Configuration de votre fournisseur d'identité pour l'authentification unique () SSO - Studio de recherche et d'ingénierie
Configurez votre fournisseur d'identitéConfigurer RES pour utiliser votre fournisseur d'identitéConfiguration de votre fournisseur d'identité dans un environnement hors productionProblèmes de débogage liés à l'SAMLIdP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de votre fournisseur d'identité pour l'authentification unique () SSO

Research and Engineering Studio s'intègre à n'importe quel fournisseur d'identité SAML 2.0 pour authentifier l'accès des utilisateurs au RES portail. Ces étapes fournissent des instructions pour intégrer le fournisseur d'identité SAML 2.0 que vous avez choisi. Si vous avez l'intention IAM d'utiliser Identity Center, consultezConfiguration de l'authentification unique (SSO) avec IAM Identity Center.

Note

L'adresse e-mail de l'utilisateur doit correspondre dans l'IDPSAMLassertion et dans Active Directory. Vous devrez connecter votre fournisseur d'identité à votre Active Directory et synchroniser régulièrement les utilisateurs.

Configurez votre fournisseur d'identité

Cette section décrit les étapes à suivre pour configurer votre fournisseur d'identité avec les informations du groupe d'utilisateurs RES Amazon Cognito.

  1. RESsuppose que vous disposez d'un AD (AWS Managed AD ou AD auto-provisionné) avec les identités d'utilisateur autorisées à accéder au RES portail et aux projets. Connectez votre AD à votre fournisseur de services d'identité et synchronisez les identités des utilisateurs. Consultez la documentation de votre fournisseur d'identité pour savoir comment connecter votre AD et synchroniser les identités des utilisateurs. Par exemple, consultez la section Utilisation d'Active Directory comme source d'identité dans le Guide de AWS IAM Identity Center l'utilisateur.

  2. Configurez une application SAML 2.0 pour RES votre fournisseur d'identité (IdP). Cette configuration nécessite les paramètres suivants :

    • SAMLRedirection URL : celle URL que votre IdP utilise pour envoyer la réponse SAML 2.0 au fournisseur de services.

      Note

      En fonction de l'IdP, la SAML redirection URL peut porter un nom différent :

      • Demande URL

      • Service à la clientèle d'Assertion (ACS) URL

      • ACSPOSTReliure URL

      Pour obtenir le URL

      1. Connectez-vous en RES tant qu'administrateur ou clusteradmin.

      2. Accédez à Gestion de l'environnementParamètres générauxFournisseur d'identité.

      3. Choisissez SAMLRedirect URL.

       

    • SAMLAudience URI : identifiant unique de l'entité d'SAMLaudience du côté du fournisseur de services.

      Note

      En fonction de l'IdP, l'SAMLaudience URI peut porter un nom différent :

      • ClientID

      • SAMLPublic visé par l'application

      • ID de l'entité SP

      Fournissez l'entrée dans le format suivant.

      urn:amazon:cognito:sp:user-pool-id
      Pour trouver votre SAML public URI

      1. Connectez-vous en RES tant qu'administrateur ou clusteradmin.

      2. Accédez à Gestion de l'environnementParamètres générauxFournisseur d'identité.

      3. Choisissez User Pool Id.

  3. L'SAMLassertion publiée sur RES doit comporter les champs/revendications suivants définis sur l'adresse e-mail de l'utilisateur :

    • SAMLSubject ou NameID

    • SAMLcourriel

  4. Votre IdP ajoute des champs/revendications à l'SAMLassertion, en fonction de la configuration. RESnécessite ces champs. La plupart des fournisseurs remplissent automatiquement ces champs par défaut. Reportez-vous aux entrées et valeurs de champ suivantes si vous devez les configurer.

    • AudienceRestriction— Réglé sururn:amazon:cognito:sp:user-pool-id. Remplacez user-pool-id avec l'ID de votre groupe d'utilisateurs Amazon Cognito.

      <saml:AudienceRestriction>
    <saml:Audience> urn:amazon:cognito:sp:user-pool-id
</saml:AudienceRestriction>

    • Réponse — Réglé InResponseTo surhttps://user-pool-domain/saml2/idpresponse. Remplacez user-pool-domain avec le nom de domaine de votre groupe d'utilisateurs Amazon Cognito.

      <saml2p:Response 
  Destination="http://user-pool-domain/saml2/idpresponse"
  ID="id123" 
  InResponseTo="_dd0a3436-bc64-4679-a0c2-cb4454f04184" 
  IssueInstant="Date-time stamp" 
  Version="2.0" 
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" 
  xmlns:xs="http://www.w3.org/2001/XMLSchema">

    • SubjectConfirmationData— Réglé sur Recipient le point de saml2/idpresponse terminaison de votre groupe d'utilisateurs et InResponseTo sur l'ID de SAML demande d'origine.

      <saml2:SubjectConfirmationData 
  InResponseTo="_dd0a3436-bc64-4679-a0c2-cb4454f04184" 
  NotOnOrAfter="Date-time stamp" 
  Recipient="https://user-pool-domain/saml2/idpresponse"/>

    • AuthnStatement— Configurez comme suit :

      <saml2:AuthnStatement AuthnInstant="2016-10-30T13:13:28.152TZ"
  SessionIndex="32413b2e54db89c764fb96ya2k" SessionNotOnOrAfter="2016-10-30T13:13:28">
    <saml2:SubjectLocality />
    <saml2:AuthnContext>
        <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</saml2:AuthnContextClassRef>
    </saml2:AuthnContext>
</saml2:AuthnStatement>

  5. Si votre SAML application comporte un URL champ de déconnexion, définissez-le sur :<domain-url>/saml2/logout.

     

    Pour obtenir le domaine URL

    1. Connectez-vous en RES tant qu'administrateur ou clusteradmin.

    2. Accédez à Gestion de l'environnementParamètres générauxFournisseur d'identité.

    3. Choisissez le domaine URL.

  6. Si votre IdP accepte un certificat de signature afin d'établir un lien de confiance avec Amazon Cognito, téléchargez le certificat de signature Amazon Cognito et chargez-le dans votre IdP.

     

    Pour obtenir le certificat de signature

    1. Ouvrez la console Amazon Cognito dans la section Getting Started with AWS Management Console

    2. Sélectionnez votre groupe d'utilisateurs. Votre groupe d'utilisateurs doit êtreres-<environment name>-user-pool.

    3. Sélectionnez l'onglet Expérience de connexion.

    4. Dans la section Connexion au fournisseur d'identité fédéré, choisissez Afficher le certificat de signature.

      La console Amazon Cognito avec le bouton Afficher le certificat de signature dans la section de connexion du fournisseur d'identité fédéré pour un groupe d'utilisateurs sélectionné.

      Vous pouvez utiliser ce certificat pour configurer Active DirectoryIDP, en ajouter un relying party trust et activer le SAML support sur cette partie utilisatrice.

      Note

      Cela ne s'applique pas à Keycloak et. IDC

    5. Une fois la configuration de l'application terminée, téléchargez les métadonnées de l'application SAML 2.0 XML ouURL. Vous l'utiliserez dans la section suivante.

Configurer RES pour utiliser votre fournisseur d'identité

Pour terminer la configuration de l'authentification unique pour RES

  1. Connectez-vous en RES tant qu'administrateur ou clusteradmin.

  2. Accédez à Gestion de l'environnementParamètres générauxFournisseur d'identité.

    L'interface utilisateur des paramètres d'environnement dansRES, y compris une section pour l'authentification unique.

  3. Sous Single Sign-On, cliquez sur l'icône de modification à côté de l'indicateur d'état pour ouvrir la page de configuration de Single Sign-On.

    L'interface utilisateur de configuration d'authentification unique dansRES.

    1. Dans Identity Provider, sélectionnez SAML.

    2. Dans Nom du fournisseur, entrez un nom unique pour votre fournisseur d'identité.

      Note

      Les noms suivants ne sont pas autorisés :

      • Cognito

      • IdentityCenter

    3. Sous Source du document de métadonnées, choisissez l'option appropriée et téléchargez le XML document de métadonnées ou fournissez-le URL auprès du fournisseur d'identité.

    4. Pour Attribut e-mail du fournisseur, entrez la valeur du texteemail.

    5. Sélectionnez Envoyer.

  4. Rechargez la page des paramètres d'environnement. L'authentification unique est activée si la configuration est correcte.

Configuration de votre fournisseur d'identité dans un environnement hors production

Si vous avez utilisé les ressources externes fournies pour créer un RES environnement hors production et que vous avez configuré IAM Identity Center comme fournisseur d'identité, vous souhaiterez peut-être configurer un autre fournisseur d'identité tel qu'Okta. Le formulaire RES SSO d'activation demande trois paramètres de configuration :

  1. Nom du fournisseur : ne peut pas être modifié

  2. Document de métadonnées ou URL — Peut être modifié

  3. Attribut e-mail du fournisseur — Peut être modifié

Pour modifier le document de métadonnées et l'attribut e-mail du fournisseur, procédez comme suit :

  1. Accédez à la console Amazon Cognito.

  2. Dans le menu de navigation, sélectionnez Groupes d'utilisateurs.

  3. Sélectionnez votre groupe d'utilisateurs pour afficher l'aperçu du groupe d'utilisateurs.

  4. Dans l'onglet Expérience de connexion, accédez à Connexion au fournisseur d'identité fédéré et ouvrez votre fournisseur d'identité configuré.

  5. En règle générale, il vous suffit de modifier les métadonnées et de laisser le mappage des attributs inchangé. Pour mettre à jour le mappage des attributs, choisissez Modifier. Pour mettre à jour le document de métadonnées, choisissez Remplacer les métadonnées.

    Vue d'ensemble du groupe d'utilisateurs Amazon Cognito.

  6. Si vous avez modifié le mappage des attributs, vous devez mettre à jour la <environment name>.cluster-settings table dans DynamoDB.

    1. Ouvrez la console DynamoDB et choisissez Tables dans le menu de navigation.

    2. Recherchez et sélectionnez le <environment name>.cluster-settings tableau, puis dans le menu Actions, sélectionnez Explorer les éléments.

    3. Sous Numériser ou interroger des éléments, accédez à Filtres et entrez les paramètres suivants :

      • Nom de l'attributkey

      • Valeuridentity-provider.cognito.sso_idp_provider_email_attribute

    4. Cliquez sur Exécuter.

  7. Sous Articles renvoyés, recherchez la identity-provider.cognito.sso_idp_provider_email_attribute chaîne et choisissez Modifier pour modifier la chaîne en fonction de vos modifications dans Amazon Cognito.

    Amazon Cognito met à jour les filtres et les éléments renvoyés dans DynamoDB.

Problèmes de débogage liés à l'SAMLIdP

SAML-tracer — Vous pouvez utiliser cette extension pour le navigateur Chrome afin de suivre les SAML demandes et de vérifier les valeurs d'SAMLassertion. Pour plus d'informations, consultez SAML-tracer sur le Chrome Web Store.

SAMLoutils de développement : OneLogin fournit des outils que vous pouvez utiliser pour décoder la valeur SAML codée et vérifier les champs obligatoires dans l'SAMLassertion. Pour plus d'informations, voir Base 64 Decode + Inflate sur le OneLogin site Web.

Amazon CloudWatch Logs — Vous pouvez vérifier la présence d'erreurs ou d'avertissements dans vos RES CloudWatch journaux dans Logs. Vos journaux se trouvent dans un groupe de journaux au format de nomres-environment-name/cluster-manager.

Documentation Amazon Cognito — Pour plus d'informations sur SAML l'intégration à Amazon Cognito, consultez la section SAML Ajouter des fournisseurs d'identité à un groupe d'utilisateurs dans le manuel Amazon Cognito Developer Guide.