SAMLBenutzer mit Single Sign-Out abmelden - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SAMLBenutzer mit Single Sign-Out abmelden

Amazon Cognito unterstützt SAML 2.0 Single Logout (. SLO Mit SLO kann Ihre Anwendung Benutzer von ihren SAML Identitätsanbietern (IdPs) abmelden, wenn sie sich aus Ihrem Benutzerpool abmelden. Auf diese Weise müssen sich Benutzer, wenn sie sich erneut bei Ihrer Anwendung anmelden möchten, bei ihrem SAML IdP authentifizieren. Andernfalls verfügen sie möglicherweise über IdP- oder Benutzerpool-Browser-Cookies, die sie an Ihre Anwendung weiterleiten, ohne dass sie Anmeldeinformationen angeben müssen.

Wenn Sie Ihren SAML IdP so konfigurieren, dass er den Abmeldefluss unterstützt, leitet Amazon Cognito Ihren Benutzer mit einer signierten SAML Abmeldeanfrage an Ihren IdP weiter. Amazon Cognito bestimmt den Ort der Weiterleitung anhand der Metadaten SingleLogoutService URL in Ihren IdP-Metadaten. Amazon Cognito signiert die Abmeldeanforderung mit Ihrem Benutzerpool-Signaturzertifikat.

Authentifizierungsflussdiagramm der Amazon Cognito SAML Cognito-Abmeldung. Der Benutzer fordert die Abmeldung an und Amazon Cognito leitet ihn mit einer SAML Abmeldeanfrage an seinen Anbieter weiter.

Wenn Sie einen Benutzer mit einer SAML Sitzung an Ihren /logout Benutzerpool-Endpunkt weiterleiten, leitet Amazon Cognito Ihren SAML Benutzer mit der folgenden Anfrage an den SLO Endpunkt weiter, der in den IdP-Metadaten angegeben ist.

https://[SingleLogoutService endpoint]?
SAMLRequest=[encoded SAML request]&
RelayState=[RelayState]&
SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256&
Signature=[User pool RSA signature]

Ihr Benutzer kehrt dann mit einem LogoutResponse von seinem IdP zu Ihrem saml2/logout Endpunkt zurück. Ihr IdP muss eine HTTP POST Anfrage einreichen. LogoutResponse Amazon Cognito leitet sie dann von ihrer ursprünglichen Abmeldeanfrage an das Weiterleitungsziel weiter.

Ihr SAML Anbieter sendet möglicherweise eine, LogoutResponse die mehr als eine enthältAuthnStatement. sessionIndexAuthnStatementIn einer Antwort dieses Typs muss das erste Wort mit dem sessionIndex in der SAML Antwort übereinstimmen, mit der der Benutzer ursprünglich authentifiziert wurde. Wenn sessionIndex sich das in einem anderen befindetAuthnStatement, erkennt Amazon Cognito die Sitzung nicht und Ihr Benutzer wird nicht abgemeldet.

AWS Management Console
Um die Abmeldung zu konfigurieren SAML

  1. Erstellen Sie einen Benutzerpool, einen App-Client und einen SAML IdP.

  2. Wenn Sie Ihren SAML Identitätsanbieter erstellen oder bearbeiten, aktivieren Sie unter Informationen zum Identitätsanbieter das Kästchen mit dem Titel Abmeldevorgang hinzufügen.

  3. Wählen Sie auf der Registerkarte Anmeldeerfahrung Ihres Benutzerpools unter Federated Identity Provider-Anmeldung Ihren IdP aus und suchen Sie das Signaturzertifikat.

  4. Wählen Sie Als .crt herunterladen aus.

  5. Konfigurieren Sie Ihren SAML Anbieter so, dass er die SAML einmalige Abmeldung und das Signieren von Anfragen unterstützt, und laden Sie das Signaturzertifikat für den Benutzerpool hoch. Ihr IdP muss zu /saml2/logout Ihrer Benutzerpool-Domain weiterleiten.

API/CLI

Um die Abmeldung zu konfigurieren SAML

Konfigurieren Sie die einmalige Abmeldung mit dem IDPSignout Parameter einer CreateIdentityProviderUpdateIdentityProviderAPIOR-Anfrage. Das Folgende ist ein Beispiel für einen IdP, ProviderDetails der SAML Single Logout unterstützt.

"ProviderDetails": { 
      "MetadataURL" : "https://myidp.example.com/saml/metadata",
      "IDPSignout" : "true",,
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}