本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置您的第三方 SAML 身份提供商
要将第三方 SAML 2.0 身份提供商 (IdP) 解决方案配置为与 Amazon Cognito 用户池的联合身份验证配合使用,您必须将 SAML IdP 配置为重定向到以下断言消费者服务 (ACS) 网址:。https://如果您的用户群体具有 Amazon Cognito 域,则可以在 Amazon Cognito 控制台中您的用户群体的 App integrationmydomain.us-east-1.amazoncognito.com/saml2/idpresponse
某些 SAML IdPs 要求您在表urn:amazon:cognito:sp:单中us-east-1_EXAMPLEurn提供(也称为受众 URI 或 SP 实体 ID)。您可以在 Amazon Cognito 控制台的用户池概述下找到您的用户池 ID。
您还必须将 SAML IdP 配置为用户池中指定为必需属性的任何属性提供值。通常,email是用户池的必需属性,在这种情况下,SAML IdP 必须在其 SAML 断言中提供某种形式的email声明,并且您必须将声明映射到该提供者的属性。
以下第三方 SAML 2.0 IdP 解决方案的配置信息是开始与 Amazon Cognito 用户池建立联合身份验证的好去处。有关最新信息,请直接查阅提供商的文档。
要签署 SAML 请求,您必须将 IdP 配置为信任由您的用户池签名证书签名的请求。要接受加密的 SAML 响应,必须将 IdP 配置为对用户池的所有 SAML 响应进行加密。您的提供商将提供有关配置这些功能的文档。有关微软的示例,请参阅配置微软 Entra SAML 令牌
注意
Amazon Cognito 只需要您的身份提供者元数据文档。您的提供商可能会提供与 SAML 2.0 进行 AWS 账户 联合身份验证的配置信息;这些信息与 Amazon Cognito 集成无关。
| 解决方案 | 更多信息 |
|---|---|
| Microsoft Active Directory 联合身份验证服务 (AD FS) | 联邦元数据浏览器 |
| Okta | 如何下载用于 SAML 应用程序集成的 IdP 元数据和 SAML 签名证书 |
| Auth0 | 将 Auth0 配置为 SAML 身份提供商 |
| Ping 身份 (PingFederate) | 从中导出 SAML 元数据 PingFederate |
| JumpCloud | SAML 配置注意事项 |
| SecureAuth | SAML 应用程序集成 |
