Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Fügen Sie einen SAML 2.0-Identitätsanbieter hinzu
Ihre App-Benutzer können sich mit einem SAML 2.0-Identitätsanbieter (IdP) anmelden. Sie könnten SAML 2.0 IdPs statt Social Media wählen IdPs , wenn es sich bei Ihren Kunden um interne Kunden oder verbundene Unternehmen Ihrer Organisation handelt. Wenn ein sozialer IdP es allen Benutzern ermöglicht, sich für ein Konto zu registrieren, ist es wahrscheinlicher, dass ein SAML IdP mit einem Benutzerverzeichnis verknüpft wird, das von Ihrer Organisation kontrolliert wird. Unabhängig davon, ob Ihre Benutzer sich direkt oder über einen Drittanbieter anmelden, haben alle Benutzer ein Benutzerprofil im Benutzerpool. Überspringen Sie diesen Schritt, wenn Sie keine Anmeldung über einen SAML Identitätsanbieter hinzufügen möchten.
Weitere Informationen finden Sie unter Verwenden von SAML Identitätsanbietern mit einem Benutzerpool.
Sie müssen Ihren SAML Identitätsanbieter aktualisieren und Ihren Benutzerpool konfigurieren. Informationen darüber, wie Sie Ihren Benutzerpool als vertrauende Partei oder Anwendung für Ihren SAML 2.0-Identitätsanbieter hinzufügen können, finden Sie in der Dokumentation Ihres SAML Identitätsanbieters.
Sie müssen Ihrem SAML Identitätsanbieter auch einen Assertion Consumer Service (ACS) -Endpunkt zur Verfügung stellen. Konfigurieren Sie den folgenden Endpunkt in Ihrer Benutzerpool-Domäne für die SAML POST 2.0-Bindung in Ihrem SAML Identitätsanbieter. Weitere Informationen zu Benutzerpool-Domänen finden Sie unterKonfigurieren einer Benutzerpool-Domäne.
https://
Your user pool domain
/saml2/idpresponse With an Amazon Cognito domain: https://<yourDomainPrefix>
.auth.<region>
.amazoncognito.com/saml2/idpresponse With a custom domain: https://Your custom domain
/saml2/idpresponse
Sie finden Ihr Domain-Präfix und den Regionswert für Ihren Benutzerpool auf der Registerkarte Domainname der Amazon Cognito Cognito-Konsole
Bei einigen SAML Identitätsanbietern müssen Sie auch den Service Provider (SP)urn
, auch Audience URI - oder SP-Entitäts-ID genannt, im folgenden Format angeben:
urn:amazon:cognito:sp:
<yourUserPoolID>
Sie finden Ihre Benutzerpool-ID auf der Registerkarte Allgemeine Einstellungen in der Amazon-Cognito-Konsole
Sie sollten Ihren SAML Identitätsanbieter auch so konfigurieren, dass er Attributwerte für alle Attribute bereitstellt, die in Ihrem Benutzerpool erforderlich sind. In der Regel ist email
ein erforderliches Attribut für Benutzer-Pools. In diesem Fall sollte der SAML Identitätsanbieter in der SAML Assertion einen email
Wert (Anspruch) angeben.
Amazon Cognito Cognito-Benutzerpools unterstützen den SAML 2.0-Verbund mit Endpunkten nach dem Binden. Dadurch entfällt die Notwendigkeit, dass Ihre App SAML Assertion-Antworten abrufen oder analysieren muss, da der Benutzerpool die SAML Antwort direkt von Ihrem Identitätsanbieter über einen Benutzeragenten erhält.
Um einen SAML 2.0-Identitätsanbieter in Ihrem Benutzerpool zu konfigurieren
-
Melden Sie sich bei der Amazon-Cognito-Konsole
an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein. -
Wählen Sie User Pools (Benutzerpools) aus.
-
Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder erstellen Sie einen neuen Benutzerpool.
-
Wählen Sie die Registerkarte Sign-in experience (Anmeldeerlebnis) aus. Suchen Sie nach Federated sign-in (Verbundanmeldung) und wählen Sie Add an identity provider (Identitätsanbieter hinzufügen) aus.
-
Wählen Sie einen Anbieter für SAMLsoziale Identität.
-
Geben Sie IDs durch Kommas getrennt ein. Eine Kennung teilt Amazon Cognito mit, dass es die E-Mail-Adresse überprüfen soll, die ein Benutzer bei der Anmeldung eingibt. Anschließend werden sie an den Anbieter weitergeleitet, der ihrer Domain entspricht.
-
Wählen Sie Add sign-out flow (Abmeldeablauf hinzufügen) aus, wenn Amazon Cognito signierte Abmeldeanfragen an Ihren Anbieter senden soll, wenn sich ein Benutzer abmeldet. Sie müssen Ihren SAML 2.0-Identitätsanbieter so konfigurieren, dass er Abmeldeantworten an den
https://
Endpunkt sendet, der bei der Konfiguration der gehosteten Benutzeroberfläche erstellt wird. Der<your Amazon Cognito domain>
/saml2/logoutsaml2/logout
Endpunkt verwendet die POST Bindung.Anmerkung
Wenn diese Option ausgewählt ist und Ihr SAML Identitätsanbieter eine signierte Abmeldeanfrage erwartet, müssen Sie auch das Signaturzertifikat konfigurieren, das von Amazon Cognito mit Ihrem SAML IdP bereitgestellt wird.
Der SAML IdP verarbeitet die signierte Abmeldeanfrage und meldet Ihren Benutzer von der Amazon Cognito-Sitzung ab.
-
Wählen Sie eine Metadaten-Dokumentquelle aus. Wenn Ihr Identitätsanbieter SAML Metadaten öffentlich anbietetURL, können Sie das Metadaten-Dokument auswählen URL und das öffentliche Dokument eingeben. URL Wählen Sie andernfalls Upload metadata document (Hochladen eines Metadatendokuments) und anschließend eine Metadatendatei aus, die Sie zuvor von Ihrem Anbieter heruntergeladen haben.
Anmerkung
Wir empfehlen Ihnen, ein Metadatendokument einzugeben, URL wenn Ihr Anbieter über einen öffentlichen Endpunkt verfügt, anstatt eine Datei hochzuladen. Dadurch kann Amazon Cognito die Metadaten automatisch aktualisieren. Normalerweise werden die Metadaten alle sechs Stunden oder bevor sie ablaufen aktualisiert, je nachdem, was zuerst eintritt.
-
Wählen Sie Attribute zwischen Ihrem SAML Anbieter und Ihrer App zuordnen, um SAML Anbieterattribute dem Benutzerprofil in Ihrem Benutzerpool zuzuordnen. Fügen Sie die erforderlichen Attribute Ihres Benutzerpools in Ihre Attributzuordnung ein.
Wenn Sie beispielsweise das Benutzerpool-Attribut auswählen
email
, geben Sie den SAML Attributnamen so ein, wie er in der SAML Assertion Ihres Identity Providers erscheint. Ihr Identitätsanbieter bietet möglicherweise SAML Beispiel-Assertions als Referenz an. Einige Identitätsanbieter verwenden einfache Namen, wie z. B.email
, während andere Attributnamen im URL -Format verwenden, wie das folgende Beispiel:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
Wählen Sie Create (Erstellen) aus.