SAMLfirma e crittografia - Amazon Cognito
Accettazione di SAML risposte crittografate dal tuo IdPFirma delle richieste SAML

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

SAMLfirma e crittografia

SAMLL'accesso 2.0 si basa sull'utente di un'applicazione come portatore di richieste e risposte nel flusso di autenticazione. Potresti voler assicurarti che gli utenti non leggano o modifichino questi SAML documenti in transito. A tale scopo, aggiungi la SAML firma e la crittografia ai provider di SAML identità (IdPs) nel tuo pool di utenti. Con la SAML firma, i tuoi pool di utenti aggiungono una SAML firma alle richieste di accesso e disconnessione. Con la chiave pubblica del tuo pool di utenti, il tuo IdP può verificare che stia ricevendo richieste non modificateSAML. Quindi, quando l'IdP risponde e trasmette le SAML asserzioni alle sessioni del browser degli utenti, l'IdP può crittografare la risposta in modo che l'utente non possa controllare i propri attributi e autorizzazioni.

Con SAML la firma e la crittografia, tutte le operazioni crittografiche durante le operazioni del pool SAML di utenti devono generare firme e testo cifrato con le chiavi generate da user-pool-provided Amazon Cognito. Al momento, non è possibile configurare un pool di utenti per firmare richieste o accettare asserzioni crittografate con una chiave esterna.

Nota

I certificati del pool di utenti sono validi per 10 anni. Una volta all'anno, Amazon Cognito genera nuovi certificati di firma e crittografia per il tuo pool di utenti. Amazon Cognito restituisce il certificato più recente quando richiedi il certificato di firma e firma le richieste con il certificato di firma più recente. Il tuo IdP può crittografare SAML le asserzioni con qualsiasi certificato di crittografia del pool di utenti non scaduto. I certificati precedenti continuano a essere validi per tutta la loro durata e la chiave pubblica non cambia tra i certificati. Come best practice, aggiorna annualmente il certificato nella configurazione del provider.

Accettazione di SAML risposte crittografate dal tuo IdP

Amazon Cognito e il tuo IdP possono stabilire la riservatezza nelle SAML risposte quando gli utenti accedono e si disconnettono. Amazon Cognito assegna una coppia di RSA chiavi pubblica-privata e un certificato a SAML ciascun provider esterno che configuri nel tuo pool di utenti. Quando abiliti la crittografia delle risposte per il tuo SAML provider del pool di utenti, devi caricare il certificato su un IdP che supporti le risposte crittografateSAML. La connessione del pool di utenti al tuo SAML IdP non funziona prima che l'IdP inizi a crittografare tutte le SAML asserzioni con la chiave fornita.

Di seguito è riportata una panoramica del flusso di accesso crittografato. SAML

  1. L'utente avvia l'accesso e sceglie il proprio SAML IdP.

  2. Il tuo pool di utenti Endpoint Authorize reindirizza l'utente al suo SAML IdP con una richiesta di accesso. SAML Il tuo pool di utenti può facoltativamente accompagnare questa richiesta con una firma che abilita la verifica dell'integrità da parte dell'IdP. Quando desideri firmare SAML le richieste, devi configurare il tuo IdP per accettare le richieste che il tuo pool di utenti ha firmato con la chiave pubblica nel certificato di firma.

  3. L'SAMLIdP accede al tuo utente e genera una SAML risposta. L'IdP crittografa la risposta con la chiave pubblica e reindirizza l'utente all'endpoint del pool di utenti. /saml2/idpresponse L'IdP deve crittografare la risposta come definito dalla SAML specifica 2.0. Per ulteriori informazioni, vedere Element <EncryptedAssertion> in Assertions and Protocols for the OASIS Security Assertion Markup Language () V2.0. SAML

  4. Il vostro pool di utenti decripta il testo cifrato nella SAML risposta con la chiave privata e accede all'utente.

Importante

Quando abiliti la crittografia delle risposte per un SAML IdP nel tuo pool di utenti, l'IdP deve crittografare tutte le risposte con una chiave pubblica specifica per il provider. Amazon Cognito non accetta SAML risposte non crittografate da un SAML IdP esterno configurato per supportare la crittografia.

Qualsiasi SAML IdP esterno nel tuo pool di utenti può supportare la crittografia delle risposte e ogni IdP riceve la propria coppia di chiavi.

AWS Management Console
Per configurare la crittografia delle risposte SAML

  1. Crea un pool di utenti, un client di app e un SAML IdP.

  2. Quando crei o modifichi il tuo provider di SAML identità, in Firma le richieste e crittografa le risposte, seleziona la casella con il titolo Richiedi SAML asserzioni crittografate da questo provider.

  3. Dalla scheda Esperienza di accesso del tuo pool di utenti, in Accesso tramite provider di identità federato, seleziona il tuo SAML IdP e scegli Visualizza certificato di crittografia.

  4. Scegli Scarica come .crt e fornisci il file scaricato al tuo SAML IdP. Configura il tuo SAML IdP per crittografare SAML le risposte con la chiave nel certificato.

API/CLI

Per configurare la crittografia delle risposte SAML

Configura la crittografia delle risposte con il EncryptedResponses parametro di una UpdateIdentityProviderAPIrichiesta CreateIdentityProvidero. Di seguito è riportato un esempio ProviderDetails di IdP che supporta la firma delle richieste.

"ProviderDetails": { 
      "MetadataURL" : "https://myidp.example.com/saml/metadata",
      "IDPSignout" : "true",
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}

Per ottenere il certificato di crittografia dal tuo pool di utenti, effettua una DescribeIdentityProviderAPIrichiesta e recupera il valore di ActiveEncryptionCertificate nel parametro di risposta. ProviderDetails Salva questo certificato e forniscilo al tuo IdP come certificato di crittografia per le richieste di accesso dal tuo pool di utenti.

Firma delle richieste SAML

La capacità di dimostrare l'integrità delle richieste SAML 2.0 al tuo IdP è un vantaggio in termini di sicurezza dell'accesso avviato da Amazon SAML Cognito SP. Ogni pool di utenti con un dominio riceve un certificato di firma X.509 del pool di utenti. Con la chiave pubblica in questo certificato, i pool di utenti applicano una firma crittografica alle richieste di disconnessione che il pool di utenti genera quando gli utenti selezionano un SAML IdP. Facoltativamente, puoi configurare il client dell'app per firmare le richieste di accesso. SAML Quando firmi SAML le tue richieste, il tuo IdP può verificare che la firma nei XML metadati delle tue richieste corrisponda alla chiave pubblica nel certificato del pool di utenti che fornisci.

AWS Management Console
Per configurare la firma delle richieste SAML

  1. Crea un pool di utenti, un client di app e un SAML IdP.

  2. Quando crei o modifichi il tuo provider di SAML identità, in Firma le richieste e crittografa le risposte, seleziona la casella con il titolo Firma SAML le richieste a questo provider.

  3. Nella scheda Esperienza di accesso del tuo pool di utenti, in Accesso tramite provider di identità federato, scegli Visualizza certificato di firma.

  4. Scegli Scarica come .crt e fornisci il file scaricato al tuo SAML IdP. Configura il tuo SAML IdP per verificare la firma delle richieste in SAML arrivo.

API/CLI

Per configurare la firma delle richieste SAML

Configura la firma delle richieste con il RequestSigningAlgorithm parametro di una UpdateIdentityProviderAPIrichiesta CreateIdentityProvideror. Di seguito è riportato un esempio ProviderDetails di IdP che supporta la firma delle richieste.

"ProviderDetails": { 
      "MetadataURL" : "https://myidp.example.com/saml/metadata",
      "IDPSignout" : "true",
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}