SAMLinisiasi sesi di kumpulan pengguna Amazon Cognito

Amazon Cognito mendukung sistem masuk tunggal () yang dimulai oleh penyedia layanan (SP-initiated) dan IDP-initiated. SSO SSO Sebagai praktik keamanan terbaik, terapkan SP yang dimulai SSO di kumpulan pengguna Anda. Bagian 5.1.2 dari Ikhtisar Teknis SAML V2.0 menjelaskan SP-dimulai. SSO Amazon Cognito adalah penyedia identitas (iDP) ke aplikasi Anda. Aplikasi ini adalah penyedia layanan (SP) yang mengambil token untuk pengguna yang diautentikasi. Namun, ketika Anda menggunakan IDP pihak ketiga untuk mengautentikasi pengguna, Amazon Cognito adalah SP. Saat pengguna SAML 2.0 Anda mengautentikasi dengan alur yang dimulai SP, mereka harus selalu membuat permintaan terlebih dahulu ke Amazon Cognito dan mengarahkan ulang ke IDP untuk autentikasi.

Untuk beberapa kasus penggunaan perusahaan, akses ke aplikasi internal dimulai dari bookmark di dasbor yang dihosting oleh iDP perusahaan. Ketika pengguna memilih bookmark, IDP menghasilkan SAML respons dan mengirimkannya ke SP untuk mengautentikasi pengguna dengan aplikasi.

Anda dapat mengonfigurasi SAML iDP di kumpulan pengguna Anda untuk mendukung IDP yang dimulai. SSO Saat Anda mendukung otentikasi yang diprakarsai oleh IDP, Amazon Cognito tidak dapat memverifikasi bahwa ia telah meminta respons yang diterimanya karena Amazon Cognito tidak memulai otentikasi dengan permintaan. SAML SAML Di SP-initiated, Amazon SSO Cognito menetapkan parameter status yang memvalidasi respons terhadap permintaan asli. SAML Dengan login yang dimulai SP, Anda juga dapat melindungi dari pemalsuan permintaan lintas situs (). CSRF

Untuk contoh cara membangun SP-initiated SAML di lingkungan di mana Anda tidak ingin pengguna berinteraksi dengan UI yang dihosting kumpulan pengguna, lihat. Contoh skenario: bookmark aplikasi Amazon Cognito di dasbor perusahaan