SAMLfirma y cifrado - Amazon Cognito
Aceptar SAML respuestas cifradas de su IdPFirmar solicitudes SAML

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

SAMLfirma y cifrado

SAMLEl inicio de sesión 2.0 se basa en el usuario de una aplicación como portador de las solicitudes y respuestas en su flujo de autenticación. Es posible que desee asegurarse de que los usuarios no lean ni modifiquen estos SAML documentos mientras están en tránsito. Para ello, añada la SAML firma y el cifrado a los proveedores de SAML identidad (IdPs) de su grupo de usuarios. Con la SAML firma, sus grupos de usuarios añaden una firma a las solicitudes de SAML inicio y cierre de sesión. Con la clave pública de su grupo de usuarios, su IdP puede comprobar que recibe solicitudes sin SAML modificar. Luego, cuando el IdP responde y pasa SAML las afirmaciones a las sesiones del navegador de los usuarios, el IdP puede cifrar esa respuesta para que el usuario no pueda inspeccionar sus propios atributos y derechos.

Con la SAML firma y el cifrado, todas las operaciones criptográficas durante las operaciones del grupo SAML de usuarios deben generar firmas y texto cifrado con user-pool-provided las claves que genera Amazon Cognito. Actualmente, no puede configurar un grupo de usuarios para que firme solicitudes o acepte afirmaciones cifradas con una clave externa.

nota

Los certificados de su grupo de usuarios tienen una validez de 10 años. Una vez al año, Amazon Cognito genera nuevos certificados de firma y cifrado para su grupo de usuarios. Amazon Cognito devuelve el certificado más reciente cuando solicita el certificado de firma y firma las solicitudes con el certificado de firma más reciente. Su IdP puede cifrar SAML las afirmaciones con cualquier certificado de cifrado de grupo de usuarios que no esté caducado. Los certificados anteriores siguen siendo válidos durante toda su duración y la clave pública no cambia de un certificado a otro. Como práctica recomendada, actualice el certificado en la configuración de su proveedor una vez al año.

Aceptar SAML respuestas cifradas de su IdP

Amazon Cognito y su IdP pueden establecer la confidencialidad en SAML las respuestas cuando los usuarios inician y cierran sesión. Amazon Cognito asigna un key RSA pair de claves público-privadas y un certificado a cada proveedor SAML externo que configure en su grupo de usuarios. Al habilitar el cifrado de respuestas para el SAML proveedor de su grupo de usuarios, debe cargar su certificado en un IdP que admita respuestas cifradasSAML. La conexión del grupo de usuarios con el SAML IdP no funciona antes de que el IdP comience a cifrar todas las SAML afirmaciones con la clave proporcionada.

A continuación, se ofrece un resumen del flujo de un inicio de sesión cifrado. SAML

  1. El usuario comienza a iniciar sesión y elige su SAML IdP.

  2. El grupo de usuarios Autorizar punto de conexión redirige al usuario a su SAML IdP con SAML una solicitud de inicio de sesión. Si lo desea, su grupo de usuarios puede acompañar esta solicitud con una firma que permita la verificación de integridad por parte del IdP. Cuando desee firmar SAML solicitudes, debe configurar su IdP para que acepte las solicitudes que su grupo de usuarios haya firmado con la clave pública del certificado de firma.

  3. El SAML IdP inicia sesión en el usuario y genera una SAML respuesta. El IdP cifra la respuesta con la clave pública y redirige al usuario al punto final del grupo de usuarios. /saml2/idpresponse El IdP debe cifrar la respuesta según se define en la SAML especificación 2.0. Para obtener más información, consulte Element <EncryptedAssertion> Aserciones y protocolos para el lenguaje de marcado de aserciones OASIS de seguridad () V2.0. SAML

  4. El grupo de usuarios descifra el texto cifrado de la SAML respuesta con la clave privada e inicia sesión en el usuario.

importante

Cuando habilitas el cifrado de respuestas para un SAML IdP en tu grupo de usuarios, tu IdP debe cifrar todas las respuestas con una clave pública específica del proveedor. Amazon Cognito no acepta SAML respuestas no cifradas de un SAML IdP externo que usted configure para admitir el cifrado.

Cualquier SAML IdP externo de su grupo de usuarios puede admitir el cifrado de respuesta y cada IdP recibe su propio par de claves.

AWS Management Console
Para configurar el cifrado de respuesta SAML

  1. Cree un grupo de usuarios, un cliente de aplicaciones y un SAML IdP.

  2. Cuando crees o edites tu proveedor de SAML identidad, en Firmar solicitudes y cifrar respuestas, marca la casilla con el título Requerir SAML afirmaciones cifradas de este proveedor.

  3. En la pestaña Experiencia de inicio de sesión de su grupo de usuarios, en Inicio de sesión con un proveedor de identidad federado, seleccione su SAML IdP y elija Ver certificado de cifrado.

  4. Elija Descargar como .crt y proporcione el archivo descargado a su SAML IdP. Configure su SAML IdP para cifrar SAML las respuestas con la clave del certificado.

API/CLI

Para configurar el cifrado de respuestas SAML

Configure el cifrado de respuesta con el EncryptedResponses parámetro de una UpdateIdentityProviderAPIsolicitud CreateIdentityProvidero. El siguiente es un ejemplo ProviderDetails de un IdP que admite la firma de solicitudes.

"ProviderDetails": { 
      "MetadataURL" : "https://myidp.example.com/saml/metadata",
      "IDPSignout" : "true",
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}

Para obtener el certificado de cifrado de su grupo de usuarios, realice una DescribeIdentityProviderAPIsolicitud y recupere el valor del ActiveEncryptionCertificate parámetro ProviderDetails de respuesta. Guarde este certificado y entréguelo a su IdP como certificado de cifrado para las solicitudes de inicio de sesión de su grupo de usuarios.

Firmar solicitudes SAML

La capacidad de demostrar la integridad de las solicitudes SAML 2.0 a su IDP es una ventaja de seguridad del inicio de sesión iniciado por Amazon Cognito SAML SP. Cada grupo de usuarios con un dominio recibe un certificado de firma X.509 del grupo de usuarios. Con la clave pública de este certificado, los grupos de usuarios aplican una firma criptográfica a las solicitudes de cierre de sesión que el grupo de usuarios genera cuando los usuarios seleccionan un SAML IdP. Si lo desea, puede configurar el cliente de la aplicación para que firme las solicitudes de inicio de sesiónSAML. Al firmar SAML las solicitudes, el IdP puede comprobar que la firma de los XML metadatos de las solicitudes coincide con la clave pública del certificado del grupo de usuarios que usted proporciona.

AWS Management Console
Para configurar la firma de SAML solicitudes

  1. Cree un grupo de usuarios, un cliente de aplicaciones y un SAML IdP.

  2. Cuando crees o edites tu proveedor de SAML identidad, en Firmar solicitudes y cifrar respuestas, marca la casilla con el título Firmar SAML solicitudes a este proveedor.

  3. En la pestaña Experiencia de inicio de sesión de tu grupo de usuarios, en Inicio de sesión con un proveedor de identidad federado, selecciona Ver certificado de firma.

  4. Elija Descargar como .crt y proporcione el archivo descargado a su SAML IdP. Configure su SAML IdP para verificar la firma de las solicitudes entrantesSAML.

API/CLI

Para configurar la firma de SAML solicitudes

Configure la firma de solicitudes con el RequestSigningAlgorithm parámetro de una UpdateIdentityProviderAPIsolicitud CreateIdentityProvidero. El siguiente es un ejemplo ProviderDetails de un IdP que admite la firma de solicitudes.

"ProviderDetails": { 
      "MetadataURL" : "https://myidp.example.com/saml/metadata",
      "IDPSignout" : "true",
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}