本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 10:(可选)在 Amazon Cognito 中配置其他身份提供者
如果您在启动堆栈时选择了可选true的 “允许在 Cognito 中配置其他身份提供商” 参数,则可以在 Amazon Cognito IdPs 中设置其他身份提供商,以允许使用现有 SAML IdP 登录。设置外部 IdP 的过程因提供者而异。本节介绍了 Amazon Cognito 配置以及配置外部 IdP 的一般步骤。
执行以下步骤以从 Amazon Cognito 收集信息并提供给外部 IdP:
-
导航到 AWS CloudFormation 控制台
,然后选择 AW S 堆栈上的云迁移工厂。 -
选择输出选项卡。
-
在 “密钥” 列中,找到UserPoolId并记录该值,以便稍后在设置过程中使用。
-
导航到 Amazon Cognito 控制台
。 -
从解决方案堆栈输出中选择与用户池 ID 匹配的用户池。
-
选择应用程序集成选项卡并记录 Cognito 域,以便稍后在设置过程中使用。
在现有 IdP 的管理界面中执行以下步骤:
注意
这些说明是通用的,具体细节因提供者而异。有关设置 SAML 应用程序的完整详细信息,请参阅您 IdP 的文档。
-
导航到您的 IdP 的管理界面。
-
选择添加应用程序或为应用程序设置 SAML 身份验证的选项,然后创建或添加新应用程序。
-
在此 SAML 应用程序的设置中,系统将要求您输入以下值:
-
标识符(实体 ID)或类似内容。提供以下值:
urn:amazon:cognito:sp:<UserPoolId recorded earlier>
-
回复 URL(断言使用者服务 URL)或类似内容。提供以下值:
https://<Amazon Cognito domain recorded earlier>/saml2/idpresponse
-
属性和声明或类似内容。至少要确保配置了唯一标识符或主题,以及用于提供用户电子邮件地址的属性。
-
-
此时将有一个元数据 URL,或存在下载元数据 XML 文件的功能。下载文件副本或记录所提供的 URL,以便稍后在设置过程中使用。
-
在设置中,配置可以登录 CMF 应用程序的 IdP 用户的访问列表。IdP 中获得了应用程序访问权限的所有用户都将自动获得对 CMF 控制台的只读访问权限。
执行以下步骤,将新 IdP 添加到堆栈部署期间创建的 Amazon Cognito 用户池:
-
导航到 Amazon Cognito 控制台
。 -
从解决方案堆栈输出中选择与用户池 ID 匹配的用户池。
-
选择登录体验选项卡。
-
选择添加身份提供商,然后选择 SAML 作为第三方提供商。
-
提供者的名称;该名称将在 CMF 登录屏幕上显示给用户。
-
在元数据文档源部分,提供从 IDP SAML 设置捕获的元数据 URL,或上传元数据 XML 文件。
-
在映射属性部分中,选择添加其他属性。
-
为用户池属性值选择电子邮件。对于 SAML 属性,输入一个属性的名称,您的外部 IdP 将向该属性提供电子邮件地址。
-
选择添加身份提供者以保存此配置。
-
选择应用程序集成选项卡。
-
在应用程序客户端列表部分中,通过单击相应名称选择 Migration Factory 应用程序客户端(应该只列出一个)。
-
从托管 UI部分,选择编辑。
-
通过选择您在步骤 5 中添加的新 IdP 名称并取消选择 Cognito 用户池来更新所选的身份提供者。
注意
Cognito 用户池不是必需的,因为它内置于 CMF 登录屏幕中,如果被选中,它将显示两次。
-
选择保存更改。
配置现已完成。在 CMF 登录页面上,您将看到使用您的企业 ID 登录按钮。选择此选项将显示您之前配置的提供者。选择此选项的用户将被引导登录,然后在成功登录后返回 CMF 控制台。
