Configurazione dei provider di identità per il bacino d'utenza - Amazon Cognito
Configurazione dell'accesso dell'utente con un IdP socialConfigurazione dell'accesso utente con un IdP OIDCConfigurazione dell'accesso utente con un IdP SAML

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dei provider di identità per il bacino d'utenza

Con i pool di utenti, puoi implementare l'accesso tramite una varietà di provider di identità esterni ()IdPs. Questa sezione della guida contiene istruzioni per configurare questi provider di identità con il tuo pool di utenti nella console Amazon Cognito. In alternativa, puoi utilizzare l'API dei pool di utenti e un AWS SDK per aggiungere in modo programmatico provider di identità per pool di utenti. Per ulteriori informazioni, consulta CreateIdentityProvider.

Le opzioni di provider di identità supportate includono provider di social network come Facebook, Google e Amazon, oltre a provider OpenID Connect (OIDC) e SAML 2.0. Prima di iniziare, configurati con le credenziali amministrative per il tuo IdP. Per ogni tipo di provider, dovrai registrare la tua applicazione, ottenere le credenziali necessarie e quindi configurare i dettagli del provider nel tuo pool di utenti. Gli utenti possono quindi registrarsi e accedere all'applicazione con gli account esistenti dei provider di identità connessi.

Il menu Social e provider esterni in Autenticazione aggiunge e aggiorna il pool di utenti IdPs. Per ulteriori informazioni, consulta Accesso al pool di utenti con provider di identità di terze parti.

Configurazione dell'accesso dell'utente con un IdP social

Puoi utilizzare la federazione per i bacini d'utenza di Amazon Cognito per integrare i provider di identità social, come Facebook, Google e Login with Amazon.

Per aggiungere un provider di identità social, per prima cosa, crea un account per sviluppatori con il provider di identità. Dopo aver creato un account per sviluppatori, registra l'app con il provider di identità. Il provider di identità crea un'ID e un segreto per l'app, i cui valori devono essere configurati nei bacini d'utenza di Amazon Cognito.

Per integrare l'accesso utente con un IdP social

  1. Accedi alla console Amazon Cognito. Se richiesto, inserisci le tue AWS credenziali.

  2. Nel pannello di navigazione, scegli User Pools (Bacini d'utenza) e seleziona i bacini d'utenza che intendi modificare.

  3. Scegli il menu Social e provider esterni.

  4. Scegli l'opzione Add an identity provider (Aggiungi un provider di identità) oppure seleziona il provider di identità Facebook, Google, Amazon o Apple che hai configurato, individua la voce Identity provider information (Informazioni provider di identità) e seleziona Edit (Modifica). Per ulteriori informazioni su come aggiungere provider di identità social consulta Utilizzo di provider di identità social con un pool di utenti.

  5. Inserisci le informazioni del tuo provider di identità social completando uno dei seguenti passaggi, in base alla tua scelta di IdP:

    Per Facebook, Google e Login with Amazon:

    Inserisci l'ID dell'app e il segreto app ricevuti al momento della creazione dell'app client.

    Accedi con Apple

    Inserisci l'ID del servizio fornito ad Apple, nonché l'ID del team, l'ID della chiave e la chiave privata ricevuti quando è stata creato il client dell'app.

  6. Nel campo Authorized scopes (Ambiti autorizzati), inserisci i nomi degli ambiti dei provider di identità social che intendi mappare agli attributi del bacino d'utenza. Gli ambiti definiscono gli attributi utente, ad esempio nome ed indirizzo e-mail con cui intendi accedere con l'App. Quando inserisci gli ambiti, usa le seguenti linee guida in base alla tua scelta di IdP:

    • Facebook: ambiti separati da virgole. Per esempio:

      public_profile, email

    • Google, Login with Amazon e Accedi con Apple: ambiti separati da spazi. Per esempio:

      • Google: profile email openid

      • Login with Amazon: profile postal_code

      • Accedi con Apple: name email

        Nota

        Per il servizio Accedi con Apple (console), utilizza le caselle di controllo per selezionare gli ambiti.

  7. Scegli Save changes (Salva modifiche).

  8. Dal menu App client, scegli un client per l'app dall'elenco, quindi seleziona Modifica. Aggiungi il nuovo provider di identità social al client dell'App alla voce Identity providers (Provider di identità).

  9. Scegli Save changes (Salva modifiche).

Per ulteriori informazioni sui social IdPs, consultaUtilizzo di provider di identità social con un pool di utenti.

Configurazione dell'accesso utente con un IdP OIDC

Puoi integrare l'accesso degli utenti tramite un provider di identità OpenID Connect (OIDC), ad esempio Salesforce o Ping Identity.

Per aggiungere un provider OIDC a un pool di utenti

  1. Passa alla console Amazon Cognito. Se richiesto, inserisci le tue AWS credenziali.

  2. Scegli User Pools (Bacini d'utenza) dal menu di navigazione.

  3. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  4. Scegli il menu Social e provider esterni e seleziona Aggiungi un provider di identità.

  5. Scegli un provider di identità OpenID Connect.

  6. Inserisci un nome univoco nel campo Provider name (Nome provider).

  7. Inserisci l'ID client che hai ricevuto dal tuo provider nel campo Client ID (ID client).

  8. Inserisci il segreto client che hai ricevuto dal tuo provider nel campo Client secret (Segreto client).

  9. Inserisci gli Authorized scopes (Ambiti autorizzati) per questo provider. Gli ambiti definiscono quali gruppi di attributi utente (ad esempio name e email) verranno richiesti dalla tua applicazione al tuo provider. Gli ambiti devono essere separati da spazi, secondo la specifica OAuth 2.0.

    All'utente viene richiesto il consenso a fornire questi attributi alla tua applicazione.

  10. Scegli un Attribute request method (Metodo della richiesta di attributo) per fornire ad Amazon Cognito il metodo HTTP (GET o POST) da utilizzare per recuperare i dettagli dell'utente dall'endpoint userInfo gestito dal tuo provider.

  11. Scegli un Setup method (Metodo di impostazione) per recuperare gli endpoint OpenID Connect dall'opzione Auto fill through issuer URL (Riempimento automatico attraverso URL dell'emittente) o da Manual input (Inserimento manuale). Utilizza la compilazione automatica tramite l'URL dell'emittente quando il provider dispone di un .well-known/openid-configuration endpoint pubblico in cui Amazon Cognito può recuperare URLs gli endpointtoken,, userInfo e. authorization jwks_uri

  12. Inserisci l'URL dell'emittente oauthorization, tokenuserInfo, e l'jwks_uriendpoint del tuo URLs IdP.

    Nota

    È possibile utilizzare solo i numeri di porta 443 e 80 con rilevamento, compilazione automatica e immissione manuale. URLs Gli accessi utente non riescono se il provider OIDC utilizza porte TCP non standard.

    L'URL dell'emittente deve iniziare con https:// e non deve terminare con un carattere /. Ad esempio, Salesforce usa questo URL:

    https://login.salesforce.com

    Il openid-configuration documento associato all'URL dell'emittente deve fornire HTTPS URLs per i seguenti valori:authorization_endpoint,token_endpoint, userinfo_endpoint e. jwks_uri Allo stesso modo, quando scegli l'immissione manuale, puoi inserire solo HTTPS URLs.

  13. Per impostazione predefinita, la richiesta OIDC sub viene mappata all'attributo del bacino d'utenza Username. Puoi mappare altre richieste OIDC agli attributi del bacino d'utenza. Inserisci la richiesta OIDC e seleziona l'attributo del bacino d'utenza corrispondente dall'elenco a discesa. Ad esempio, l'indirizzo e-mail della richiesta viene spesso mappato all'attributo del bacino d'utenza Email (E-mail).

  14. Mappa gli attributi aggiuntivi dal provider di identità al bacino d'utenza. Per ulteriori informazioni, consulta la sezione Specificazione di mappature degli attributi del provider di identità per il bacino d'utenza.

  15. Scegli Create (Crea).

  16. Dal menu App client, seleziona un client dell'app dall'elenco e seleziona Modifica. Per aggiungere il nuovo provider di identità SAML al client dell'app, vai alla scheda Pagine di accesso e seleziona Modifica nella configurazione delle pagine di accesso gestite.

  17. Scegli Save changes (Salva modifiche).

Per ulteriori informazioni su OIDC IdPs, consulta. Utilizzo di provider di identità OIDC con un pool di utenti

Configurazione dell'accesso utente con un IdP SAML

Puoi utilizzare la federazione per il bacino d'utenza di Amazon Cognito per l'integrazione con un provider di identità (IdP) SAML. Puoi fornire un documento di metadati, o caricando il file oppure inserendo un URL di endpoint del documento di metadati. Per informazioni su come ottenere documenti di metadati per IdPs SAML di terze parti, consulta. Configurazione del tuo provider di identità SAML di terze parti

Per configurare un provider di identità SAML 2.0 nel bacino d'utenza

  1. Passa alla console Amazon Cognito. Se richiesto, inserisci le tue credenziali. AWS

  2. Scegli User Pools (Pool di utenti).

  3. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  4. Scegli il menu Social e provider esterno e seleziona Aggiungi un provider di identità.

  5. Scegli un provider di identità SAML.

  6. Inserisci gli Identifiers (Identificatori) separati da virgole. Un identificatore indirizza Amazon Cognito a controllare l'indirizzo e-mail di accesso dell'utente e poi indirizza l'utente al provider che corrisponde al suo dominio..

  7. Scegli Add sign-out flow (Aggiungi flusso di disconnessione) se desideri che Amazon Cognito invii richieste di disconnessione firmate al tuo provider quando un utente si disconnette. Configura il tuo provider di identità SAML 2.0 per inviare risposte di disconnessione all'https://mydomain.us-east-1.amazoncognito.com/saml2/logoutendpoint creato da Amazon Cognito quando configuri l'accesso gestito. L'endpoint saml2/logout utilizza POST vincolanti.

    Nota

    Se selezioni questa opzione e il provider di identità SAML si aspetta una richiesta di disconnessione con firma, è necessario configurare anche il certificato di firma fornito da Amazon Cognito con il tuo IdP SAML.

    L'IdP SAML elabora la richiesta di disconnessione con firmata e disconnette l'utente dalla sessione Amazon Cognito.

  8. Seleziona una Metadata document source (Fonte del documento di metadati). Se il tuo provider di identità fornisce metadati SAML a un URL pubblico, puoi scegliere l'opzione Metadata document URL (URL del documento di metadati) e inserire l'URL pubblico. In caso contrario, seleziona Upload metadata document (Carica documento di metadati) e seleziona un file di metadati scaricato dal tuo provider in precedenza.

    Nota

    Se il provider ha un endpoint pubblico, suggeriamo di fornire l'URL di un documento di metadati anziché caricare un file. Se utilizzi l'URL, Amazon Cognito aggiorna automaticamente i metadati. In genere, l'aggiornamento dei metadati avviene ogni 6 ore oppure prima della scadenza dei metadati, in base a ciò che avviene prima.

  9. Scegli l'opzione Map attributes between your SAML provider and your app (Mappa gli attributi tra il provider SAML e la tua app) per mappare gli attributi del provider SAML al profilo utente nel bacino d'utenza. Includi gli attributi richiesti del bacino d'utenza nella mappa degli attributi.

    Ad esempio, quando seleziona l'email dell'Attributo del bacino d'utenza, inserisci il nome dell'attributo SAML così come compare nell'asserzione SAML dal provider di identità. Il tuo provider di identità potrebbe offrire esempi di asserzioni SAML come riferimento. Alcuni provider di identità utilizzano nomi semplici, come email, mentre altri utilizzano attributi con formato URL simili a questo:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Scegli Create (Crea) .

Nota

Se visualizzi InvalidParameterException durante la creazione di un provider di identità SAML con un URL di endpoint di metadati HTTPS, assicurati che l'endpoint di metadati abbia l'SSL configurato correttamente e che vi sia associato un certificato SSL valido. Un esempio di tale eccezione potrebbe essere «Errore nel recupero dei metadati da». <metadata endpoint>

Per configurare l'IdP SAML per l'aggiunta di un certificato di firma

  • Per ottenere il certificato contenente la chiave pubblica utilizzata dall'IdP per verificare la richiesta di disconnessione firmata, procedi come segue:

    1. Vai al menu Social e provider esterni del tuo pool di utenti.

    2. Seleziona il tuo provider SAML,

    3. Scegli Visualizza certificato di firma.

Per ulteriori informazioni su SAML, IdPs consultaUtilizzo di provider di identità SAML con un pool di utenti.