Cerrar sesión de los SAML usuarios con un único cierre de sesión - Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cerrar sesión de los SAML usuarios con un único cierre de sesión

Amazon Cognito admite el cierre de sesión único SAML 2.0 (. SLO ConSLO, su aplicación puede cerrar la sesión de los usuarios de sus proveedores de SAML identidad (IdPs) cuando cierran sesión en su grupo de usuarios. De esta forma, cuando los usuarios quieran volver a iniciar sesión en tu aplicación, deberán autenticarse con su SAML IdP. De lo contrario, es posible que tengan cookies de IdP o de navegador de grupo de usuarios que las transmitan a su aplicación sin necesidad de que proporcionen credenciales.

Cuando configura su SAML IdP para que admita el flujo de cierre de sesión, Amazon Cognito redirige al usuario con una solicitud de cierre de sesión SAML firmada a su IdP. Amazon Cognito determina la ubicación de redireccionamiento a partir de los SingleLogoutService URL metadatos de su IdP. Amazon Cognito firma la solicitud de cierre de sesión con el certificado de firma del grupo de usuarios.

Diagrama de flujo de autenticación del cierre de sesión en Amazon CognitoSAML. El usuario solicita cerrar sesión y Amazon Cognito lo redirige a su proveedor con SAML una solicitud de cierre de sesión.

Cuando dirige a un usuario con una SAML sesión al /logout punto final de su grupo de usuarios, Amazon Cognito redirige a su SAML usuario con la siguiente solicitud al SLO punto final que se especifica en los metadatos del IdP.

https://[SingleLogoutService endpoint]?
SAMLRequest=[encoded SAML request]&
RelayState=[RelayState]&
SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256&
Signature=[User pool RSA signature]

A continuación, el usuario regresa a su saml2/logout punto final con un mensaje LogoutResponse de su IdP. Su IdP debe enviar LogoutResponse la solicitudHTTP POST. A continuación, Amazon Cognito los redirige al destino de redireccionamiento desde su solicitud de cierre de sesión inicial.

Es posible que su SAML proveedor envíe un mensaje LogoutResponse con más de unoAuthnStatement. La primera sessionIndex AuthnStatement de una respuesta de este tipo debe coincidir con la de sessionIndex la SAML respuesta que autenticó originalmente al usuario. Si sessionIndex está en alguna otraAuthnStatement, Amazon Cognito no reconocerá la sesión y no se cerrará la sesión del usuario.

AWS Management Console
Para configurar el cierre de sesión SAML

  1. Cree un grupo de usuarios, un cliente de aplicaciones y un SAML IdP.

  2. Al crear o editar el proveedor de SAML identidad, en Información del proveedor de identidad, marca la casilla con el título Añadir flujo de cierre de sesión.

  3. En la pestaña Experiencia de inicio de sesión de su grupo de usuarios, en Inicio de sesión con un proveedor de identidad federado, elija su IDP y busque el certificado de firma.

  4. Selecciona Descargar como .crt.

  5. Configure su SAML proveedor para que admita el cierre de sesión SAML único y la firma de solicitudes, y cargue el certificado de firma del grupo de usuarios. Su IdP debe redirigirse al dominio /saml2/logout de su grupo de usuarios.

API/CLI

Para configurar el cierre de sesión SAML

Configure el cierre de sesión único con el IDPSignout parámetro de una solicitud CreateIdentityProvidero UpdateIdentityProviderAPI. El siguiente es un ejemplo ProviderDetails de un IdP que admite el cierre de sesión SAML único.

"ProviderDetails": { 
      "MetadataURL" : "https://myidp.example.com/saml/metadata",
      "IDPSignout" : "true",,
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}