本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定您的第三方 SAML 身分提供者
若要設定第三方 SAML 2.0 身分識別提供者 (IdP) 解決方案以與 Amazon Cognito 使用者集區的聯合運作,您必須將 SAML IdP 設定為重新導向至下列宣告消費者服務 (ACS) URL:https://如果您的使用者集區具有 Amazon Cognito 網域,您可以在 Amazon Cognito 主控台mydomain.us-east-1.amazoncognito.com/saml2/idpresponse
某些 SAML IdPs 要求您在表urn:amazon:cognito:sp:單中us-east-1_EXAMPLEurn提供 (也稱為對象 URI 或 SP 實體識別碼)。您可以在 Amazon Cognito 主控台的使用者集區概觀下找到您的使用者集區 ID。
您也必須設定 SAML IdP,為您在使用者集區中指定為必要屬性的任何屬性提供值。通常,這email是使用者集區的必要屬性,在這種情況下,SAML IdP 必須在其 SAML 宣告中提供某email種形式的宣告,而且您必須將宣告對應至該提供者的屬性。
下列第三方 SAML 2.0 IdP 解決方案的組態資訊是開始與 Amazon Cognito 使用者集區設定聯盟的好地方。如需最新資訊,請直接參閱供應商的說明文件。
若要簽署 SAML 要求,您必須將 IdP 設定為信任使用者集區簽署憑證所簽署的要求。若要接受加密的 SAML 回應,您必須將 IdP 設定為加密使用者集區的所有 SAML 回應。您的提供商將提供有關配置這些功能的文檔。如需 Microsoft 的範例,請參閱設定 Microsoft Entra SAML 權杖
注意
Amazon Cognito 只需要您的身分識別供應商中繼資料文件。您的供應商可能會提供與 SAML 2.0 AWS 帳戶 聯合的組態資訊;此資訊與 Amazon Cognito 整合無關。
| 解決方案 | 其他資訊 |
|---|---|
| Microsoft Active Directory Federation Services (AD FS) | 同盟中繼資料總 |
| Okta | 如何下載用於 SAML 應用程式整合的 IdP 中繼資料和 SAML 簽署憑證 |
| Auth0 | 將 Auth0 設定為 SAML 身分識別提供者 |
| 平身份(PingFederate) | 匯出 SAML 中繼資料 PingFederate |
| JumpCloud | SAML 組態注意事項 |
| SecureAuth | SAML 應用程式整合 |
