本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定您的第三方SAML身分提供者
當您想要將SAML身分提供者 IdP ) 新增至使用者集區時,您必須在 IdP 的管理介面中進行一些組態更新。本節說明如何格式化您必須提供給 IdP 的值。您也可以了解如何擷取可識別 IdP 及其對使用者集區的SAML宣告的靜態或作用中URL中繼資料文件。
若要設定第三方 SAML 2.0 身分提供者 (IdP) 解決方案以使用 Amazon Cognito 使用者集區的聯合,您必須設定 IdP SAML 以重新導向至下列 Assertion Consumer Service (ACS) URL:https://。如果您的使用者集區具有 Amazon Cognito 網域,您可以在 Amazon Cognito 主控台mydomain.us-east-1.amazoncognito.com/saml2/idpresponse
有些 SAML IdPs 需要您以 形式提供 ,urn也稱為受眾URI或 SP 實體 IDurn:amazon:cognito:sp:。您可以在 Amazon Cognito 主控台的使用者集區概觀下找到您的使用者集區 ID。us-east-1_EXAMPLE
您也必須設定 SAML IdP,以針對使用者集區中指定為必要屬性的任何屬性提供值。通常, email是使用者集區的必要屬性,在此情況下,SAMLIdP 必須在其SAML宣告中提供某種形式的email宣告,而且您必須將宣告對應至該提供者的屬性。
下列第三方 SAML 2.0 IdP 解決方案的組態資訊是開始使用 Amazon Cognito 使用者集區設定聯合的好地方。如需最新資訊,請直接參閱供應商的文件。
若要簽署SAML請求,您必須設定 IdP 以信任由使用者集區簽署憑證簽署的請求。若要接受加密SAML的回應,您必須設定 IdP 來加密對使用者集區的所有SAML回應。您的提供者將擁有有關設定這些功能的文件。如需 Microsoft 的範例,請參閱設定 Microsoft Entra SAML權杖加密
注意
Amazon Cognito 只需要您的身分提供者中繼資料文件。您的提供者可能會提供 2SAML.0 AWS 帳戶 聯合的組態資訊;此資訊與 Amazon Cognito 整合無關。
| 解決方案 | 其他資訊 |
|---|---|
| Microsoft Active Directory Federation Services (AD FS) | 聯合中繼資料瀏覽器 |
| Okta | 如何下載SAML應用程式整合的 IdP 中繼資料和SAML簽署憑證 |
| Auth0 | 將 Auth0 設定為 SAML Identity Provider |
| Ping Identity (PingFederate) | 從 匯出SAML中繼資料 PingFederate |
| JumpCloud | SAML 組態備註 |
| SecureAuth | SAML 應用程式整合 |
