Déconnexion des SAML utilisateurs à l'aide de la fonction de déconnexion unique - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Déconnexion des SAML utilisateurs à l'aide de la fonction de déconnexion unique

Amazon Cognito prend en charge la déconnexion unique SAML 2.0 (. SLO AvecSLO, votre application peut déconnecter les utilisateurs de leurs fournisseurs SAML d'identité (IdPs) lorsqu'ils se déconnectent de votre groupe d'utilisateurs. Ainsi, lorsque les utilisateurs souhaitent se reconnecter à votre application, ils doivent s'authentifier auprès de leur SAML IdP. Dans le cas contraire, ils peuvent avoir des cookies de navigateur IdP ou de groupe d'utilisateurs en place qui les transmettent à votre application sans qu'il soit nécessaire qu'ils fournissent des informations d'identification.

Lorsque vous configurez votre SAML IdP pour prendre en charge le flux de déconnexion, Amazon Cognito redirige votre utilisateur avec une demande de déconnexion SAML signée vers votre IdP. Amazon Cognito détermine l'emplacement de la redirection à partir des métadonnées SingleLogoutService URL de votre IdP. Amazon Cognito signe la demande de déconnexion avec le certificat de signature de votre groupe d'utilisateurs.

Schéma du flux d'authentification lors de la déconnexion d'Amazon CognitoSAML. L'utilisateur demande la déconnexion et Amazon Cognito le redirige vers son fournisseur avec SAML une demande de déconnexion.

Lorsque vous dirigez un utilisateur disposant d'une SAML session vers le point de /logout terminaison de votre groupe d'SAMLutilisateurs, Amazon Cognito le redirige avec la demande suivante vers le point de SLO terminaison spécifié dans les métadonnées de l'IdP.

https://[SingleLogoutService endpoint]?
SAMLRequest=[encoded SAML request]&
RelayState=[RelayState]&
SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256&
Signature=[User pool RSA signature]

Votre utilisateur retourne ensuite sur votre saml2/logout terminal avec un identifiant LogoutResponse provenant de son IdP. Votre IdP doit envoyer une LogoutResponse HTTP POST demande. Amazon Cognito les redirige ensuite vers la destination de redirection depuis leur demande de déconnexion initiale.

Votre SAML fournisseur peut envoyer un LogoutResponse contenant plus AuthnStatement d'un. Le sessionIndex premier AuthnStatement élément d'une réponse de ce type doit correspondre sessionIndex à celui de la SAML réponse qui a initialement authentifié l'utilisateur. S'il se sessionIndex trouve dans une autre sessionAuthnStatement, Amazon Cognito ne reconnaîtra pas la session et votre utilisateur ne sera pas déconnecté.

AWS Management Console
Pour configurer la SAML déconnexion

  1. Créez un groupe d'utilisateurs, un client d'application et un SAML IdP.

  2. Lorsque vous créez ou modifiez votre fournisseur SAML d'identité, sous Informations sur le fournisseur d'identité, cochez la case intitulée Ajouter un flux de déconnexion.

  3. Dans l'onglet Expérience de connexion de votre groupe d'utilisateurs, sous Connexion au fournisseur d'identité fédéré, choisissez votre IdP et recherchez le certificat de signature.

  4. Choisissez Télécharger au format .crt.

  5. Configurez votre SAML fournisseur pour qu'il prenne en charge la déconnexion SAML unique et la signature des demandes, et téléchargez le certificat de signature du groupe d'utilisateurs. Votre IdP doit être redirigé vers le domaine /saml2/logout de votre groupe d'utilisateurs.

API/CLI

Pour configurer la SAML déconnexion

Configurez une déconnexion unique avec le IDPSignout paramètre d'une UpdateIdentityProviderAPIdemande CreateIdentityProvideror. Voici un exemple ProviderDetails d'IdP qui prend en charge la déconnexion SAML unique.

"ProviderDetails": { 
      "MetadataURL" : "https://myidp.example.com/saml/metadata",
      "IDPSignout" : "true",,
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}