Konfigurieren von Identitätsanbietern für Ihren Benutzerpool. - Amazon Cognito
Einrichten der Benutzeranmeldung mit einem sozialen IdPBenutzeranmeldung mit einem OIDC IdP einrichtenBenutzeranmeldung mit einem SAML IdP einrichten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von Identitätsanbietern für Ihren Benutzerpool.

Mit Benutzerpools können Sie die Anmeldung über eine Vielzahl von externen Identitätsanbietern () IdPs implementieren. Dieser Abschnitt des Handbuchs enthält Anweisungen zur Einrichtung dieser Identitätsanbieter mit Ihrem Benutzerpool in der Amazon Cognito Cognito-Konsole. Alternativ können Sie die Benutzerpools API und an verwenden, AWS SDK um Benutzerpool-Identitätsanbieter programmgesteuert hinzuzufügen. Weitere Informationen finden Sie unter. CreateIdentityProvider

Zu den unterstützten Identitätsanbieter-Optionen gehören soziale Anbieter wie Facebook, Google und Amazon sowie OpenID Connect (OIDC) und SAML 2.0-Anbieter. Bevor Sie beginnen, richten Sie sich Administratoranmeldedaten für Ihren IdP ein. Für jeden Anbietertyp müssen Sie Ihre Anwendung registrieren, die erforderlichen Anmeldeinformationen abrufen und dann die Anbieterdetails in Ihrem Benutzerpool konfigurieren. Ihre Benutzer können sich dann mit ihren bestehenden Konten der verbundenen Identitätsanbieter bei Ihrer Anwendung registrieren und anmelden.

Auf der Registerkarte Anmeldeerfahrung unter Anmeldung mit dem Federated Identity Provider wird der Benutzerpool hinzugefügt und aktualisiert. IdPs Weitere Informationen finden Sie unter Hinzufügen einer Benutzerpool-Anmeldung über einen Drittanbieter.

Einrichten der Benutzeranmeldung mit einem sozialen IdP

Sie können einen Verbund für Amazon-Cognito-Benutzerpools verwenden, um eine Integration von sozialen Identitäts-Anbietern vorzunehmen, wie Facebook, Google oder Login with Amazon.

Um einen Social Identity-Anbieter hinzuzufügen, erstellen Sie zunächst ein Entwickler-Konto bei dem Identitätsanbieter. Sobald Sie Ihr Entwicklerkonto haben, registrieren Sie Ihre Anwendung beim Identitätsanbieter. Der Identitätsanbieter erstellt eine App-ID und einen geheimen App-Schlüssel für Ihre Anwendung, und Sie konfigurieren diese Werte in Ihrem Amazon-Cognito-Benutzerpool.

So integrieren Sie die Benutzeranmeldung mit einem sozialen IdP

  1. Melden Sie sich bei der Amazon Cognito-Konsole an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Anmeldeinformationen ein. AWS

  2. Wählen Sie im Navigationsbereich erst User Pools (Benutzerpools) aus und anschließend den Benutzerpool, den Sie bearbeiten möchten.

  3. Wählen Sie die Registerkarte Sign-in experience (Anmeldeerlebnis) aus und suchen Sie nach Federated sign-in (Verbundanmeldung).

  4. Wählen Sie Add an identity provider (Identitätsanbieter hinzufügen) aus oder den Facebook-, Google-, Amazon- oder Apple-Identitätsanbieter, den Sie konfiguriert haben. Suchen Sie danach nach Identity provider information (Informationen zu Identitätsanbietern) und wählen Sie Edit (Bearbeiten) aus. Weitere Informationen zum Hinzufügen eines Social-Identity-Anbieters finden Sie unter Verwenden von Anbietern für soziale Identitäten mit einem Benutzerpool.

  5. Geben Sie die Informationen Ihres Social-Identity-Anbieters ein, indem Sie je nach Wahl des IdP einen der folgenden Schritte ausführen:

    Für Facebook, Google und Login with Amazon:

    Geben Sie die App-ID und den geheimen App-Schlüssel ein, den Sie beim Erstellen Ihrer Client-App erhalten haben.

    Mit Apple anmelden

    Geben Sie die Service-ID ein, die Sie bei Apple angegeben haben, sowie die Team-ID, Schlüssel-ID und den privaten Schlüssel, den Sie beim Erstellen Ihres App-Clients erhalten haben.

  6. Für Authorize scopes (Bereiche autorisieren) geben Sie den Namen der Social-Identity-Anbieterbereiche ein, die Sie Benutzerpool-Attributen zuordnen möchten. Bereiche definieren, auf welche Benutzerattribute (z. B. Name und E-Mail-Adresse) Sie mit Ihrer Anwendung zugreifen möchten. Verwenden Sie bei der Eingabe von Bereichen die folgenden Richtlinien basierend auf Ihrer Wahl des IdP:

    • Facebook – Trennen Sie Bereiche durch Kommas. Beispiel:

      public_profile, email

    • Google, Login with Amazon und Mit Apple anmelden – Trennen Sie Bereiche durch Leerzeichen. Beispiel:

      • Google: profile email openid

      • Login with Amazon: profile postal_code

      • Mit Apple anmelden: name email

        Anmerkung

        Verwenden Sie für „Mit Apple anmelden“ (Konsole) die Kontrollkästchen zur Auswahl des Bereichs.

  7. Wählen Sie Save Changes.

  8. Wählen Sie auf der Registerkarte App client integration (App-Client-Integration) einen der App-Clients aus der Liste aus und klicken Sie anschließend auf Edit hosted UI settings (Einstellungen für gehostete UI bearbeiten). Fügen Sie unter Identity providers (Identitätsanbieter) den neuen Social-Identity-Anbieter zum App-Client hinzu.

  9. Wählen Sie Änderungen speichern.

Weitere Informationen zu sozialen IdPs Netzwerken finden Sie unterVerwenden von Anbietern für soziale Identitäten mit einem Benutzerpool.

Benutzeranmeldung mit einem OIDC IdP einrichten

Sie können die Benutzeranmeldung mit einem OpenID Connect (OIDC) -Identitätsanbieter (IdP) wie Salesforce oder Ping Identity integrieren.

Um einen OIDC Anbieter zu einem Benutzerpool hinzuzufügen

  1. Melden Sie sich bei der Amazon-Cognito-Konsole an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

  2. Wählen Sie User Pools (Benutzerpools) aus dem Navigationsmenü aus.

  3. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder erstellen Sie einen neuen Benutzerpool.

  4. Wählen Sie die Registerkarte Sign-in experience (Anmeldeerlebnis) aus. Suchen Sie nach Federated sign-in (Verbundanmeldung) und wählen Sie Add an identity provider (Identitätsanbieter hinzufügen) aus.

  5. Wählen Sie einen OpenID-Connect-Identitätsanbieter aus.

  6. Geben Sie einen eindeutigen Namen in Provider name (Anbietername) ein.

  7. Geben Sie die Kunden-ID, die Sie von Ihrem Anbieter erhalten haben, in Client ID (Client-ID) ein.

  8. Geben Sie das Kundengeheimnis, das Sie von Ihrem Anbieter erhalten haben, in Client secret (Client-Geheimnis) ein.

  9. Geben Sie Authorized scopes (Autorisierte Bereiche) für diesen Anbieter ein. Bereiche definieren, welche Gruppen von Benutzerattributen (z. B. name und email) Ihre Anwendung von Ihrem Anbieter anfordert. Bereiche müssen gemäß der OAuth2.0-Spezifikation durch Leerzeichen getrennt werden.

    Ihr Benutzer wird aufgefordert, dem Versand dieser Attribute an Ihre Anwendung zuzustimmen.

  10. Wählen Sie eine Attributanforderungsmethode, um Amazon Cognito die HTTP Methode (entweder GET oderPOST) zur Verfügung zu stellen, mit der Amazon Cognito die Benutzerdetails von dem von Ihrem Anbieter betriebenen userInfoEndpunkt abruft.

  11. Wählen Sie eine Setup-Methode zum Abrufen von OpenID Connect-Endpunkten, entweder durch automatisches Ausfüllen durch den Aussteller URL oder durch manuelle Eingabe. Verwenden Sie Automatisches Ausfüllen durch Aussteller URL, wenn Ihr Anbieter über einen öffentlichen .well-known/openid-configuration Endpunkt verfügt, an dem Amazon Cognito die URLs Endpunkteauthorization, tokenuserInfo, und jwks_uri abrufen kann.

  12. Geben Sie den Emittenten URL oderauthorization, tokenuserInfo, und den jwks_uri Endpunkt URLs Ihres IdP ein.

    Anmerkung

    Sie können nur die Portnummern 443 und 80 mit Erkennung verwenden, die automatisch ausgefüllt und manuell eingegeben wurdenURLs. Benutzeranmeldungen schlagen fehl, wenn Ihr OIDC Anbieter nicht standardmäßige Ports verwendet. TCP

    Der Aussteller URL muss mit einem Zeichen beginnen und darf nicht mit https:// einem Zeichen enden. / Salesforce verwendet dies URL beispielsweise:

    https://login.salesforce.com

    Das Ihrem Emittenten zugeordnete openid-configuration Dokument URL muss HTTPS URLs die folgenden Werte enthalten:authorization_endpoint, token_endpointuserinfo_endpoint, undjwks_uri. Ebenso können Sie, wenn Sie Manuelle Eingabe wählen, nur Eingaben vornehmen. HTTPS URLs

  13. Der untergeordnete OIDC Anspruch ist standardmäßig dem Benutzerpool-Attribut Username zugeordnet. Sie können andere OIDC Ansprüche den Benutzerpool-Attributen zuordnen. Geben Sie den OIDC Anspruch ein und wählen Sie das entsprechende Benutzerpool-Attribut aus der Dropdownliste aus. Beispielsweise wird der Anspruch email (E-Mail) häufig dem Benutzerpool-Attribut Email (E-Mail) hinzugefügt.

  14. Ordnen Sie Ihrem Benutzerpool zusätzliche Attribute von Ihrem Identitätsanbieter zu. Weitere Informationen finden Sie unter Geben Sie die Identitätsanbieter-Attributzuordnungen für Ihren Benutzerpool an.

  15. Wählen Sie Create (Erstellen) aus.

  16. Wählen Sie auf der Registerkarte App client integration (App-Client-Integration) einen der App-Clients aus der Liste aus und klicken Sie anschließend auf Edit hosted UI settings (Einstellungen für gehostete UI bearbeiten). Fügen Sie den neuen OIDC Identitätsanbieter dem App-Client unter Identitätsanbieter hinzu.

  17. Wählen Sie Änderungen speichern.

Weitere Informationen zu finden OIDC IdPs Sie unterVerwenden von OIDC Identitätsanbietern mit einem Benutzerpool.

Benutzeranmeldung mit einem SAML IdP einrichten

Sie können den Verbund für Amazon Cognito Cognito-Benutzerpools zur Integration mit einem SAML Identitätsanbieter (IdP) verwenden. Sie stellen ein Metadatendokument bereit, indem Sie entweder die Datei hochladen oder einen Endpunkt für ein Metadaten-Dokument eingeben. URL Informationen zum Abrufen von Metadatendokumenten für Drittanbieter finden Sie SAML IdPs unterKonfiguration Ihres externen SAML Identitätsanbieters.

So konfigurieren Sie einen SAML 2.0-Identitätsanbieter in Ihrem Benutzerpool

  1. Melden Sie sich bei der Amazon-Cognito-Konsole an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

  2. Wählen Sie User Pools (Benutzerpools) aus.

  3. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder erstellen Sie einen neuen Benutzerpool.

  4. Wählen Sie die Registerkarte Sign-in experience (Anmeldeerlebnis) aus. Suchen Sie nach Federated sign-in (Verbundanmeldung) und wählen Sie Add an identity provider (Identitätsanbieter hinzufügen) aus.

  5. Wählen Sie einen SAMLIdentitätsanbieter.

  6. Geben Sie IDs durch Kommas getrennt ein. Eine ID weist Amazon Cognito an, dass die E-Mail-Adresse zu überprüfen, die ein Benutzer bei der Anmeldung eingibt. Anschließend wird der Benutzer zu dem Anbieter weitergeleitet, der seiner Domäne entspricht.

  7. Wählen Sie Add sign-out flow (Abmeldeablauf hinzufügen) aus, wenn Amazon Cognito signierte Abmeldeanfragen an Ihren Anbieter senden soll, wenn sich ein Benutzer abmeldet. Konfigurieren Sie Ihren SAML 2.0-Identitätsanbieter so, dass er Abmeldeantworten an den https://mydomain.us-east-1.amazoncognito.com/saml2/logout Endpunkt sendet, den Amazon Cognito bei der Konfiguration der gehosteten Benutzeroberfläche erstellt. Der saml2/logout Endpunkt verwendet BindungPOST.

    Anmerkung

    Wenn Sie diese Option auswählen und Ihr SAML Identitätsanbieter eine signierte Abmeldeanfrage erwartet, müssen Sie auch das von Amazon Cognito bereitgestellte Signaturzertifikat mit Ihrem SAML IdP konfigurieren.

    Der SAML IdP verarbeitet die signierte Abmeldeanfrage und meldet Ihren Benutzer von der Amazon Cognito-Sitzung ab.

  8. Wählen Sie eine Metadaten-Dokumentquelle aus. Wenn Ihr Identitätsanbieter SAML Metadaten öffentlich anbietetURL, können Sie das Metadaten-Dokument auswählen URL und das öffentliche Dokument eingeben. URL Wählen Sie andernfalls Upload metadata document (Hochladen eines Metadatendokuments) und anschließend eine Metadatendatei aus, die Sie zuvor von Ihrem Anbieter heruntergeladen haben.

    Anmerkung

    Wenn Ihr Anbieter über einen öffentlichen Endpunkt verfügt, empfehlen wir Ihnen, ein Metadatendokument einzugebenURL, anstatt eine Datei hochzuladen. Wenn Sie das verwendenURL, aktualisiert Amazon Cognito Metadaten automatisch. Normalerweise werden die Metadaten alle sechs Stunden oder bevor sie ablaufen aktualisiert, je nachdem, was zuerst eintritt.

  9. Ordnen Sie Attribute zwischen Ihrem SAML Anbieter und Ihrer App zu, um SAML Anbieterattribute dem Benutzerprofil in Ihrem Benutzerpool zuzuordnen. Fügen Sie die erforderlichen Attribute Ihres Benutzerpools in Ihre Attributzuordnung ein.

    Wenn Sie beispielsweise Benutzerpool-Attribut wählenemail, geben Sie den SAML Attributnamen so ein, wie er in der SAML Assertion Ihres Identity Providers erscheint. Ihr Identitätsanbieter bietet möglicherweise SAML Beispiel-Assertions als Referenz an. Einige Identitätsanbieter verwenden einfache Namen, wie z. B.email, während andere Attributnamen im URL -Format verwenden, die den folgenden ähneln:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Wählen Sie Create (Erstellen) aus.

Anmerkung

Wenn Sie InvalidParameterException beim Erstellen eines SAML IdP mit einem HTTPS Metadaten-Endpunkt URL Folgendes sehen, stellen Sie sicher, dass der Metadaten-Endpunkt SSL korrekt eingerichtet wurde und dass ihm ein gültiges SSL Zertifikat zugeordnet ist. Ein Beispiel für eine solche Ausnahme wäre „Fehler beim Abrufen von Metadaten von <metadata endpoint>".

So richten Sie den SAML IdP so ein, dass er ein Signaturzertifikat hinzufügt

  • Um das Zertifikat abzurufen, das den öffentlichen Schlüssel enthält, den der IdP zur Überprüfung der signierten Abmeldeanforderung verwendet, wählen Sie im SAMLDialogfeld unter SAMLIdentitätsanbieter auf der Seite der Verbundkonsole die Option Signaturzertifikat anzeigen unter Aktive Anbieter aus.

Weitere Informationen finden Sie unter. SAML IdPs Verwenden von SAML Identitätsanbietern mit einem Benutzerpool