Ajouter un fournisseur d'identité SAML 2.0 - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajouter un fournisseur d'identité SAML 2.0

Les utilisateurs de votre application peuvent se connecter avec un fournisseur d'identité (IdP) SAML 2.0. Vous pouvez choisir la SAML version 2.0 IdPs plutôt que les réseaux sociaux IdPs lorsque vos clients sont des clients internes ou des entreprises liées à votre organisation. Lorsqu'un IdP social permet à tous les utilisateurs de créer un compte, il est plus probable qu'un SAML IdP soit associé à un annuaire d'utilisateurs contrôlé par votre organisation. Que vos utilisateurs se connectent directement ou via un tiers, ils ont tous un profil dans le groupe d'utilisateurs. Ignorez cette étape si vous ne souhaitez pas ajouter de connexion via un fournisseur SAML d'identité.

Pour de plus amples informations, veuillez consulter Utilisation de fournisseurs SAML d'identité avec un pool d'utilisateurs.

Vous devez mettre à jour votre fournisseur SAML d'identité et configurer votre groupe d'utilisateurs. Pour plus d'informations sur la façon d'ajouter votre groupe d'utilisateurs en tant que partie de confiance ou application pour votre fournisseur d'identité SAML 2.0, consultez la documentation de votre fournisseur SAML d'identité.

Vous devez également fournir un point de terminaison Assertion Consumer Service (ACS) à votre fournisseur SAML d'identité. Configurez le point de terminaison suivant dans le domaine de votre groupe d'utilisateurs pour une POST liaison SAML 2.0 dans votre fournisseur SAML d'identité. Pour plus d'informations sur les domaines du groupe d'utilisateurs, consultezConfiguration d'un domaine de groupe d'utilisateurs.

https://Your user pool domain/saml2/idpresponse
With an Amazon Cognito domain:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
With a custom domain:
https://Your custom domain/saml2/idpresponse

Vous trouverez le préfixe de votre domaine et la valeur de région pour votre groupe d'utilisateurs dans l'onglet Nom de domaine de la console Amazon Cognito.

Pour certains fournisseurs SAML d'identité, vous devez également fournir le fournisseur de services (SP)urn, également appelé audience URI ou ID d'entité SP, au format suivant :

urn:amazon:cognito:sp:<yourUserPoolID>

L'ID de votre groupe d'utilisateurs se trouve dans l'onglet Paramètres généraux de la console Amazon Cognito.

Vous devez également configurer votre fournisseur SAML d'identité pour fournir des valeurs d'attribut pour tous les attributs requis dans votre groupe d'utilisateurs. Généralement, email est un attribut requis pour les groupes d'utilisateurs. Dans ce cas, le fournisseur SAML d'identité doit fournir une email valeur (réclamation) dans l'SAMLassertion.

Les groupes d'utilisateurs Amazon Cognito prennent en charge la fédération SAML 2.0 avec des points de terminaison post-liaison. Votre application n'a donc plus besoin de récupérer ou d'analyser les réponses aux SAML assertions, car le groupe d'utilisateurs reçoit directement la SAML réponse de votre fournisseur d'identité par le biais d'un agent utilisateur.

Pour configurer un fournisseur d'identité SAML 2.0 dans votre groupe d'utilisateurs

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, entrez vos AWS informations d'identification.

  2. Choisissez Groupes d’utilisateurs.

  3. Choisissez un groupe d’utilisateurs existant dans la liste ou créez un groupe d’utilisateurs.

  4. Choisissez l'onglet Expérience de connexion. Localisez Ouverture de session fédérée et sélectionnez Ajout d'un fournisseur d'identité.

  5. Choisissez un fournisseur d'identité SAMLsociale.

  6. Saisissez Identifiants séparés par des virgules. Un identifiant indique à Amazon Cognito qu'il doit vérifier l'adresse e-mail saisie par un utilisateur lorsqu'il se connecte. Il les dirige ensuite vers le fournisseur correspondant à leur domaine.

  7. Choisissez Ajouter un flux de déconnexion si vous souhaitez qu'Amazon Cognito envoie des demandes de déconnexion signées à votre fournisseur lorsqu'un utilisateur se déconnecte. Vous devez configurer votre fournisseur d'identité SAML 2.0 pour envoyer des réponses de déconnexion au https://<your Amazon Cognito domain>/saml2/logout point de terminaison créé lorsque vous configurez l'interface utilisateur hébergée. Le saml2/logout point de terminaison utilise la POST liaison.

    Note

    Si cette option est sélectionnée et que votre fournisseur SAML d'identité attend une demande de déconnexion signée, vous devrez également configurer le certificat de signature fourni par Amazon Cognito avec votre SAML IdP.

    L'SAMLIdP traitera la demande de déconnexion signée et déconnectera votre utilisateur de la session Amazon Cognito.

  8. Choisissez une Source du document de métadonnées. Si votre fournisseur d'identité propose SAML des métadonnées à un publicURL, vous pouvez choisir un document de métadonnées URL et saisir ce publicURL. Sinon, choisissez Upload metadata documen (Charger un document de métadonnées) et sélectionnez un fichier de métadonnées que vous avez téléchargé depuis votre fournisseur précédemment.

    Note

    Nous vous recommandons de saisir un document de métadonnées URL si votre fournisseur dispose d'un point de terminaison public, plutôt que de télécharger un fichier. Cela permet à Amazon Cognito d'actualiser automatiquement les métadonnées. En règle générale, l'actualisation des métadonnées a lieu toutes les 6 heures ou avant l'expiration des métadonnées, selon la première éventualité.

  9. Sélectionnez Cartographier les attributs entre votre SAML fournisseur et votre application pour associer les attributs du SAML fournisseur au profil utilisateur de votre groupe d'utilisateurs. Incluez les attributs requis de votre groupe d'utilisateurs dans votre carte attributaire.

    Par exemple, lorsque vous choisissez l'attribut User poolemail, entrez le nom de SAML l'attribut tel qu'il apparaît dans l'SAMLassertion de votre fournisseur d'identité. Votre fournisseur d'identité peut proposer des exemples d'SAMLassertions à titre de référence. Certains fournisseurs d'identité utilisent des noms simples, tels queemail, tandis que d'autres utilisent des noms d'attributs URL au format -formaté, comme dans l'exemple suivant :

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Sélectionnez Create (Créer).