将第三方 SAML 身份提供商与 Amazon Cognito 用户池集成 - Amazon Cognito

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

将第三方 SAML 身份提供商与 Amazon Cognito 用户池集成

配置第三方SAML2.0身份提供商解决方案,以便与 Amazon Cognito 用户池,您必须输入重定向或登录URL, https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse。您可以在 域名 控制台页面 Amazon Cognito 控制台.

注意

您在2017年8月10日之前在用户池中创建的任何SAML身份提供商都已重定向URL https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/login/redirect。如果您在用户池中的公共Beta中有其中一个SAML身份提供程序,您必须:

  • 将其替换为使用新的重定向 URL 的新身份提供商。

  • 更新您的 SAML 身份提供商中的配置,以接受旧的和新的重定向 URL。

Amazon Cognito 中的所有 SAML 身份提供商都将切换到新的 URL,旧的 URL 将于 2017 年 10 月 31 日停止工作。

对于一些SAML身份提供商,您必须提供 urn /audienceuri/sp实体ID,以表格形式显示 urn:amazon:cognito:sp:<yourUserPoolID>。您可以在 常规设置 选项卡 Amazon Cognito 控制台。

您还必须配置 SAML 身份提供商,为您用户池中需要的任意属性提供属性值。通常,email 是用户池的必需属性,这种情况下 SAML 身份提供商将需要在 SAML 断言中提供 email 值 (声明)。

以下链接将帮助您配置第三方 SAML 2.0 身份提供商解决方案以使用 Amazon Cognito 用户池的联合身份验证。

注意

身份提供商支持已内置在 Amazon Cognito 中,因此,您只需转至以下提供商站点即可获取 SAML 元数据文档。您可以在提供商网站上查看有关与 AWS 集成的详细说明,但您不需要这些说明。

解决方案: 更多信息
Microsoft Active Directory 联合身份验证服务 (AD FS) 您可以从以下地址下载 ADFS 联合身份验证服务器的 SAML 元数据文档:。https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml.
Okta 在 Okta 中将 Amazon Cognito 用户池配置为应用程序后,您可以在 Okta 控制面板的 Admin (管理) 部分中找到元数据文档。选择应用程序,选择 Sign On (登录) 部分,然后查看 Settings for SAML (SAML 设置) 下方的内容。该 URL 应类似于 https://<app-domain>.oktapreview.com/app/<application-ID>/sso/saml/metadata
Auth0 从 Auth0 控制面板获取元数据下载文档。选择 Clients (客户端),然后选择 Settings (设置)。向下滚动,选择 Show Advanced Settings (显示高级设置),然后查找您的 SAML Metadata URL (SAML 元数据 URL)。它应该类似于 https://<your-domain-prefix>.auth0.com/samlp/metadata/<your-Auth0-client-ID>
Ping 身分 对于 PingFederate,您可以在通过文件提供一般 SAML 元数据中找到有关下载元数据 XML 文件的说明。