Menggunakan penyedia SAML identitas dengan kumpulan pengguna - Amazon Cognito
Referensi cepatSensitivitas kasus

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan penyedia SAML identitas dengan kumpulan pengguna

Anda dapat memilih agar pengguna web dan aplikasi seluler masuk melalui penyedia SAML identitas (iDP) seperti Microsoft Active Directory Federation Services (ADFS), atau Shibboleth. Anda harus memilih SAML iDP yang mendukung standar SAML2.0.

Dengan UI yang dihosting dan titik akhir federasi, Amazon Cognito mengautentikasi pengguna iDP lokal dan pihak ketiga dan mengeluarkan token web (). JSON JWTs Dengan token yang dikeluarkan Amazon Cognito, Anda dapat menggabungkan beberapa sumber identitas menjadi standar OpenID Connect OIDC () universal di semua aplikasi Anda. Amazon Cognito dapat memproses SAML pernyataan dari penyedia pihak ketiga Anda ke dalam standar tersebut. SSO Anda dapat membuat dan mengelola SAML IDP di AWS Management Console, melalui AWS CLI, atau dengan kumpulan pengguna Amazon Cognito. API Untuk membuat SAML iDP pertama Anda di AWS Management Console, lihat. Menambahkan dan mengelola penyedia SAML identitas di kumpulan pengguna

Ikhtisar otentikasi dengan login SAML
catatan

Federasi dengan login melalui iDP pihak ketiga adalah fitur kumpulan pengguna Amazon Cognito. Kumpulan identitas Amazon Cognito, kadang-kadang disebut identitas federasi Amazon Cognito, adalah implementasi federasi yang harus Anda atur secara terpisah di setiap kumpulan identitas. Kumpulan pengguna dapat menjadi idP pihak ketiga untuk kumpulan identitas. Untuk informasi selengkapnya, lihat Kumpulan identitas Amazon Cognito.

Referensi cepat untuk konfigurasi iDP

Anda harus mengonfigurasi SAML IDP Anda untuk menerima permintaan dan mengirim tanggapan ke kumpulan pengguna Anda. Dokumentasi untuk SAML iDP Anda akan berisi informasi tentang cara menambahkan kumpulan pengguna Anda sebagai pihak yang mengandalkan atau aplikasi untuk IDP 2.0 SAML Anda. Dokumentasi berikut memberikan nilai yang harus Anda berikan untuk ID entitas SP dan layanan konsumen pernyataan ()ACS. URL

SAMLNilai kumpulan pengguna referensi cepat
ID entitas SP
urn:amazon:cognito:sp:us-east-1_EXAMPLE
ACS URL
https://Your user pool domain/saml2/idpresponse

Anda harus mengonfigurasi kumpulan pengguna Anda untuk mendukung penyedia identitas Anda. Langkah-langkah tingkat tinggi untuk menambahkan SAML IDP eksternal adalah sebagai berikut.

  1. Unduh SAML metadata dari IDP Anda, atau ambil ke titik akhir metadata Anda. URL Lihat Mengkonfigurasi penyedia SAML identitas pihak ketiga Anda.

  2. Tambahkan iDP baru ke kumpulan pengguna Anda. Unggah SAML metadata atau berikan metadata. URL Lihat Menambahkan dan mengelola penyedia SAML identitas di kumpulan pengguna.

  3. Tetapkan iDP ke klien aplikasi Anda. Lihat Pengaturan khusus aplikasi dengan klien aplikasi

Topik

Sensitivitas kasus nama SAML pengguna

Saat pengguna federasi mencoba masuk, penyedia SAML identitas (iDP) meneruskan NameId unik ke Amazon Cognito dalam pernyataan pengguna. SAML Amazon Cognito mengidentifikasi pengguna SAML -federasi dengan klaim mereka. NameId Terlepas dari pengaturan sensitivitas kasus kumpulan pengguna Anda, Amazon Cognito mengenali pengguna federasi yang kembali dari SAML iDP saat mereka meneruskan klaim unik dan peka huruf besar/kecil mereka. NameId Jika Anda memetakan atribut yang email sukaNameId, dan pengguna mengubah alamat emailnya, mereka tidak dapat masuk ke aplikasi Anda.

Petakan NameId dalam SAML pernyataan Anda dari atribut IDP yang memiliki nilai yang tidak berubah.

Misalnya, Carlos memiliki profil pengguna di kumpulan pengguna yang tidak peka huruf besar/kecil dari pernyataan Active Directory Federation SAML Services (ADFS) yang melewati nilai. NameId Carlos@example.com Lain kali Carlos mencoba masuk, ADFS IDP Anda melewati nilaiNameId. carlos@example.com Karena NameId harus sama persis dengan kasus, proses masuk tidak berhasil.

Jika pengguna Anda tidak dapat masuk setelah NameID perubahan mereka, hapus profil pengguna mereka dari kumpulan pengguna Anda. Amazon Cognito akan membuat profil pengguna baru saat mereka masuk berikutnya.

Topik