Keluar SAML pengguna dengan keluar tunggal - Amazon Cognito

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keluar SAML pengguna dengan keluar tunggal

Amazon Cognito mendukung SAML 2.0 logout tunggal (. SLO DenganSLO, aplikasi Anda dapat mengeluarkan pengguna dari penyedia SAML identitas mereka (IdPs) saat mereka keluar dari kumpulan pengguna Anda. Dengan cara ini, ketika pengguna ingin masuk ke aplikasi Anda lagi, mereka harus mengautentikasi dengan SAML IDP mereka. Jika tidak, mereka mungkin memiliki cookie browser IDP atau kumpulan pengguna di tempat yang meneruskannya ke aplikasi Anda tanpa persyaratan bahwa mereka memberikan kredensyal.

Saat mengonfigurasi SAML IDP untuk mendukung alur Keluar, Amazon Cognito mengalihkan pengguna Anda dengan permintaan logout yang ditandatangani ke iDP Anda. SAML Amazon Cognito menentukan lokasi pengalihan dari metadata iDP SingleLogoutService URL Anda. Amazon Cognito menandatangani permintaan keluar dengan sertifikat penandatanganan kumpulan pengguna Anda.

Diagram alir otentikasi dari sign-out Amazon SAML Cognito. Pengguna meminta keluar dan Amazon Cognito mengalihkan mereka ke penyedia mereka dengan permintaan keluar. SAML

Saat Anda mengarahkan pengguna dengan SAML sesi ke /logout titik akhir kumpulan pengguna, Amazon Cognito mengalihkan pengguna SAML Anda dengan permintaan berikut ke titik akhir yang ditentukan dalam SLO metadata iDP.

https://[SingleLogoutService endpoint]?
SAMLRequest=[encoded SAML request]&
RelayState=[RelayState]&
SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256&
Signature=[User pool RSA signature]

Pengguna Anda kemudian kembali ke saml2/logout titik akhir Anda dengan a LogoutResponse dari IDP mereka. IDP Anda harus mengirimkan LogoutResponse permintaan. HTTP POST Amazon Cognito kemudian mengarahkan mereka ke tujuan pengalihan dari permintaan keluar awal mereka.

SAMLPenyedia Anda mungkin mengirim LogoutResponse dengan lebih dari satu AuthnStatement di dalamnya. Yang pertama sessionIndex AuthnStatement dalam respons jenis ini harus cocok dengan SAML respons yang sessionIndex awalnya diautentikasi pengguna. Jika sessionIndex ada di tempat lainAuthnStatement, Amazon Cognito tidak akan mengenali sesi tersebut dan pengguna Anda tidak akan keluar.

AWS Management Console
Untuk mengonfigurasi SAML keluar

  1. Buat kumpulan pengguna, klien aplikasi, dan SAML iDP.

  2. Saat Anda membuat atau mengedit penyedia SAML identitas Anda, di bawah Informasi penyedia identitas, centang kotak dengan judul Tambahkan alur keluar.

  3. Dari tab Pengalaman masuk di kumpulan pengguna Anda, di bawah login penyedia identitas Federasi, pilih IDP Anda dan temukan sertifikat Penandatanganan.

  4. Pilih Unduh sebagai.crt.

  5. Konfigurasikan SAML penyedia Anda untuk mendukung logout SAML tunggal dan penandatanganan permintaan, dan unggah sertifikat penandatanganan kumpulan pengguna. IDP Anda harus mengarahkan ulang ke domain kumpulan /saml2/logout pengguna Anda.

API/CLI

Untuk mengonfigurasi SAML keluar

Konfigurasikan logout tunggal dengan IDPSignout parameter UpdateIdentityProviderAPIpermintaan CreateIdentityProvideratau. Berikut ini adalah contoh ProviderDetails dari iDP yang mendukung SAML single logout.

"ProviderDetails": { 
      "MetadataURL" : "https://myidp.example.com/saml/metadata",
      "IDPSignout" : "true",,
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}