Ajouter un fournisseur d'identité SAML 2.0 - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajouter un fournisseur d'identité SAML 2.0

Les utilisateurs de votre application peuvent se connecter avec un fournisseur d'identité (IdP) SAML 2.0. Vous pouvez choisir SAML 2.0 IdPs plutôt que les réseaux sociaux IdPs lorsque vos clients sont des clients internes ou des entreprises liées à votre organisation. Lorsqu'un IdP social permet à tous les utilisateurs de créer un compte, un IdP SAML est plus susceptible d'être associé à un annuaire d'utilisateurs contrôlé par votre organisation. Que vos utilisateurs se connectent directement ou via un tiers, ils ont tous un profil dans le groupe d'utilisateurs. Ignorez cette étape si vous ne souhaitez pas ajouter la connexion via un fournisseur d'identité SAML.

Pour de plus amples informations, veuillez consulter Utilisation de fournisseurs d'identité SAML avec un groupe d'utilisateurs.

Vous devez mettre à jour votre fournisseur d'identité SAML et configurer votre groupe d'utilisateurs. Pour plus d'informations sur la façon d'ajouter votre groupe d'utilisateurs en tant que partie de confiance ou application pour votre fournisseur d'identité SAML 2.0, consultez la documentation de votre fournisseur d'identité SAML.

Vous devez également fournir un point de terminaison ACS (Assertion Consumer Service) à votre fournisseur d'identité SAML. Configurez le point de terminaison suivant dans le domaine de votre groupe d'utilisateurs pour la liaison POST SAML 2.0 dans votre fournisseur d'identité SAML. Pour plus d'informations sur les domaines du groupe d'utilisateurs, consultezConfiguration d'un domaine de groupe d'utilisateurs.

https://Your user pool domain/saml2/idpresponse
With an Amazon Cognito domain:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
With a custom domain:
https://Your custom domain/saml2/idpresponse

Vous trouverez le préfixe de votre domaine et la valeur de région pour votre groupe d'utilisateurs dans le menu Domaine de la console Amazon Cognito.

Pour certains fournisseurs d'identité SAML, vous devez également fournir le fournisseur de services (SP)urn, également appelé URI d'audience ou ID d'entité SP, au format suivant :

urn:amazon:cognito:sp:<yourUserPoolID>

Vous trouverez l'identifiant de votre groupe d'utilisateurs dans le tableau de bord de présentation de votre groupe d'utilisateurs dans la console Amazon Cognito.

Vous devez également configurer votre fournisseur d'identité SAML afin qu'il fournisse des valeurs d'attributs pour tous les attributs requis dans votre groupe d'utilisateurs. Généralement, email est un attribut requis pour les groupes d'utilisateurs. Dans ce cas, le fournisseur d'identité SAML doit fournir une valeur email (revendication) dans l'assertion SAML.

Les groupes d'utilisateurs Amazon Cognito prennent en charge la fédération SAML 2.0 avec points de terminaison de liaison postérieure. Votre application n'a donc plus besoin de récupérer ou d'analyser les réponses aux assertions SAML, car le groupe d'utilisateurs reçoit directement la réponse SAML de votre fournisseur d'identité via un agent utilisateur.

Pour configurer un fournisseur d'identité SAML 2.0 dans votre groupe d'utilisateurs

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, entrez vos AWS informations d'identification.

  2. Choisissez Groupes d’utilisateurs.

  3. Choisissez un groupe d’utilisateurs existant dans la liste ou créez-en un.

  4. Choisissez le menu Fournisseurs sociaux et externes. Localisez la Session fédéréeet sélectionnez Ajouter un fournisseur d'identité.

  5. Choisissez un SAML fournisseur d'identité social.

  6. Saisissez Identifiants séparés par des virgules. Un identifiant indique à Amazon Cognito qu'il doit vérifier l'adresse e-mail saisie par un utilisateur lorsqu'il se connecte. Il les dirige ensuite vers le fournisseur correspondant à leur domaine.

  7. Choisissez Ajouter un flux de déconnexion si vous souhaitez qu'Amazon Cognito envoie des demandes de déconnexion signées à votre fournisseur lorsqu'un utilisateur se déconnecte. Vous devez configurer votre fournisseur d'identité SAML 2.0 pour envoyer des réponses de déconnexion au https://<your Amazon Cognito domain>/saml2/logout point de terminaison créé lorsque vous configurez la connexion gérée. Le saml2/logout point de terminaison utilise la liaison POST.

    Note

    Si cette option est sélectionnée et que votre fournisseur d'identité SAML attend une demande de déconnexion signée, vous devrez également configurer le certificat de signature fourni par Amazon Cognito avec votre IdP SAML.

    L'IdP SAML traitera la demande de déconnexion signée et déconnectera votre utilisateur de la session Amazon Cognito.

  8. Choisissez une Source du document de métadonnées. Si votre fournisseur d'identité propose des métadonnées SAML à une URL publique, vous pouvez choisir Metadata document URL (URL du document de métadonnées) et saisir cette URL publique. Sinon, choisissez Upload metadata documen (Charger un document de métadonnées) et sélectionnez un fichier de métadonnées que vous avez téléchargé depuis votre fournisseur précédemment.

    Note

    Nous vous recommandons de saisir l'URL d'un document de métadonnées si votre fournisseur dispose d'un point de terminaison public, plutôt que de télécharger un fichier. Cela permet à Amazon Cognito d'actualiser automatiquement les métadonnées. En règle générale, l'actualisation des métadonnées a lieu toutes les 6 heures ou avant l'expiration des métadonnées, selon la première éventualité.

  9. Sélectionnez Mappage des attributs entre votre fournisseur SAML et votre application pour mapper les attributs du fournisseur SAML au profil utilisateur de votre groupe d'utilisateurs. Incluez les attributs requis de votre groupe d'utilisateurs dans votre carte attributaire.

    Par exemple, lorsque vous choisissez le champ groupe d'utilisateurs email, saisissez le nom de l'attribut SAML tel qu'il apparaît dans l'assertion SAML de votre fournisseur d'identité. Votre fournisseur d'identité peut proposer des exemples d'assertions SAML à titre de référence. Certains fournisseurs d'identité utilisent des noms simples, comme email, tandis que d'autres utilisent des noms d'attributs au format URL, tels que l'exemple suivant :

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Sélectionnez Create (Créer).