Configuration des fournisseurs d'identités pour votre groupe d'utilisateurs - Amazon Cognito
Configuration d'une connexion utilisateur avec un fournisseur d'identité socialConfiguration d'une connexion utilisateur avec un fournisseur d'identité social OIDCConfiguration d'une connexion utilisateur avec un fournisseur d'identité SAML

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des fournisseurs d'identités pour votre groupe d'utilisateurs

Avec les groupes d'utilisateurs, vous pouvez implémenter la connexion par le biais de divers fournisseurs d'identité externes (IdPs). Cette section du guide contient des instructions pour configurer ces fournisseurs d'identité avec votre groupe d'utilisateurs dans la console Amazon Cognito. Vous pouvez également utiliser l'API des groupes d'utilisateurs et un AWS SDK pour ajouter par programmation des fournisseurs d'identité aux groupes d'utilisateurs. Pour de plus amples informations, veuillez consulter CreateIdentityProvider.

Les options de fournisseur d'identité prises en charge incluent les fournisseurs de réseaux sociaux tels que Facebook, Google et Amazon, ainsi que les fournisseurs OpenID Connect (OIDC) et SAML 2.0. Avant de commencer, configurez-vous les informations d'identification administratives de votre IdP. Pour chaque type de fournisseur, vous devez enregistrer votre application, obtenir les informations d'identification nécessaires, puis configurer les détails du fournisseur dans votre groupe d'utilisateurs. Vos utilisateurs peuvent ensuite s'inscrire et se connecter à votre application avec leurs comptes existants auprès des fournisseurs d'identité connectés.

Le menu des fournisseurs sociaux et externes sous Authentification ajoute et met à jour le groupe d'utilisateurs IdPs. Pour de plus amples informations, veuillez consulter Connexion au groupe d'utilisateurs avec des fournisseurs d'identité tiers.

Configuration d'une connexion utilisateur avec un fournisseur d'identité social

Vous pouvez utiliser une fédération pour intégrer des groupes d'utilisateurs Amazon Cognito à des fournisseurs d'identité sociaux tels que Facebook, Google et Login with Amazon.

Pour ajouter un fournisseur d'identité social, vous devez d'abord créer un compte développeur à l'aide du fournisseur d'identité. Une fois que vous disposez de votre compte développeur, inscrivez votre application avec le fournisseur d'identité. Le fournisseur d'identité crée un ID d'application et une clé secrète d'application pour votre application, tandis que vous configurez ces valeurs dans vos groupes d'utilisateurs Amazon Cognito.

Pour intégrer la connexion utilisateur à un fournisseur d'identité social

  1. Connectez-vous à la console Amazon Cognito. Si vous y êtes invité, entrez vos AWS informations d'identification.

  2. Dans le volet de navigation, choisissez Groupes d’utilisateurs, puis choisissez le groupe d’utilisateurs que vous souhaitez modifier.

  3. Choisissez le menu Fournisseurs sociaux et externes.

  4. Choisissez Add an identity provider (Ajouter un fournisseur d'identité) ou choisissez le fournisseur d'identité Facebook, Google, Amazon ou Apple que vous avez configuré, localisez Identity provider information (Informations sur le fournisseur d'identité) et choisissez Edit (Modifier). Pour plus d'informations sur l'ajout de fournisseurs d'identité sociaux, consultez Utilisation de fournisseurs d'identité sociale avec un pool d'utilisateurs.

  5. Saisissez les informations de votre fournisseur d'identité sociale en effectuant l'une des étapes suivantes, en fonction de votre choix d'IdP :

    Facebook, Google et Login with Amazon

    Saisissez l'ID d'application et le secret d'application que vous avez reçus lors de la création de votre application cliente.

    Connexion avec Apple

    Saisissez l'ID de service que vous avez fourni à Apple, ainsi que l'ID d'équipe, l'ID de clé et la clé privée que vous avez reçus lors de la création de votre client d'application.

  6. Pour Authorized scopes (Périmètres autorisés), saisissez les noms des périmètres de fournisseur d'identité social à mapper aux attributs de groupe d'utilisateurs. Les portées définissent les attributs d'utilisateur comme le nom et l'adresse e-mail auxquels vous souhaitez accéder avec votre application. Lorsque vous saisissez des portées, suivez les directives suivantes en fonction de votre choix de fournisseur d'identité :

    • Facebook : séparez les périmètre par des virgules. Par exemple :

      public_profile, email

    • Google, Login with Amazon et Sign in with Apple : séparez les périmètres par des espaces. Par exemple :

      • Google :profile email openid

      • Login with Amazon :profile postal_code

      • Sign in with Apple :name email

        Note

        Pour Sign In with Apple (console), utilisez les cases à cocher pour les sélectionner.

  7. Sélectionnez Enregistrer les modifications.

  8. Dans le menu Clients de l'application, choisissez un client d'application dans la liste, puis sélectionnez Modifier. Ajoutez le nouveau fournisseur d'identité sociale au client d' l'application sous Fournisseurs d'identité.

  9. Sélectionnez Enregistrer les modifications.

Pour plus d'informations sur les réseaux sociaux IdPs, consultezUtilisation de fournisseurs d'identité sociale avec un pool d'utilisateurs.

Configuration d'une connexion utilisateur avec un fournisseur d'identité social OIDC

Vous pouvez intégrer une connexion utilisateur à un fournisseur d'identité (IdP) OpenID Connect (OIDC) tel que Salesforce ou Ping Identity.

Pour ajouter un fournisseur OIDC à un groupe d'utilisateurs

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, entrez vos AWS informations d'identification.

  2. Choisissez Groupes d'utilisateurs dans le menu de navigation.

  3. Choisissez un groupe d’utilisateurs existant dans la liste ou créez-en un.

  4. Choisissez le menu Fournisseurs sociaux et externes, puis sélectionnez Ajouter un fournisseur d'identité.

  5. Choisir un fournisseur d'identité OpenID Connect

  6. Saisissez un nom unique dans le champ Nom du fournisseur.

  7. Saisissez l'ID client que vous avez reçu de votre fournisseur dans Client ID (ID client).

  8. Saisissez le secret client que vous avez reçu de votre fournisseur dans Client secret (Secret client).

  9. Saisissez les périmètres d'autorisation pour ce fournisseur. Les périmètres définissent les groupes d'attributs utilisateur (tels que name et email) que votre demande demandera à votre fournisseur. Les étendues doivent être séparées par des espaces, conformément à la spécification OAuth 2.0.

    L'utilisateur doit accepter de fournir ces attributs à votre application.

  10. Choisissez une méthode de demande d'attribut (Attribute request method) pour fournir à Amazon Cognito la méthode HTTP (GET ou POST) à utiliser pour récupérer les détails de l'utilisateur à partir du point de terminaison userInfo exploité par votre fournisseur.

  11. Choisissez une Méthode de configuration pour récupérer les points de terminaison OpenID Connect soit par Remplissage automatique via l'URL du diffuseur soit par Saisie manuel. Utilisez le remplissage automatique de l'URL de l'émetteur lorsque votre fournisseur dispose d'un point de .well-known/openid-configuration terminaison public sur lequel Amazon Cognito peut récupérer URLs les points de authorization terminaisontoken,userInfo, jwks_uri et.

  12. Entrez l'URL de l'émetteur ouauthorization, tokenuserInfo, et le jwks_uri point URLs de terminaison de votre IdP.

    Note

    Vous ne pouvez utiliser que les numéros de port 443 et 80 avec détection, remplis automatiquement et saisis URLs manuellement. Les connexions utilisateur échouent si votre fournisseur OIDC utilise des ports TCP non standard.

    L'URL de l'émetteur doit commencer par https:// et ne doit pas se terminer par un caractère /. Par exemple, Salesforce utilise cette URL :

    https://login.salesforce.com

    Le openid-configuration document associé à l'URL de votre émetteur doit fournir le protocole HTTPS URLs pour les valeurs suivantes :authorization_endpoint, token_endpointuserinfo_endpoint, etjwks_uri. De même, lorsque vous choisissez la saisie manuelle, vous ne pouvez saisir que le protocole HTTPS URLs.

  13. Par défaut, la demande d'OIDC sub est mappée à l'attribut de groupe d'utilisateurs Nom d'utilisateur. Vous pouvez mapper d'autres demandes d'OIDC aux attributs de groupe d'utilisateurs. Saisissez la demande OIDC et choisissez l'attribut du groupe d'utilisateurs correspondant dans la liste déroulante. Par exemple, l'e-mail de demande est souvent mappé à l'e-mail de l'attribut de groupe d'utilisateurs.

  14. Mappez d'autres attributs de votre fournisseur d'identité à votre groupe d'utilisateurs. Pour de plus amples informations, veuillez consulter Spécification des mappages d'attribut du fournisseur d'identité pour votre groupe d'utilisateurs.

  15. Sélectionnez Create (Créer).

  16. Dans le menu Clients de l'application, sélectionnez un client d'application dans la liste et sélectionnez Modifier. Pour ajouter le nouveau fournisseur d'identité SAML au client de l'application, accédez à l'onglet Pages de connexion et sélectionnez Modifier dans la configuration des pages de connexion gérées.

  17. Sélectionnez Enregistrer les modifications.

Pour plus d'informations sur l'OIDC IdPs, voirUtilisation de fournisseurs d'identité OIDC avec un pool d'utilisateurs.

Configuration d'une connexion utilisateur avec un fournisseur d'identité SAML

Vous pouvez utiliser une fédération afin que les groupes d'utilisateurs Amazon Cognito s'intégrent avec un fournisseur d'identité (IdP) SAML. Vous fournissez un document de métadonnées, soit en téléchargeant le fichier ou en entrant l'URL de point de terminaison d'un document de métadonnées. Pour plus d'informations sur l'obtention de documents de métadonnées pour le protocole SAML tiers IdPs, consultezConfiguration de votre fournisseur d'identité SAML tiers.

Pour configurer un fournisseur d'identité SAML 2.0 dans votre groupe d'utilisateurs

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, entrez vos AWS informations d'identification.

  2. Choisissez Groupes d’utilisateurs.

  3. Choisissez un groupe d’utilisateurs existant dans la liste ou créez-en un.

  4. Choisissez le menu Fournisseur social et externe, puis sélectionnez Ajouter un fournisseur d'identité.

  5. Choisissez un fournisseur d'identité SAML.

  6. Saisissez Identifiants séparés par des virgules. Un identifiant indique à Amazon Cognito qu'il doit vérifier l'adresse e-mail de connexion de l'utilisateur, puis rediriger l'utilisateur vers le fournisseur correspondant à son domaine.

  7. Choisissez Ajouter un flux de déconnexion si vous souhaitez qu'Amazon Cognito envoie des demandes de déconnexion signées à votre fournisseur lorsqu'un utilisateur se déconnecte. Configurez votre fournisseur d'identité SAML 2.0 pour envoyer des réponses de déconnexion au point de https://mydomain.us-east-1.amazoncognito.com/saml2/logout terminaison créé par Amazon Cognito lorsque vous configurez la connexion gérée. Ce point de terminaison saml2/logout utilise la liaison POST.

    Note

    Si vous sélectionnez cette option et que votre fournisseur d'identité SAML attend une demande de déconnexion signée, vous devez également configurer le certificat de signature fourni par Amazon Cognito avec votre fournisseur d'identité SAML.

    l'IdP SAML traite la demande de déconnexion signée et déconnecte votre utilisateur de la session Amazon Cognito.

  8. Choisissez une Source du document de métadonnées. Si votre fournisseur d'identité propose des métadonnées SAML à une URL publique, vous pouvez choisir Metadata document URL (URL du document de métadonnées) et saisir cette URL publique. Sinon, choisissez Upload metadata documen (Charger un document de métadonnées) et sélectionnez un fichier de métadonnées que vous avez téléchargé depuis votre fournisseur précédemment.

    Note

    Si votre fournisseur dispose d'un point de terminaison public, nous vous recommandons de saisir une URL de document de métadonnées, au lieu de charger un fichier. Si vous utilisez l'URL, Amazon Cognito actualise automatiquement les métadonnées. En règle générale, l'actualisation des métadonnées a lieu toutes les 6 heures ou avant l'expiration des métadonnées, selon la première éventualité.

  9. Mappage des attributs entre votre fournisseur SAML et votre application pour mapper les attributs du fournisseur SAML au profil utilisateur de votre groupe d'utilisateurs. Incluez les attributs requis de votre groupe d'utilisateurs dans votre carte attributaire.

    Par exemple, lorsque vous choisissez Groupe d'utilisateurs email, saisissez le nom de l'attribut SAML tel qu'il apparaît dans l'assertion SAML de votre fournisseur d'identité. Votre fournisseur d'identité peut proposer des exemples d'assertions SAML à titre de référence. Certains fournisseurs d'identité utilisent des noms simples, par exemple email, tandis que d'autres utilisent des noms d'attributs au format URL, tels que :

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Sélectionnez Create (Créer).

Note

Si vous voyez InvalidParameterException pendant la création d'un fournisseur d'identité SAML avec une URL de point de terminaison de métadonnées HTTPS, veillez à ce que SSL soit correctement configuré pour le point de terminaison de métadonnées et qu'un certificat SSL valide lui soit associé. Un exemple d'une telle exception serait « Erreur lors de la récupération des métadonnées depuis <metadata endpoint> ».

Pour configurer le fournisseur d'identité SAML afin d'ajouter un certificat de signature

  • Pour obtenir le certificat contenant la clé publique que l'IdP utilise pour vérifier la demande de déconnexion signée, procédez comme suit :

    1. Accédez au menu des fournisseurs sociaux et externes de votre groupe d'utilisateurs.

    2. Sélectionnez votre fournisseur SAML,

    3. Choisissez Afficher le certificat de signature.

Pour plus d'informations sur SAML, IdPs voirUtilisation de fournisseurs d'identité SAML avec un groupe d'utilisateurs.