Tambahkan penyedia identitas SAML 2.0 - Amazon Cognito

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tambahkan penyedia identitas SAML 2.0

Pengguna aplikasi Anda dapat masuk dengan penyedia identitas SAML 2.0 (iDP). Anda dapat memilih SAML 2.0 IdPs daripada sosial IdPs ketika pelanggan Anda adalah pelanggan internal atau bisnis terkait organisasi Anda. Jika iDP sosial memungkinkan semua pengguna untuk mendaftar akun, iDP SAML lebih mungkin untuk dipasangkan dengan direktori pengguna yang dikendalikan organisasi Anda. Apakah pengguna Anda masuk secara langsung atau melalui pihak ketiga, semua pengguna memiliki profil di kolam pengguna. Lewati langkah ini jika Anda tidak ingin menambahkan login melalui penyedia SAML identitas.

Untuk informasi selengkapnya, lihat Menggunakan penyedia SAML identitas dengan kumpulan pengguna.

Anda harus memperbarui penyedia SAML identitas Anda dan mengonfigurasi kumpulan pengguna Anda. Untuk informasi tentang cara menambahkan kumpulan pengguna Anda sebagai pihak yang mengandalkan atau aplikasi untuk penyedia identitas SAML 2.0 Anda, lihat dokumentasi untuk penyedia SAML identitas Anda.

Anda juga harus memberikan titik akhir layanan konsumen (ACS) pernyataan kepada penyedia identitas AndaSAML. Konfigurasikan titik akhir berikut di domain kumpulan pengguna Anda untuk POST pengikatan SAML 2.0 di penyedia SAML identitas Anda. Untuk informasi selengkapnya tentang domain kumpulan pengguna, lihatMengkonfigurasi domain kumpulan pengguna.

https://Your user pool domain/saml2/idpresponse
With an Amazon Cognito domain:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
With a custom domain:
https://Your custom domain/saml2/idpresponse

Anda dapat menemukan awalan domain dan nilai Wilayah untuk kumpulan pengguna Anda di tab Nama domain di konsol Amazon Cognito.

Untuk beberapa penyedia SAML identitas, Anda juga perlu menyediakan penyedia layanan (SP)urn, juga disebut audiens URI atau ID entitas SP, dalam format:

urn:amazon:cognito:sp:<yourUserPoolID>

Anda dapat menemukan ID kolam pengguna Anda di tab Pengaturan umum di Konsol Amazon Cognito.

Anda juga harus mengonfigurasi penyedia SAML identitas Anda untuk memberikan nilai atribut untuk atribut apa pun yang diperlukan dalam kumpulan pengguna Anda. Biasanya, email adalah atribut yang diperlukan untuk kolam pengguna. Dalam hal ini, penyedia SAML identitas harus memberikan email nilai (klaim) dalam SAML pernyataan tersebut.

Kumpulan pengguna Amazon Cognito mendukung federasi SAML 2.0 dengan titik akhir pasca-pengikatan. Ini menghilangkan kebutuhan aplikasi Anda untuk mengambil atau mengurai respons SAML pernyataan karena kumpulan pengguna langsung menerima SAML respons dari penyedia identitas Anda melalui agen pengguna.

Untuk mengonfigurasi penyedia identitas SAML 2.0 di kumpulan pengguna Anda

  1. Masuk ke Konsol Amazon Cognito. Jika diminta, masukkan AWS kredensialnya.

  2. Pilih Kolam Pengguna.

  3. Pilih kolam pengguna yang ada dari daftar, atau buat kolam pengguna.

  4. Pilih tab Pengalaman masuk. Cari Masuk Federasi dan pilih Tambahkan penyedia identitas.

  5. Pilih penyedia identitas SAMLsosial.

  6. Masukkan Identifier dipisahkan dengan koma. Pengidentifikasi memberi tahu Amazon Cognito bahwa ia harus memeriksa alamat email yang dimasukkan pengguna saat mereka masuk. Kemudian mengarahkan mereka ke penyedia yang sesuai dengan domain mereka.

  7. Pilih Tambahkan alur keluar jika Anda ingin Amazon Cognito mengirim permintaan keluar yang ditandatangani ke penyedia Anda saat pengguna keluar. Anda harus mengonfigurasi penyedia identitas SAML 2.0 Anda untuk mengirim respons keluar ke https://<your Amazon Cognito domain>/saml2/logout titik akhir yang dibuat saat Anda mengonfigurasi UI yang dihosting. saml2/logoutTitik akhir menggunakan POST pengikatan.

    catatan

    Jika opsi ini dipilih dan penyedia SAML identitas Anda mengharapkan permintaan logout yang ditandatangani, Anda juga perlu mengonfigurasi sertifikat penandatanganan yang disediakan oleh Amazon Cognito dengan IDP Anda. SAML

    SAMLIDP akan memproses permintaan logout yang ditandatangani dan akan mengeluarkan pengguna Anda dari sesi Amazon Cognito.

  8. Pilih sumber dokumen Metadata. Jika penyedia identitas Anda menawarkan SAML metadata di publikURL, Anda dapat memilih dokumen Metadata URL dan memasukkan publik itu. URL Jika tidak, pilih Unggah dokumen metadata dan pilih file metadata yang Anda unduh dari penyedia Anda sebelumnya.

    catatan

    Kami menyarankan Anda memasukkan dokumen metadata URL jika penyedia Anda memiliki titik akhir publik, daripada mengunggah file. Ini memungkinkan Amazon Cognito menyegarkan metadata secara otomatis. Biasanya, penyegaran metadata terjadi setiap 6 jam atau sebelum metadata kedaluwarsa, mana yang lebih awal.

  9. Pilih atribut Peta antara SAML penyedia Anda dan aplikasi Anda untuk memetakan atribut SAML penyedia ke profil pengguna di kumpulan pengguna Anda. Sertakan atribut wajib kumpulan pengguna Anda di peta atribut Anda.

    Misalnya, ketika Anda memilih atribut User poolemail, masukkan nama SAML atribut seperti yang muncul dalam SAML pernyataan dari penyedia identitas Anda. Penyedia identitas Anda mungkin menawarkan contoh SAML pernyataan untuk referensi. Beberapa penyedia identitas menggunakan nama sederhana, sepertiemail, sementara yang lain menggunakan nama atribut URL -formatted, seperti contoh berikut:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Pilih Buat.