Configuración de proveedores de identidad para su grupo de usuarios - Amazon Cognito
Configurar el inicio de sesión de los usuarios con un IdP de redes socialesConfigurar el inicio de sesión de usuario con un IdP OIDCConfigurar el inicio de sesión de usuario con un IdP SAML

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de proveedores de identidad para su grupo de usuarios

Con los grupos de usuarios, puede implementar el inicio de sesión a través de varios proveedores de identidad externos ()IdPs. Esta sección de la guía contiene instrucciones para configurar estos proveedores de identidad con su grupo de usuarios en la consola de Amazon Cognito. Como alternativa, puede usar los grupos de usuarios API y an AWS SDK para agregar proveedores de identidad de grupos de usuarios mediante programación. Para obtener más información, consulte. CreateIdentityProvider

Las opciones de proveedores de identidad compatibles incluyen proveedores sociales como Facebook, Google y Amazon, así como proveedores de OpenID Connect (OIDC) y SAML 2.0. Antes de empezar, configúrese con las credenciales administrativas de su IdP. Para cada tipo de proveedor, tendrás que registrar tu solicitud, obtener las credenciales necesarias y, a continuación, configurar los detalles del proveedor en tu grupo de usuarios. A continuación, los usuarios podrán registrarse e iniciar sesión en la aplicación con sus cuentas existentes de los proveedores de identidad conectados.

La pestaña Experiencia de inicio de sesión, situada debajo del inicio de sesión con un proveedor de identidad federado, añade y actualiza el grupo de usuarios. IdPs Para obtener más información, consulte Agregar inicio de sesión de grupo de usuarios a través de un tercero.

Configurar el inicio de sesión de los usuarios con un IdP de redes sociales

Puede utilizar la federación para que los grupos de usuarios de Amazon Cognito se integren en los proveedores de identidad de redes sociales, como Facebook, Google y Login with Amazon.

Para añadir un proveedor de identidad social, primero debe crear una cuenta de desarrollador con el proveedor de identidad. Después de crear la cuenta de desarrollador, registre la aplicación con el proveedor de identidad. El proveedor de identidad crea un ID y un secreto de aplicación, y usted configura estos valores en su grupo de usuarios de Amazon Cognito.

Para integrar el inicio de sesión de usuario con un IdP de redes sociales

  1. Inicie sesión en la consola de Amazon Cognito. Si se le solicita, introduzca sus credenciales. AWS

  2. En el panel de navegación, elija User Pools (Grupos de usuarios) y elija el grupo de usuarios que desea editar.

  3. Elija la pestaña Sign-in experience (Experiencia de inicio de sesión) y localice Federated sign-in (Inicio de sesión federado).

  4. Elija Add an identity provider (Agregar un proveedor de identidad), o elija el proveedor de identidad de Facebook,Google, Amazon o Apple que ha configurado, localice Identity provider information (Información de proveedor de identidad), y elija Edit (Editar). Para obtener más información acerca de agregar un proveedor de identidad social, consulte Usar proveedores de identidad social con un grupo de usuarios.

  5. Introduzca la información de su proveedor de identidad social realizando uno de los siguientes pasos, según su elección de IdP:

    Facebook, Google y Login with Amazon

    Ingrese el ID y el secreto de aplicación que recibió al crear la aplicación de cliente.

    Inicio de sesión con Apple

    Ingrese el ID de servicio que proporcionó a Apple, así como el ID de equipo, el ID de clave y la clave privada que recibió al crear el cliente de aplicación.

  6. Para Authorize scopes (Autorizar ámbitos), introduzca los nombres de los ámbitos de los proveedores de identidad social que desea asignar a los atributos del grupo de usuarios. Los ámbitos definen a qué atributos de usuario, tales como nombre y correo electrónico, desea acceder con su aplicación. Al introducir ámbitos, utilice las siguientes pautas que se basan en su elección del proveedor de identidad (IdP):

    • Facebook — Ámbitos separados con comas. Por ejemplo:

      public_profile, email

    • Google, Login with Amazon y SignInWithApple — Ámbitos separados con espacios. Por ejemplo:

      • Google: profile email openid

      • Login with Amazon: profile postal_code

      • SignInWithApple: name email

        nota

        Para SignInWithApple (consola), utilice las casillas de verificación para elegir ámbitos.

  7. Elija Guardar cambios.

  8. Desde el pestaña App client integration (Integración de clientes de aplicaciones), elija uno de los App clients (Clientes de aplicaciones) en la lista y, a continuación, elija Edit hosted UI settings (Editar la configuración de IU). Agregue el nuevo proveedor de identidad social al cliente de aplicación en Identity providers (Proveedores de identidad).

  9. Elija Guardar cambios.

Para obtener más información sobre las redes sociales IdPs, consulteUsar proveedores de identidad social con un grupo de usuarios.

Configurar el inicio de sesión de usuario con un IdP OIDC

Puede integrar el inicio de sesión de los usuarios con un proveedor de identidad (IdP) de OpenID OIDC Connect (), como Salesforce o Ping Identity.

Para añadir un OIDC proveedor a un grupo de usuarios

  1. Vaya a la consola de Amazon Cognito. Si se le solicita, introduzca sus AWS credenciales.

  2. Elija User Pools (Grupos de usuarios) en el menú de navegación.

  3. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  4. Elija la pestaña Sign-in experience (Experiencia de inicio de sesión). Localice Federated sign-in (Inicio de sesión federado) y luego seleccione Add an identity provider (Agregar un proveedor de identidad).

  5. Elija un proveedor de identidad de OpenID Connect.

  6. Introduzca un nombre único en Provider name (Nombre de proveedor).

  7. Introduzca el ID de cliente que recibió de su proveedor en Client ID (ID de cliente).

  8. Introduzca el secreto de cliente que recibió de su proveedor en Client Secret (Secreto de cliente).

  9. Introduzca los Ámbitos autorizados para este proveedor. Los ámbitos definen qué grupos de atributos de usuario (tales como name y email) serán solicitados por su aplicación al proveedor. Los ámbitos deben estar separados por espacios, siguiendo la especificación OAuth2.0.

    El usuario debe autorizar que se proporcionen estos atributos a su aplicación.

  10. Elija un método de solicitud de atributos para proporcionar a Amazon Cognito el HTTP método (uno GET o variosPOST) que Amazon Cognito utiliza para obtener los detalles del usuario desde userInfoel punto de enlace gestionado por su proveedor.

  11. Elija un método de configuración para recuperar los puntos finales de OpenID Connect, ya sea mediante llenado automático a través del emisor URL o entrada manual. Utilice el rellenado automático del emisor URL cuando su proveedor tenga un .well-known/openid-configuration punto de conexión público en el que Amazon Cognito pueda recuperar URLs los puntos de authorization enlacetoken,userInfo, jwks_uri y.

  12. Introduzca el emisor URL oauthorization, tokenuserInfo, y el jwks_uri punto final URLs de su IdP.

    nota

    Solo puede usar los números de puerto 443 y 80 con la detección, rellenarlos automáticamente e URLs ingresarlos manualmente. Los inicios de sesión de los usuarios fallan si su OIDC proveedor utiliza algún puerto no TCP estándar.

    El emisor URL debe empezar con un carácter https:// y no debe terminar con él. / Por ejemplo, Salesforce usa esto: URL

    https://login.salesforce.com

    El openid-configuration documento asociado a su emisor URL debe incluir HTTPS URLs los siguientes valores:authorization_endpoint, token_endpointuserinfo_endpoint, y. jwks_uri Del mismo modo, si selecciona Entrada manual, solo puede introducir HTTPSURLs.

  13. De forma predeterminada, la OIDC subnotificación se asigna al atributo Nombre de usuario del grupo de usuarios. Puede asignar otras OIDC notificaciones a los atributos del grupo de usuarios. Introduzca la OIDC reclamación y seleccione el atributo del grupo de usuarios correspondiente en la lista desplegable. Por ejemplo, a la notificación email (correo electrónico) se le suele asignar el atributo de grupo de usuarios Email (Correo electrónico).

  14. Asigne atributos adicionales de su proveedor de identidades a su grupo de usuarios. Para obtener más información, consulte Especificación de asignaciones de atributos del proveedor de identidad para su grupo de usuarios.

  15. Seleccione Crear.

  16. Desde la pestaña App client integration (Integración de clientes de aplicaciones), seleccione una entre App clients (Clientes de aplicaciones) en la lista y Edit hosted UI settings (Editar configuración de IU alojadas). Agregue el nuevo proveedor de OIDC identidad al cliente de la aplicación en Proveedores de identidad.

  17. Elija Guardar cambios.

Para obtener más información sobre OIDC IdPs, consulteUtilizar proveedores OIDC de identidad con un grupo de usuarios.

Configurar el inicio de sesión de usuario con un IdP SAML

Puede usar la federación para que los grupos de usuarios de Amazon Cognito se integren con un proveedor de SAML identidad (IdP). Para proporcionar un documento de metadatos, puede cargar el archivo o introducir un punto final del documento de metadatos. URL Para obtener información sobre cómo obtener documentos de metadatos para terceros SAML IdPs, consulteConfigurar tu proveedor de SAML identidad externo.

Para configurar un proveedor de identidades SAML 2.0 en su grupo de usuarios

  1. Vaya a la consola de Amazon Cognito. Si se le solicita, introduzca sus AWS credenciales.

  2. Elija User Pools (Grupos de usuarios).

  3. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  4. Elija la pestaña Sign-in experience (Experiencia de inicio de sesión). Localice Federated sign-in (Inicio de sesión federado) y luego seleccione Add an identity provider (Agregar un proveedor de identidad).

  5. Elige un proveedor de SAMLidentidad.

  6. Introduzca Identificadores separados por comas. Un identificador indica a Amazon Cognito que debe comprobar la dirección de correo electrónico que introduce un usuario al iniciar sesión y, a continuación, dirigirlo al proveedor que corresponda a su dominio.

  7. Elija Add sign-out flow (Añadir flujo de cierre de sesión) si desea que Amazon Cognito envíe solicitudes de cierre de sesión firmadas a su proveedor cuando un usuario cierra la sesión. Configure su proveedor de identidades SAML 2.0 para que envíe las respuestas de cierre de sesión al https://mydomain.us-east-1.amazoncognito.com/saml2/logout punto final que Amazon Cognito crea al configurar la interfaz de usuario alojada. El saml2/logout punto final utiliza POST el enlace.

    nota

    Si selecciona esta opción y su proveedor de SAML identidad espera una solicitud de cierre de sesión firmada, también debe configurar el certificado de firma proporcionado por Amazon Cognito con su SAML IDP.

    El SAML IDP procesará la solicitud de cierre de sesión firmada y cerrará la sesión del usuario de Amazon Cognito.

  8. Seleccione un Origen de documentos de metadatos. Si su proveedor de identidad ofrece SAML los metadatos de forma públicaURL, puede elegir el documento de metadatos URL e introducir ese público. URL En caso contrario, elija Upload metadata document (Cargar documento de metadatos) y seleccione un archivo de metadatos que haya descargado anteriormente de su proveedor.

    nota

    Si su proveedor tiene un punto final público, le recomendamos que introduzca un documento URL de metadatos en lugar de cargar un archivo. Si usa elURL, Amazon Cognito actualiza los metadatos automáticamente. Normalmente, los metadatos se actualizan cada seis horas o antes de que caduquen, lo que ocurra primero.

  9. Asigne atributos entre su SAML proveedor y su aplicación para asignar los atributos del SAML proveedor al perfil de usuario de su grupo de usuarios. Incluya los atributos requeridos del grupo de usuarios en la asignación de atributos.

    Por ejemplo, al elegir el atributo de grupo de usuariosemail, introduce el nombre del SAML atributo tal como aparece en la SAML afirmación de tu proveedor de identidad. Es posible que tu proveedor de identidad te ofrezca ejemplos de SAML afirmaciones como referencia. Algunos proveedores de identidad utilizan nombres sencillos, por ejemploemail, mientras que otros utilizan nombres de atributos URL con formato similar a los siguientes:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Seleccione Crear.

nota

Si ve InvalidParameterException al crear un SAML IdP con un punto final de HTTPS metadatosURL, asegúrese de que el punto final de metadatos se haya configurado SSL correctamente y de que haya un SSL certificado válido asociado a él. Un ejemplo de esta excepción sería «Error al recuperar los metadatos de <metadata endpoint>".

Para configurar el SAML IdP para añadir un certificado de firma

  • Para obtener el certificado que contiene la clave pública que el IdP utiliza para verificar la solicitud de cierre de sesión firmada, seleccione Mostrar certificado de firma en SAMLProveedores activos en el cuadro de SAMLdiálogo de Proveedores de identidad de la página de la consola de la Federación.

Para obtener más información, consulte. SAML IdPs Uso de proveedores de SAML identidad con un grupo de usuarios