Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de votre fournisseur SAML d'identité tiers
Lorsque vous souhaitez ajouter un fournisseur d'SAMLidentité (IdP) à votre groupe d'utilisateurs, vous devez effectuer des mises à jour de configuration dans l'interface de gestion de votre IdP. Cette section explique comment formater les valeurs que vous devez fournir à votre IdP. Vous pouvez également découvrir comment récupérer le document de URL métadonnées statiques ou actives identifiant l'IdP et ses SAML droits sur votre groupe d'utilisateurs.
Pour configurer des solutions de fournisseur d'identité (IdP) SAML 2.0 tiers afin qu'elles fonctionnent avec la fédération pour les groupes d'utilisateurs Amazon Cognito, vous devez configurer votre SAML IdP pour qu'il soit redirigé vers l'Assertion Consumer Service () suivant :. ACS URL https://
Si votre groupe d'utilisateurs dispose d’un domaine Amazon Cognito, vous pouvez trouver le chemin du domaine de votre groupe d'utilisateurs dans l’onglet App integration (Intégration d'application) de votre groupe d'utilisateurs dans la console Amazon Cognitomydomain.us-east-1.amazoncognito.com
/saml2/idpresponse
Certains SAML IdPs exigent que vous fournissiez leurn
, également appelé identifiant d'audience URI ou d'entité SP, dans le formulaireurn:amazon:cognito:sp:
. Vous trouverez l'ID de votre groupe d'utilisateurs dans la section Vue d'ensemble du groupe d'utilisateurs dans la console Amazon Cognito.us-east-1_EXAMPLE
Vous devez également configurer votre SAML IdP pour fournir des valeurs pour tous les attributs que vous avez désignés comme attributs obligatoires dans votre groupe d'utilisateurs. Généralement, email
c'est un attribut obligatoire pour les groupes d'utilisateurs, auquel cas l'SAMLIdP doit fournir une forme de email
revendication dans son SAML assertion, et vous devez associer la réclamation à l'attribut de ce fournisseur.
Les informations de configuration suivantes pour les solutions IdP SAML 2.0 tierces constituent un bon point de départ pour configurer la fédération avec les groupes d'utilisateurs Amazon Cognito. Pour obtenir les informations les plus récentes, consultez directement la documentation de votre fournisseur.
Pour signer des SAML demandes, vous devez configurer votre IdP pour qu'il approuve les demandes signées par le certificat de signature de votre groupe d'utilisateurs. Pour accepter les SAML réponses chiffrées, vous devez configurer votre IdP pour chiffrer toutes les SAML réponses envoyées à votre groupe d'utilisateurs. Votre fournisseur disposera de la documentation sur la configuration de ces fonctionnalités. Pour un exemple fourni par Microsoft, voir Configurer le chiffrement des SAML jetons Microsoft
Note
Amazon Cognito a uniquement besoin du document de métadonnées de votre fournisseur d'identité. Votre fournisseur peut fournir des informations de configuration pour Compte AWS la fédération avec la SAML version 2.0 ; ces informations ne sont pas pertinentes pour l'intégration d'Amazon Cognito.
Solution | En savoir plus |
---|---|
Microsoft Active Directory Federation Services (AD FS) | Explorateur de métadonnées de fédération |
Okta | Comment télécharger les métadonnées IdP et les certificats de SAML signature pour l'intégration d'une application SAML |
Auth0 | Configurer Auth0 en tant que fournisseur SAML d'identité |
Identité Ping (PingFederate) | Exportation SAML de métadonnées depuis PingFederate |
JumpCloud | SAMLRemarques de configuration |
SecureAuth | SAMLintégration des applications |