本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置您的第三方SAML身份提供商
如果要向用户池中添加SAML身份提供商 (IdP),则必须在 IdP 的管理界面中进行一些配置更新。本节介绍如何格式化必须提供给 IdP 的值。您还可以了解如何检索用于识别 IdP 及其对用户池SAML的主张的静态或活动URL元数据文档。
要将第三方 SAML 2.0 身份提供商 (IdP) 解决方案配置为与 Amazon Cognito 用户池的联合身份验证配合使用,您必须将您的 SAML IdP 配置为重定向到以下 Assertion Consumer 服务 ():。ACS URL https://如果您的用户群体具有 Amazon Cognito 域,则可以在 Amazon Cognito 控制台中您的用户群体的 App integrationmydomain.us-east-1.amazoncognito.com/saml2/idpresponse
有些SAML IdPs 要求您在表单中urn提供(也称为受众URI或 SP 实体 ID)urn:amazon:cognito:sp:。您可以在 Amazon Cognito 控制台的用户池概述下找到您的用户池 ID。us-east-1_EXAMPLE
您还必须将 SAML IdP 配置为用户池中指定为必需属性的任何属性提供值。通常,email是用户池的必需属性,在这种情况下,SAMLIdP 必须在其SAML断言中提供某种形式的email声明,并且您必须将声明映射到该提供者的属性。
以下第三方 SAML 2.0 IdP 解决方案的配置信息是开始与 Amazon Cognito 用户池建立联盟的好去处。有关最新信息,请直接查阅提供商的文档。
要签署SAML请求,您必须将 IdP 配置为信任由您的用户池签名证书签名的请求。要接受加密的SAML响应,您必须将 IdP 配置为对用户池的所有SAML响应进行加密。您的提供商将提供有关配置这些功能的文档。有关微软的示例,请参阅配置微软 Entra SAML 令牌加密
注意
Amazon Cognito 只需要您的身份提供者元数据文档。您的提供商可能会提供与 SAML 2.0 的 AWS 账户 联合身份验证的配置信息;这些信息与 Amazon Cognito 集成无关。
| 解决方案 | 更多信息 |
|---|---|
| Microsoft Active Directory 联合身份验证服务 (AD FS) | 联邦元数据浏览器 |
| Okta | 如何下载用于应用程序集成的 IdP 元数据和SAML签名SAML证书 |
| Auth0 | 将 Auth0 配置为SAML身份提供者 |
| Ping 身份 (PingFederate) | 从中导出SAML元数据 PingFederate |
| JumpCloud | SAML配置说明 |
| SecureAuth | SAML应用程序集成 |
