新增 SAML 2.0 身分提供者 - Amazon Cognito

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

新增 SAML 2.0 身分提供者

您的應用程式使用者可以使用 SAML 2.0 身分提供者 (IdP ) 登入。當您的客戶是組織的內部客戶或連結的企業 IdPs 時,您可以選擇 SAML 2.0 IdPs over social。當社交 IdP 允許所有使用者註冊帳戶時,IdP SAML 更可能與組織控制的使用者目錄配對。無論您的使用者直接或透過第三方間接登入,所有使用者在使用者集區中都有設定檔。如果您不想透過SAML身分提供者新增登入,請略過此步驟。

如需詳細資訊,請參閱將SAML身分提供者與使用者集區搭配使用

您必須更新SAML身分提供者並設定使用者集區。如需有關如何將使用者集區新增為 2.0 SAML 身分提供者的依賴方或應用程式的資訊,請參閱SAML身分提供者的文件。

您還必須向SAML身分提供者提供聲明消費者服務 (ACS) 端點。在身分SAML提供者的使用者集區網域中設定下列端點的 SAML 2.0 POST繫結。如需使用者集區網域的詳細資訊,請參閱 設定使用者集區網域

https://Your user pool domain/saml2/idpresponse
With an Amazon Cognito domain:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
With a custom domain:
https://Your custom domain/saml2/idpresponse

您可以在 Amazon Cognito 主控台的網域名稱索引標籤上找到使用者集區的網域字首和區域值。

對於某些SAML身分提供者,您也需要以下列格式提供服務供應商 (SP) urn,也稱為對象URI或 SP 實體 ID:

urn:amazon:cognito:sp:<yourUserPoolID>

您可以在 Amazon Cognito 主控台中的 General settings (一般設定) 標籤上,找到您的使用者集區 ID。

您也應該設定SAML身分提供者,為使用者集區中所需的任何屬性提供屬性值。通常 email 為使用者集區必要的屬性。在這種情況下,SAML身分提供者應在SAML聲明中提供email值 (宣告)。

Amazon Cognito SAML 使用者集區支援具有綁定後端點的 2.0 聯合。這樣就不需要您的應用程式擷取或剖析SAML宣告回應,因為使用者集區會透過使用者代理程式直接接收身分提供者的SAML回應。

在使用者集區中設定 SAML 2.0 身分提供者

  1. 前往 Amazon Cognito 主控台。如果出現提示,請輸入您的 AWS 憑證。

  2. 選擇 User Pools (使用者集區)。

  3. 從清單中選擇現有的使用者集區,或建立使用者集區

  4. 選擇 Sign-in experience (登入體驗) 索引標籤。找到 Federated sign-in (聯合登入),然後選取 Add an identity provider (新增身分提供者)。

  5. 選擇SAML社交身分提供者。

  6. 輸入以逗號分隔的 Identifiers (識別符)。識別符告訴 Amazon Cognito,應檢查使用者登入時輸入的電子郵件地址。然後,它會引導他們前往與其網域對應的提供者。

  7. 如果您希望 Amazon Cognito 在使用者登出時傳送已簽署的登出請求給您的供應商,則請選擇 Add sign-out flow (新增登出流程)。您必須設定 SAML 2.0 身分提供者,將登出回應傳送至設定託管 UI 時建立的https://<your Amazon Cognito domain>/saml2/logout端點。saml2/logout 端點使用 POST 繫結。

    注意

    如果選取此選項,且SAML您的身分提供者預期會有簽署的登出請求,則您也需要設定 Amazon Cognito 提供的簽署憑證與 SAML IdP 。

    IdP SAML 會處理已簽署的登出請求,並將您的使用者從 Amazon Cognito 工作階段登出。

  8. 選擇 Metadata document source (中繼資料文件來源)。如果您的身分提供者在公有 提供SAML中繼資料URL,您可以選擇中繼資料文件URL並輸入該公有 URL。否則,請選擇 Upload metadata document (上傳中繼資料文件),然後選取您先前從供應商處下載的中繼資料檔案。

    注意

    URL 如果您的提供者有公有端點,而不是上傳檔案,建議您輸入中繼資料文件。這可讓 Amazon Cognito 自動重新整理中繼資料。通常每 6 小時或是在中繼資料過期之前 (取較早的時間) 重新整理中繼資料。

  9. 選取SAML提供者與應用程式之間的映射屬性,將SAML提供者屬性映射至使用者集區中的使用者設定檔。在屬性對應中包含您的使用者集區必要屬性。

    例如,當您選擇使用者集區屬性email,請輸入出現在身分提供者SAML宣告中的SAML屬性名稱。您的身分提供者可能會提供範例SAML聲明以供參考。有些身分提供者使用簡單的名稱,例如 email,而其他身分提供者則使用 URL格式化的屬性名稱,例如下列範例:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. 選擇 Create (建立)。