Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Aggiungere e gestire i provider di identità SAML in un pool di utenti
Dopo aver configurato il tuo provider di identità per l'utilizzo con Amazon Cognito, puoi aggiungerlo ai tuoi pool di utenti e ai client delle app. Le seguenti procedure mostrano come creare, modificare ed eliminare i provider SAML in un pool di utenti Amazon Cognito.
- AWS Management Console
-
Puoi utilizzare il AWS Management Console per creare ed eliminare i provider di identità SAML (). IdPs
Prima di creare un IdP SAML, devi disporre del documento di metadati SAML che ottieni dall'IdP di terze parti. Per istruzioni su come ricevere o generare il documento di metadati SAML richiesto, consulta Configurazione del tuo provider di identità SAML di terze parti.
Per configurare un provider di identità SAML 2.0 nel bacino d'utenza
-
Passa alla console Amazon Cognito. Se richiesto, inserisci le tue credenziali AWS
.
-
Scegli User Pools (Pool di utenti).
-
Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.
-
Scegli il menu Social e provider esterni, quindi seleziona Aggiungi un provider di identità.
-
Scegli un provider di identità SAML.
-
Inserisci il nome del provider. È possibile passare questo nome descrittivo in un parametro di identity_provider
richiesta aEndpoint Authorize.
-
Inserisci gli Identifiers (Identificatori) separati da virgole. Un identificatore indica ad Amazon Cognito che dovrebbe controllare l'indirizzo e-mail inserito dall'utente al momento dell'accesso e quindi indirizzarlo al provider che corrisponde al proprio dominio.
-
Scegli Add sign-out flow (Aggiungi flusso di disconnessione) se desideri che Amazon Cognito invii richieste di disconnessione firmate al tuo provider quando un utente si disconnette. Devi configurare il tuo IdP SAML 2.0 per inviare risposte di disconnessione all'endpoint creato quando https://mydomain.us-east-1.amazoncognito.com
/saml2/logout
configuri l'accesso gestito. L'endpoint saml2/logout
utilizza POST vincolanti.
Se questa opzione è selezionata e il tuo IdP SAML prevede una richiesta di disconnessione firmata, devi anche fornire al tuo IdP SAML il certificato di firma dal tuo pool di utenti.
L'IdP SAML elabora la richiesta di disconnessione con firmata e disconnette l'utente dalla sessione Amazon Cognito.
-
Scegli la configurazione di accesso SAML avviata dall'IdP. Come best practice di sicurezza, scegli Accept only asserzioni SAML avviate da SP. Se hai preparato il tuo ambiente per accettare in modo sicuro sessioni di accesso SAML non richieste, scegli Accetta asserzioni SAML avviate da SP e IdP. Per ulteriori informazioni, consulta Avvio della sessione SAML nei bacini d'utenza di Amazon Cognito.
-
Scegli una Metadata document source (Fonte del documento di metadati). Se il provider di identità offre metadati SAML a un URL pubblico, puoi scegliere l'opzione Metadata document URL (URL del documento di metadati) e inserire l'URL pubblico. In caso contrario, seleziona Upload metadata document (Carica documento di metadati) e seleziona un file di metadati scaricato dal tuo provider in precedenza.
Ti consigliamo di inserire l'URL di un documento di metadati se il tuo provider ha un endpoint pubblico anziché caricare un file. Amazon Cognito aggiorna automaticamente i metadati dall'URL dei metadati. In genere, l'aggiornamento dei metadati avviene ogni 6 ore oppure prima della scadenza dei metadati, in base a ciò che avviene prima.
-
Mappa gli attributi tra il provider SAML e il pool di utenti per mappare gli attributi del provider SAML al profilo utente nel pool di utenti. Includi gli attributi richiesti del bacino d'utenza nella mappa degli attributi.
Ad esempio, quando scegli User pool attribute (Attributo del bacino d'utenza) email
, inserisci il nome dell'attributo SAML così come compare nell'asserzione SAML del provider di identità. Il provider di identità può offrire asserzioni SAML di esempio che possono essere di aiuto nell'individuare il nome. Alcuni IdPs usano nomi semplici, comeemail
, mentre altri usano nomi come i seguenti.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
Scegli Create (Crea) .
- API/CLI
-
Utilizza i comandi seguenti per creare e gestire un provider di identità SAML.
Creazione di un provider di identità e caricamento di un documento di metadati
-
AWS CLI: aws cognito-idp
create-identity-provider
Esempio con file di metadati: aws cognito-idp
create-identity-provider --user-pool-id
us-east-1_EXAMPLE
--provider-name=SAML_provider_1
--provider-type SAML --provider-details file:///details.json
--attribute-mapping
email
=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Dove details.json
contiene:
"ProviderDetails": {
"MetadataFile": "<SAML metadata XML>
",
"IDPSignout" : "true
",
"RequestSigningAlgorithm" : "rsa-sha256",
"EncryptedResponses" : "true
",
"IDPInit" : "true
"
}
Se <SAML metadata
XML>
contiene delle istanze del personaggio"
, devi aggiungere \
come carattere di escape:\"
.
Esempio con URL di metadati: aws cognito-idp
create-identity-provider --user-pool-id
us-east-1_EXAMPLE
--provider-name=SAML_provider_1
--provider-type SAML --provider-details
MetadataURL=https://myidp.example.com/sso/saml/metadata
--attribute-mapping
email
=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
AWS API: CreateIdentityProvider
Caricamento di un nuovo documento di metadati per un provider di identità
-
AWS CLI: aws cognito-idp
update-identity-provider
Esempio con file di metadati: aws cognito-idp
update-identity-provider --user-pool-id
us-east-1_EXAMPLE
--provider-name=SAML_provider_1
--provider-details file:///details.json --attribute-mapping
email
=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Dove details.json
contiene:
"ProviderDetails": {
"MetadataFile": "<SAML metadata XML>
",
"IDPSignout" : "true
",
"RequestSigningAlgorithm" : "rsa-sha256",
"EncryptedResponses" : "true
",
"IDPInit" : "true
"
}
Se <SAML metadata
XML>
contiene delle istanze del personaggio"
, devi aggiungere \
come carattere di escape:\"
.
Esempio con URL di metadati: aws cognito-idp
update-identity-provider --user-pool-id
us-east-1_EXAMPLE
--provider-name=SAML_provider_1
--provider-details
MetadataURL=https://myidp.example.com/sso/saml/metadata
--attribute-mapping
email
=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
AWS API: UpdateIdentityProvider
Recupero delle informazioni su un provider di identità specifico
-
AWS CLI: aws cognito-idp
describe-identity-provider
aws cognito-idp describe-identity-provider
--user-pool-id us-east-1_EXAMPLE
--provider-name=SAML_provider_1
-
AWS API: DescribeIdentityProvider
Per elencare informazioni su tutti IdPs
-
AWS CLI: aws cognito-idp
list-identity-providers
Esempio: aws cognito-idp list-identity-providers
--user-pool-id us-east-1_EXAMPLE
--max-results 3
-
AWS API: ListIdentityProviders
Eliminazione di un IdP
-
AWS CLI: aws cognito-idp
delete-identity-provider
aws cognito-idp delete-identity-provider --user-pool-id
us-east-1_EXAMPLE
--provider-name=SAML_provider_1
-
AWS API: DeleteIdentityProvider
Per configurare l'IdP SAML per l'aggiunta di un bacino d'utenza come relying party
-
L'URN del provider di servizi del bacino d'utenza è: urn:amazon:cognito:sp:us-east-1_EXAMPLE
. Amazon Cognito richiede un valore di restrizione del pubblico che corrisponda a questo URN nella risposta SAML. Configura il tuo IdP per utilizzare il seguente endpoint di binding POST per il IdP-to-SP messaggio di risposta.
https://mydomain.us-east-1.amazoncognito.com
/saml2/idpresponse
-
Il tuo IdP SAML deve NameID
compilare tutti gli attributi obbligatori per il tuo pool di utenti nell'asserzione SAML. NameID
viene utilizzato per identificare in modo univoco l'utente federato SAML nel pool di utenti. Il tuo IdP deve trasmettere l'ID del nome SAML di ogni utente in un formato coerente con distinzione tra maiuscole e minuscole. Qualsiasi variazione del valore dell'ID del nome utente crea un nuovo profilo utente.
Fornire un certificato di firma all'IDP SAML 2.0
-
Per scaricare una copia della chiave pubblica da Amazon Cognito che il tuo IdP può utilizzare per convalidare le richieste di disconnessione SAML, scegli il menu Social e provider esterni del tuo pool di utenti, seleziona il tuo IdP e, in Visualizza certificato di firma, seleziona Scarica come .crt.
Puoi eliminare qualsiasi provider SAML configurato nel tuo bacino d'utenza con la console Amazon Cognito.
Come eliminare un provider SAML
-
Accedi alla console Amazon Cognito.
-
Nel pannello di navigazione, scegli User Pools (Bacini d'utenza) e seleziona i bacini d'utenza che intendi modificare.
-
Scegli il menu Social e provider esterni.
-
Seleziona il pulsante di opzione accanto al SAML IdPs che desideri eliminare.
-
Quando viene richiesto di confermare l'opzione Delete identity provider (Elimina provider di identità), inserisci il nome del provider SAML per confermare l'eliminazione, quindi scegli Delete (Elimina).