados URL se seu provedor tiver um endpoint público, em vez de fazer o upload de um arquivo. Isso permite que o Amazon Cognito atualize os metadados automaticamente. Normalmente, a atualização de metadados ocorre a cada seis horas ou antes de os metadados expirarem, o que ocorrer primeiro.

  9. Selecione Mapear atributos entre seu SAML provedor e seu aplicativo para mapear os atributos do SAML provedor para o perfil do usuário em seu grupo de usuários. Inclua os atributos obrigatórios do grupo de usuários no mapa de atributos.

    Por exemplo, ao escolher o atributo do grupo de usuáriosemail, insira o nome do SAML atributo conforme ele aparece na SAML declaração do seu provedor de identidade. Seu provedor de identidade pode oferecer exemplos de SAML afirmações para referência. Alguns provedores de identidade usam nomes simples, comoemail, enquanto outros usam nomes de atributos URL formatados em -, como o exemplo a seguir:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Escolha Criar.