本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 10:(選用) 在 Amazon Cognito 中設定其他身分提供者
如果您在啟動堆疊時true為選用的允許在 Cognito 參數中設定其他身分提供者,您可以在 Amazon Cognito 中設定其他 IdPs,以允許使用現有的 SAML IdP 登入。設定外部 IdP 的程序會因供應商而異。本節說明 Amazon Cognito 組態和設定外部 IdP 的一般步驟。
執行下列步驟,從 Amazon Cognito 收集資訊,以提供給外部 IdP:
-
導覽至 AWS CloudFormation 主控台
,然後選取 AWS 堆疊上的雲端遷移工廠。 -
選取 Outputs (輸出) 標籤。
-
在金鑰欄中,找到 UserPoolId,並記錄要在設定期間稍後使用的值。
-
導覽至 Amazon Cognito 主控台
。 -
從解決方案堆疊輸出中選擇符合使用者集區 ID 的使用者集區。
-
選擇應用程式整合索引標籤,並記錄要在設定期間稍後使用的 Cognito 網域。
在現有 IdP 的管理界面中執行下列步驟:
注意
這些指示是通用的,而且會因提供者而有所不同。如需設定 SAML 應用程式的完整詳細資訊,請參閱 IdP 的文件。
-
導覽至 IdP 的管理界面。
-
選擇選項以新增應用程式或設定應用程式的 SAML 身分驗證,並建立新的應用程式。
-
在此 SAML 應用程式的設定中,系統會要求您提供下列值:
-
識別符 (實體 ID) 或類似項目。提供下列值:
urn:amazon:cognito:sp:<UserPoolId recorded earlier>
-
回覆 URL (聲明消費者服務 URL) 或類似內容。提供下列值:
https://<Amazon Cognito domain recorded earlier>/saml2/idpresponse
-
屬性和宣告或類似項目。至少,請確定已設定唯一識別符或主旨,以及提供使用者電子郵件地址的 屬性。
-
-
可能會有中繼資料 URL 或可以下載中繼資料 XML 檔案。下載檔案的副本,或記錄提供的 URL,以供稍後在設定期間使用。
-
在設定中,設定 IdP 中允許登入 CMF 應用程式的使用者存取清單。在 IdP 中授予應用程式存取權的所有使用者,都會自動獲得 CMF 主控台的唯讀存取權。
執行下列步驟,將新的 IdP 新增至堆疊部署期間建立的 Amazon Cognito 使用者集區:
-
導覽至 Amazon Cognito 主控台
。 -
從解決方案堆疊輸出中選擇符合使用者集區 ID 的使用者集區。
-
選擇 Sign-in experience (登入體驗) 索引標籤。
-
選擇新增身分提供者,然後選擇 SAML 做為第三方供應商。
-
提供提供者的名稱;這會在 CMF 登入畫面上顯示給使用者。
-
在中繼資料文件來源區段中,提供從 IDP SAML 設定擷取的中繼資料 URL,或上傳中繼資料 XML 檔案。
-
在映射屬性區段中,選擇新增另一個屬性。
-
選擇使用者集區屬性值的電子郵件。針對 SAML 屬性,輸入外部 IdP 將向其提供電子郵件地址的屬性名稱。
-
選擇新增身分提供者以儲存此組態。
-
選擇 App integration (應用程式整合) 標籤。
-
在應用程式用戶端清單區段中,按一下名稱來選擇遷移工廠應用程式用戶端 (應該只列出一個)。
-
從託管 UI 區段中,選擇編輯。
-
選取您在步驟 5 中新增的新 IdP 名稱,並取消選取 Cognito 使用者集區,以更新選取的身分提供者。
注意
不需要 Cognito 使用者集區,因為這是內建在 CMF 登入畫面中,如果選取,將顯示兩次。
-
選擇儲存變更。
組態現在已完成。在 CMF 登入頁面上,您會看到使用公司 ID 登入按鈕。選擇此選項會顯示您先前設定的提供者。選擇此選項的使用者將被導向登入,然後在成功登入後返回 CMF 主控台。
