配置您的第三方SAML身份提供商 - Amazon Cognito

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置您的第三方SAML身份提供商

如果要向用户池中添加SAML身份提供商 (IdP),则必须在 IdP 的管理界面中进行一些配置更新。本节介绍如何格式化必须提供给 IdP 的值。您还可以了解如何检索用于识别 IdP 及其对用户池SAML的主张的静态或活动URL元数据文档。

要将第三方 SAML 2.0 身份提供商 (IdP) 解决方案配置为与 Amazon Cognito 用户池的联合身份验证配合使用,您必须将您的 SAML IdP 配置为重定向到以下 Assertion Consumer 服务 ():。ACS URL https://mydomain.us-east-1.amazoncognito.com/saml2/idpresponse如果您的用户群体具有 Amazon Cognito 域,则可以在 Amazon Cognito 控制台中您的用户群体的 App integration(应用程序集成)选项卡中找到用户群体域路径。

有些SAML IdPs 要求您在表单中urn提供(也称为受众URI或 SP 实体 ID)urn:amazon:cognito:sp:us-east-1_EXAMPLE。您可以在 Amazon Cognito 控制台的用户池概述下找到您的用户池 ID。

您还必须将 SAML IdP 配置为用户池中指定为必需属性的任何属性提供值。通常,email是用户池的必需属性,在这种情况下,SAMLIdP 必须在其SAML断言中提供某种形式的email声明,并且您必须将声明映射到该提供者的属性。

以下第三方 SAML 2.0 IdP 解决方案的配置信息是开始与 Amazon Cognito 用户池建立联盟的好去处。有关最新信息,请直接查阅提供商的文档。

要签署SAML请求,您必须将 IdP 配置为信任由您的用户池签名证书签名的请求。要接受加密的SAML响应,您必须将 IdP 配置为对用户池的所有SAML响应进行加密。您的提供商将提供有关配置这些功能的文档。有关微软的示例,请参阅配置微软 Entra SAML 令牌加密

注意

Amazon Cognito 只需要您的身份提供者元数据文档。您的提供商可能会提供与 SAML 2.0 的 AWS 账户 联合身份验证的配置信息;这些信息与 Amazon Cognito 集成无关。

解决方案 更多信息
Microsoft Active Directory 联合身份验证服务 (AD FS) 联邦元数据浏览器
Okta 如何下载用于应用程序集成的 IdP 元数据和SAML签名SAML证书
Auth0 将 Auth0 配置为SAML身份提供者
Ping 身份 (PingFederate) 从中导出SAML元数据 PingFederate
JumpCloud SAML配置说明
SecureAuth SAML应用程序集成