Menambahkan dan mengelola penyedia SAML identitas di kumpulan pengguna - Amazon Cognito

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menambahkan dan mengelola penyedia SAML identitas di kumpulan pengguna

Setelah mengonfigurasi penyedia identitas agar bekerja dengan Amazon Cognito, Anda dapat menambahkannya ke kumpulan pengguna dan klien aplikasi. Prosedur berikut menunjukkan cara membuat, memodifikasi, dan menghapus SAML penyedia di kumpulan pengguna Amazon Cognito.

AWS Management Console

Anda dapat menggunakan AWS Management Console untuk membuat dan menghapus penyedia SAML identitas (IdPs).

Sebelum Anda membuat SAML iDP, Anda harus memiliki dokumen SAML metadata yang Anda dapatkan dari iDP pihak ketiga. Untuk petunjuk tentang cara mendapatkan atau membuat dokumen SAML metadata yang diperlukan, lihat. Mengkonfigurasi penyedia SAML identitas pihak ketiga Anda

Untuk mengonfigurasi SAML 2.0 iDP di kumpulan pengguna Anda

  1. Masuk ke Konsol Amazon Cognito. Jika diminta, masukkan AWS kredensialnya.

  2. Pilih Kolam Pengguna.

  3. Pilih kolam pengguna yang ada dari daftar, atau buat kolam pengguna.

  4. Pilih tab Pengalaman masuk. Cari Masuk Federasi dan pilih Tambahkan penyedia identitas.

  5. Pilih sebuah SAMLiDP.

  6. Masukkan nama Penyedia. Anda dapat meneruskan nama ramah ini dalam parameter identity_provider permintaan ke fileOtorisasi titik akhir.

  7. Masukkan Identifier dipisahkan dengan koma. Pengidentifikasi memberi tahu Amazon Cognito bahwa ia harus memeriksa alamat email yang dimasukkan pengguna saat mereka masuk, dan kemudian mengarahkannya ke penyedia yang sesuai dengan domain mereka.

  8. Pilih Tambahkan alur keluar jika Anda ingin Amazon Cognito mengirim permintaan keluar yang ditandatangani ke penyedia Anda saat pengguna keluar. Anda harus mengonfigurasi SAML 2.0 iDP Anda untuk mengirim respons keluar ke https://mydomain.us-east-1.amazoncognito.com/saml2/logout titik akhir yang dibuat saat Anda mengonfigurasi UI yang dihosting. saml2/logoutTitik akhir menggunakan POST pengikatan.

    catatan

    Jika opsi ini dipilih dan SAML idP Anda mengharapkan permintaan logout yang ditandatangani, Anda juga harus memberikan SAML IDP Anda dengan sertifikat penandatanganan dari kumpulan pengguna Anda.

    SAMLIDP akan memproses permintaan logout yang ditandatangani dan mengeluarkan pengguna Anda dari sesi Amazon Cognito.

  9. Pilih konfigurasi login yang diprakarsai IDP SAML. Sebagai praktik keamanan terbaik, pilih Terima pernyataan yang diprakarsai SP SAML saja. Jika Anda telah mempersiapkan lingkungan untuk menerima sesi SAML masuk yang tidak diminta dengan aman, pilih Terima pernyataan yang diprakarsai SP dan IDP. SAML Untuk informasi selengkapnya, lihat SAMLinisiasi sesi di kumpulan pengguna Amazon Cognito.

  10. Pilih sumber dokumen Metadata. Jika IDP Anda menawarkan SAML metadata di publikURL, Anda dapat memilih dokumen Metadata dan memasukkan publik itu. URL URL Jika tidak, pilih Unggah dokumen metadata dan pilih file metadata yang Anda unduh dari penyedia Anda sebelumnya.

    catatan

    Kami menyarankan Anda memasukkan dokumen metadata URL jika penyedia Anda memiliki titik akhir publik alih-alih mengunggah file. Amazon Cognito secara otomatis menyegarkan metadata dari metadata. URL Biasanya, penyegaran metadata terjadi setiap 6 jam atau sebelum metadata kedaluwarsa, mana yang lebih awal.

  11. Petakan atribut antara SAML penyedia Anda dan kumpulan pengguna Anda untuk memetakan atribut SAML penyedia ke profil pengguna di kumpulan pengguna Anda. Sertakan atribut wajib kumpulan pengguna Anda di peta atribut Anda.

    Misalnya, ketika Anda memilih atribut User poolemail, masukkan nama SAML atribut seperti yang muncul dalam SAML pernyataan dari idP Anda. Jika IDP Anda menawarkan contoh SAML pernyataan, Anda dapat menggunakan contoh pernyataan ini untuk membantu Anda menemukan nama. Beberapa IdPs menggunakan nama sederhana, sepertiemail, sementara yang lain menggunakan nama seperti berikut ini.

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  12. Pilih Buat.

API/CLI

Gunakan perintah berikut untuk membuat dan mengelola penyedia SAML identitas (iDP).

Untuk membuat iDP dan mengunggah dokumen metadata

  • AWS CLI: aws cognito-idp create-identity-provider

    Contoh dengan file metadata: aws cognito-idp create-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-type SAML --provider-details file:///details.json --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    Di mana details.json berisi:

    "ProviderDetails": { 
      "MetadataFile": "<SAML metadata XML>",
      "IDPSignout" : "true",
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}
    catatan

    Jika <SAML metadata XML> berisi setiap contoh karakter", Anda harus menambahkan \ sebagai karakter escape:\".

    Contoh dengan metadataURL: aws cognito-idp create-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-type SAML --provider-details MetadataURL=https://myidp.example.com/sso/saml/metadata --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • AWS API: CreateIdentityProvider

Untuk mengunggah dokumen metadata baru untuk IDP

  • AWS CLI: aws cognito-idp update-identity-provider

    Contoh dengan file metadata: aws cognito-idp update-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-details file:///details.json --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    Di mana details.json berisi:

    "ProviderDetails": { 
      "MetadataFile": "<SAML metadata XML>",
      "IDPSignout" : "true",
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}
    catatan

    Jika <SAML metadata XML> berisi setiap contoh karakter", Anda harus menambahkan \ sebagai karakter escape:\".

    Contoh dengan metadataURL: aws cognito-idp update-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-details MetadataURL=https://myidp.example.com/sso/saml/metadata --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • AWS API: UpdateIdentityProvider

Untuk mendapatkan informasi tentang IDP tertentu

  • AWS CLI: aws cognito-idp describe-identity-provider

    aws cognito-idp describe-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1

  • AWS API: DescribeIdentityProvider

Untuk daftar informasi tentang semua IdPs

  • AWS CLI: aws cognito-idp list-identity-providers

    Contoh: aws cognito-idp list-identity-providers --user-pool-id us-east-1_EXAMPLE --max-results 3

  • AWS API: ListIdentityProviders

Untuk menghapus IdP

  • AWS CLI: aws cognito-idp delete-identity-provider

    aws cognito-idp delete-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1

  • AWS API: DeleteIdentityProvider

Untuk mengatur SAML iDP untuk menambahkan kumpulan pengguna sebagai pihak yang mengandalkan

  • Penyedia layanan kumpulan pengguna URN adalah:urn:amazon:cognito:sp:us-east-1_EXAMPLE. Amazon Cognito memerlukan nilai pembatasan audiens yang cocok dengan ini URN dalam respons. SAML Konfigurasikan IDP Anda untuk menggunakan titik akhir POST pengikatan berikut untuk pesan respons. IdP-to-SP

    https://mydomain.us-east-1.amazoncognito.com/saml2/idpresponse

  • SAMLIDP Anda harus terisi NameID dan atribut apa pun yang diperlukan untuk kumpulan pengguna Anda dalam pernyataan. SAML NameIDdigunakan untuk mengidentifikasi pengguna SAML federasi Anda secara unik di kumpulan pengguna. IDP Anda harus meneruskan ID SAML nama setiap pengguna dalam format yang konsisten dan peka huruf besar/kecil. Setiap variasi dalam nilai ID nama pengguna membuat profil pengguna baru.

Untuk memberikan sertifikat penandatanganan ke SAML 2.0 Anda IDP

  • Untuk mengunduh salinan kunci publik dari Amazon Cognito yang dapat digunakan IDP Anda untuk memvalidasi permintaan SAML logout, pilih tab Pengalaman masuk dari kumpulan pengguna Anda, pilih IDP Anda, dan di bawah Lihat sertifikat penandatanganan, pilih Unduh sebagai.crt.

Anda dapat menghapus SAML penyedia apa pun yang telah Anda atur di kumpulan pengguna dengan konsol Amazon Cognito.

Untuk menghapus SAML penyedia

  1. Masuk ke konsol Amazon Cognito.

  2. Di panel navigasi, pilih Kumpulan Pengguna, dan pilih kumpulan pengguna yang ingin Anda edit.

  3. Pilih tab Pengalaman masuk dan temukan login penyedia identitas Federasi.

  4. Pilih tombol radio di sebelah yang ingin SAML IdPs Anda hapus.

  5. Ketika Anda diminta untuk Hapus penyedia identitas, masukkan nama SAML penyedia untuk mengonfirmasi penghapusan, lalu pilih Hapus.