Configurazione dei provider di identità per il bacino d'utenza - Amazon Cognito
Configurazione dell'accesso dell'utente con un IdP socialConfigura l'accesso utente con un OIDC IdPConfigura l'accesso utente con un SAML IdP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dei provider di identità per il bacino d'utenza

Con i pool di utenti, puoi implementare l'accesso tramite una varietà di provider di identità esterni ()IdPs. Questa sezione della guida contiene istruzioni per configurare questi provider di identità con il tuo pool di utenti nella console Amazon Cognito. In alternativa, puoi utilizzare i pool di utenti API e an AWS SDK per aggiungere in modo programmatico provider di identità per pool di utenti. Per ulteriori informazioni, vedere. CreateIdentityProvider

Le opzioni di provider di identità supportate includono provider di social network come Facebook, Google e Amazon, oltre a provider OpenID Connect (OIDC) e SAML 2.0. Prima di iniziare, configurati con le credenziali amministrative per il tuo IdP. Per ogni tipo di provider, dovrai registrare la tua applicazione, ottenere le credenziali necessarie e quindi configurare i dettagli del provider nel tuo pool di utenti. Gli utenti possono quindi registrarsi e accedere all'applicazione con gli account esistenti dei provider di identità connessi.

La scheda Esperienza di accesso in Federated Identity Provider Sign-in aggiunge e aggiorna il pool di utenti. IdPs Per ulteriori informazioni, consulta Aggiunta di un accesso al bacino d'utenza tramite terze parti.

Configurazione dell'accesso dell'utente con un IdP social

Puoi utilizzare la federazione per i bacini d'utenza di Amazon Cognito per integrare i provider di identità social, come Facebook, Google e Login with Amazon.

Per aggiungere un provider di identità social, per prima cosa, crea un account per sviluppatori con il provider di identità. Dopo aver creato un account per sviluppatori, registra l'app con il provider di identità. Il provider di identità crea un'ID e un segreto per l'app, i cui valori devono essere configurati nei bacini d'utenza di Amazon Cognito.

Per integrare l'accesso utente con un IdP social

  1. Accedi alla console Amazon Cognito. Se richiesto, inserisci le tue credenziali. AWS

  2. Nel pannello di navigazione, scegli User Pools (Bacini d'utenza) e seleziona i bacini d'utenza che intendi modificare.

  3. Seleziona la scheda Sign-in experience (Esperienza di accesso) e individua Federated sign-in (Accesso federato).

  4. Scegli l'opzione Add an identity provider (Aggiungi un provider di identità) oppure seleziona il provider di identità Facebook, Google, Amazon o Apple che hai configurato, individua la voce Identity provider information (Informazioni provider di identità) e seleziona Edit (Modifica). Per ulteriori informazioni su come aggiungere provider di identità social consulta Utilizzo di provider di identità social con un pool di utenti.

  5. Inserisci le informazioni del tuo provider di identità social completando uno dei seguenti passaggi, in base alla tua scelta di IdP:

    Per Facebook, Google e Login with Amazon:

    Inserisci l'ID dell'app e il segreto app ricevuti al momento della creazione dell'app client.

    Accedi con Apple

    Inserisci l'ID del servizio fornito ad Apple, nonché l'ID del team, l'ID della chiave e la chiave privata ricevuti quando è stata creato il client dell'app.

  6. Nel campo Authorized scopes (Ambiti autorizzati), inserisci i nomi degli ambiti dei provider di identità social che intendi mappare agli attributi del bacino d'utenza. Gli ambiti definiscono gli attributi utente, ad esempio nome ed indirizzo e-mail con cui intendi accedere con l'App. Quando inserisci gli ambiti, usa le seguenti linee guida in base alla tua scelta di IdP:

    • Facebook: ambiti separati da virgole. Per esempio:

      public_profile, email

    • Google, Login with Amazon e Accedi con Apple: ambiti separati da spazi. Per esempio:

      • Google: profile email openid

      • Login with Amazon: profile postal_code

      • Accedi con Apple: name email

        Nota

        Per il servizio Accedi con Apple (console), utilizza le caselle di controllo per selezionare gli ambiti.

  7. Scegli Save changes (Salva modifiche).

  8. Dalla scheda App client integration (Integrazione del client dell'app), seleziona uno degli App clients (Client dell'app) nell'elenco e quindi seleziona l'opzione Edit hosted UI settings (Modifica impostazioni interfaccia utente ospitata). Aggiungi il nuovo provider di identità social al client dell'App alla voce Identity providers (Provider di identità).

  9. Scegli Save changes (Salva modifiche).

Per ulteriori informazioni sui social IdPs, consulta. Utilizzo di provider di identità social con un pool di utenti

Configura l'accesso utente con un OIDC IdP

Puoi integrare l'accesso utente con un provider di identità (IdP) OpenID OIDC Connect () come Salesforce o Ping Identity.

Per aggiungere un provider a un pool di utenti OIDC

  1. Passa alla console Amazon Cognito. Se richiesto, inserisci le tue AWS credenziali.

  2. Scegli User Pools (Bacini d'utenza) dal menu di navigazione.

  3. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  4. Scegli la scheda Sign-in experience (Esperienza di accesso). Individua l'opzione Federated sign-in (Accesso federato) e seleziona Add an identity provider (Aggiungi un provider di identità).

  5. Scegli un provider di identità OpenID Connect.

  6. Inserisci un nome univoco nel campo Provider name (Nome provider).

  7. Inserisci l'ID client che hai ricevuto dal tuo provider nel campo Client ID (ID client).

  8. Inserisci il segreto client che hai ricevuto dal tuo provider nel campo Client secret (Segreto client).

  9. Inserisci gli Authorized scopes (Ambiti autorizzati) per questo provider. Gli ambiti definiscono quali gruppi di attributi utente (ad esempio name e email) verranno richiesti dalla tua applicazione al tuo provider. Gli ambiti devono essere separati da spazi, secondo la OAuth specifica 2.0.

    All'utente viene richiesto il consenso a fornire questi attributi alla tua applicazione.

  10. Scegli un metodo di richiesta degli attributi per fornire ad Amazon Cognito il HTTP metodo (uno GET oPOST) che Amazon Cognito utilizza per recuperare i dettagli dell'utente dall'endpoint gestito userInfodal tuo provider.

  11. Scegli un metodo di configurazione per recuperare gli endpoint OpenID Connect URL tramite Compilazione automatica tramite emittente o immissione manuale. Utilizza la funzione di riempimento automatico tramite emittente URL quando il tuo provider dispone di un .well-known/openid-configuration endpoint pubblico in cui Amazon Cognito può recuperare URLs gli endpointtoken,, userInfo e. authorization jwks_uri

  12. Inserisci l'emittente URL oauthorization, tokenuserInfo, e l'jwks_uriendpoint del tuo URLs IdP.

    Nota

    È possibile utilizzare solo i numeri di porta 443 e 80 con rilevamento, compilazione automatica e immissione manuale. URLs Gli accessi degli utenti falliscono se il OIDC provider utilizza porte non standard. TCP

    L'emittente URL deve iniziare con un carattere https:// e non deve terminare con un carattere. / Ad esempio, Salesforce utilizza questo: URL

    https://login.salesforce.com

    Il openid-configuration documento associato all'emittente URL deve fornire HTTPS URLs i seguenti valori:authorization_endpoint,token_endpoint, userinfo_endpoint e. jwks_uri Allo stesso modo, quando scegli Inserimento manuale, puoi solo inserire HTTPSURLs.

  13. Per impostazione predefinita, il OIDC claim sub è mappato all'attributo Username del pool di utenti. È possibile mappare altre OIDC rivendicazioni agli attributi del pool di utenti. Inserisci l'OIDCattestazione e seleziona l'attributo del pool di utenti corrispondente dall'elenco a discesa. Ad esempio, l'indirizzo e-mail della richiesta viene spesso mappato all'attributo del bacino d'utenza Email (E-mail).

  14. Mappa gli attributi aggiuntivi dal provider di identità al bacino d'utenza. Per ulteriori informazioni, consulta la sezione Specificazione di mappature degli attributi del provider di identità per il bacino d'utenza.

  15. Scegli Create (Crea).

  16. Dalla scheda App client integration (Integrazione client dell'app), seleziona uno dei client dell'app nella lista e quindi Edit hosted UI settings (Modifica le impostazioni dell'interfaccia utente ospitata). Aggiungi il nuovo provider di OIDC identità al client dell'app in Provider di identità.

  17. Scegli Save changes (Salva modifiche).

Per ulteriori informazioni su OIDC IdPs, consultaUtilizzo di provider di OIDC identità con un pool di utenti.

Configura l'accesso utente con un SAML IdP

Puoi utilizzare la federazione per i pool di utenti di Amazon Cognito per l'integrazione con un provider di SAML identità (IdP). Fornisci un documento di metadati, caricando il file o inserendo un endpoint del documento di metadati. URL Per informazioni su come ottenere documenti con metadati per terze parti, consulta. SAML IdPs Configurazione del provider di identità di terze parti SAML

Per configurare un provider di identità SAML 2.0 nel tuo pool di utenti

  1. Passa alla console Amazon Cognito. Se richiesto, inserisci le tue AWS credenziali.

  2. Scegli User Pools (Pool di utenti).

  3. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  4. Scegli la scheda Sign-in experience (Esperienza di accesso). Individua l'opzione Federated sign-in (Accesso federato) e seleziona Add an identity provider (Aggiungi un provider di identità).

  5. Scegli un provider di SAMLidentità.

  6. Inserisci gli Identifiers (Identificatori) separati da virgole. Un identificatore indirizza Amazon Cognito a controllare l'indirizzo e-mail di accesso dell'utente e poi indirizza l'utente al provider che corrisponde al suo dominio..

  7. Scegli Add sign-out flow (Aggiungi flusso di disconnessione) se desideri che Amazon Cognito invii richieste di disconnessione firmate al tuo provider quando un utente si disconnette. Configura il tuo provider di identità SAML 2.0 per inviare risposte di disconnessione all'https://mydomain.us-east-1.amazoncognito.com/saml2/logoutendpoint creato da Amazon Cognito quando configuri l'interfaccia utente ospitata. L'saml2/logoutendpoint utilizza l'associazione. POST

    Nota

    Se selezioni questa opzione e il tuo provider di SAML identità prevede una richiesta di disconnessione firmata, devi anche configurare il certificato di firma fornito da Amazon Cognito con il tuo IdP. SAML

    L'SAMLIdP elaborerà la richiesta di disconnessione firmata e disconnetterà l'utente dalla sessione di Amazon Cognito.

  8. Scegli una Metadata document source (Fonte del documento di metadati). Se il tuo provider di identità offre SAML metadati a un pubblicoURL, puoi scegliere il documento di metadati e inserire tale documento pubblico. URL URL In caso contrario, seleziona Upload metadata document (Carica documento di metadati) e seleziona un file di metadati scaricato dal tuo provider in precedenza.

    Nota

    Se il tuo provider ha un endpoint pubblico, ti consigliamo di inserire un documento URL di metadati anziché caricare un file. Se utilizzi Amazon Cognito aggiorna automaticamente i metadati. URL In genere, l'aggiornamento dei metadati avviene ogni 6 ore oppure prima della scadenza dei metadati, in base a ciò che avviene prima.

  9. Mappa gli attributi tra il tuo SAML provider e la tua app per mappare gli attributi del SAML provider al profilo utente nel tuo pool di utenti. Includi gli attributi richiesti del bacino d'utenza nella mappa degli attributi.

    Ad esempio, quando scegli l'attributo User poolemail, inserisci il nome dell'SAMLattributo così come appare nell'SAMLasserzione del tuo provider di identità. Il tuo provider di identità potrebbe offrire esempi di SAML asserzioni come riferimento. Alcuni provider di identità utilizzano nomi semplici, ad esempioemail, mentre altri utilizzano nomi di attributi URL -formatted simili a:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Scegli Create (Crea) .

Nota

Se vedi InvalidParameterException durante la creazione di un SAML IdP con un endpoint di HTTPS metadatiURL, assicurati che l'endpoint di metadati sia configurato SSL correttamente e che sia associato un certificato valido. SSL Un esempio di tale eccezione potrebbe essere «Errore nel recupero dei metadati da <metadata endpoint>".

Per configurare l'SAMLIdP per aggiungere un certificato di firma

  • Per ottenere il certificato contenente la chiave pubblica utilizzata dall'IdP per verificare la richiesta di disconnessione firmata, scegli Mostra certificato di firma in Provider attivi nella finestra di SAMLdialogo sotto SAML Provider di identità nella pagina della console della federazione.

Per ulteriori informazioni, consulta. SAML IdPs Utilizzo di provider di SAML identità con un pool di utenti