Disconnessione degli utenti con accesso singolo SAML - Amazon Cognito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Disconnessione degli utenti con accesso singolo SAML

Amazon Cognito supporta il logout singolo SAML 2.0 (. SLO ConSLO, la tua applicazione può disconnettere gli utenti dai loro provider di SAML identità (IdPs) quando si disconnettono dal tuo pool di utenti. In questo modo, quando gli utenti vogliono accedere nuovamente alla tua applicazione, devono autenticarsi con il proprio SAML IdP. In caso contrario, potrebbero disporre di cookie del browser IdP o del pool di utenti che li trasmettono all'applicazione senza la necessità di fornire credenziali.

Quando configuri il tuo SAML IdP per supportare il flusso di disconnessione, Amazon Cognito reindirizza l'utente con una richiesta di disconnessione firmata al tuo IdP. SAML Amazon Cognito determina la posizione di reindirizzamento dai metadati del SingleLogoutService URL tuo IdP. Amazon Cognito firma la richiesta di disconnessione con il certificato di firma del tuo pool di utenti.

Diagramma del flusso di autenticazione della disconnessione da Amazon SAML Cognito. L'utente richiede la disconnessione e Amazon Cognito lo reindirizza al proprio provider con una richiesta di disconnessione. SAML

Quando indirizzi un utente con una SAML sessione all'/logoutendpoint del tuo pool di utenti, Amazon Cognito reindirizza l'utente con SAML la seguente richiesta all'endpoint specificato nei SLO metadati IdP.

https://[SingleLogoutService endpoint]?
SAMLRequest=[encoded SAML request]&
RelayState=[RelayState]&
SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256&
Signature=[User pool RSA signature]

L'utente torna quindi al tuo saml2/logout endpoint con un messaggio del suo LogoutResponse IdP. Il tuo IdP deve inviare una HTTP POST richiesta. LogoutResponse Amazon Cognito li reindirizza quindi alla destinazione di reindirizzamento indicata nella richiesta di disconnessione iniziale.

Il tuo SAML provider potrebbe inviarne una contenente più LogoutResponse di una. AuthnStatement Il sessionIndex primo posto AuthnStatement in una risposta di questo tipo deve corrispondere a quello sessionIndex nella SAML risposta che originariamente ha autenticato l'utente. Se si sessionIndex trova in un'altraAuthnStatement, Amazon Cognito non riconoscerà la sessione e l'utente non verrà disconnesso.

AWS Management Console
Per configurare la disconnessione SAML

  1. Crea un pool di utenti, un client di app e un SAML IdP.

  2. Quando crei o modifichi il tuo provider di SAML identità, in Informazioni sul provider di identità, seleziona la casella con il titolo Aggiungi flusso di disconnessione.

  3. Dalla scheda Esperienza di accesso del tuo pool di utenti, in Accesso tramite provider di identità federato, scegli il tuo IdP e individua il certificato di firma.

  4. Scegli Scarica come .crt.

  5. Configura il tuo SAML provider per supportare il SAML single logout e la firma delle richieste e carica il certificato di firma del pool di utenti. Il tuo IdP deve reindirizzare verso il dominio del tuo /saml2/logout pool di utenti.

API/CLI

Per configurare la disconnessione SAML

Configura il logout singolo con il IDPSignout parametro di una richiesta CreateIdentityProvideror UpdateIdentityProviderAPI. Di seguito è riportato un esempio ProviderDetails di IdP che supporta il SAML single logout.

"ProviderDetails": { 
      "MetadataURL" : "https://myidp.example.com/saml/metadata",
      "IDPSignout" : "true",,
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}