Aggiungi un provider di identità SAML 2.0 - Amazon Cognito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiungi un provider di identità SAML 2.0

Gli utenti della tua app possono accedere con un provider di identità SAML 2.0 (IdP). Potresti scegliere SAML 2.0 IdPs rispetto ai social IdPs quando i tuoi clienti sono clienti interni o aziende collegate alla tua organizzazione. Laddove un IdP social consente a tutti gli utenti di registrare un account, è più probabile che un IdP SAML si abbini a una directory di utenti controllata dalla tua organizzazione. Sia che effettuino l'accesso direttamente o attraverso terze parti, tutti gli utenti hanno un profilo nel bacino d'utenza. Salta questa fase se non desideri aggiungere l'accesso attraverso un provider di identità SAML.

Per ulteriori informazioni, consulta Utilizzo di provider di identità SAML con un pool di utenti.

Devi aggiornare il tuo provider di identità SAML e configurare il tuo pool di utenti. Per informazioni su come aggiungere il tuo pool di utenti come relying party o applicazione per il tuo provider di identità SAML 2.0, consulta la documentazione del tuo provider di identità SAML.

È inoltre necessario fornire un endpoint ACS (Assertion Consumer Service) al provider di identità SAML. Configura il seguente endpoint nel dominio del pool di utenti per il binding SAML 2.0 POST nel gestore dell'identità digitale SAML. Per ulteriori informazioni sui domini del pool di utenti, consulta. Configurazione di un dominio di bacino d'utenza

https://Your user pool domain/saml2/idpresponse
With an Amazon Cognito domain:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
With a custom domain:
https://Your custom domain/saml2/idpresponse

Puoi trovare il prefisso del dominio e il valore della regione per il tuo pool di utenti nel menu Dominio della console Amazon Cognito.

Per alcuni provider di identità SAML, devi anche fornire il service provider (SP)urn, chiamato anche URI del pubblico o ID dell'entità SP, nel formato:

urn:amazon:cognito:sp:<yourUserPoolID>

Puoi trovare l'ID del tuo pool di utenti nella dashboard Panoramica del tuo pool di utenti nella console Amazon Cognito.

È inoltre necessario configurare il provider di identità SAML per fornire i valori di attributo per tutti gli attributi obbligatori nel bacino d'utenza. Di solito, email è un attributo obbligatorio per i bacini d'utenza. In questo caso, il provider di identità SAML deve fornire un valore email (attestazione) nell'asserzione SAML.

I bacini d'utenza di Amazon Cognito supportano la federazione SAML 2.0 con endpoint post-binding. Ciò elimina la necessità per l'app di recuperare o analizzare le risposte alle asserzioni SAML, poiché il pool di utenti riceve direttamente la risposta SAML dal tuo provider di identità tramite uno user agent.

Per configurare un provider di identità SAML 2.0 nel bacino d'utenza

  1. Passa alla console Amazon Cognito. Se richiesto, inserisci le tue credenziali. AWS

  2. Scegli User Pools (Pool di utenti).

  3. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  4. Scegli il menu Social e provider esterni. Individua Federated sign-in (accesso federato) e seleziona Add an identity provider (aggiungi un provider di identità).

  5. Scegli un provider SAML di identità social.

  6. Inserisci gli Identifiers (identificatori) separati da virgole. Un identificatore indica ad Amazon Cognito che deve controllare l'indirizzo e-mail che un utente inserisce quando effettua l'accesso. Quindi li indirizza al provider che corrisponde al loro dominio.

  7. Scegli Add sign-out flow (Aggiungi flusso di disconnessione) se desideri che Amazon Cognito invii richieste di disconnessione firmate al tuo provider quando un utente si disconnette. Devi configurare il tuo provider di identità SAML 2.0 per inviare risposte di disconnessione all'https://<your Amazon Cognito domain>/saml2/logoutendpoint creato quando configuri l'accesso gestito. L'saml2/logoutendpoint utilizza l'associazione POST.

    Nota

    Se questa opzione è selezionata e il tuo provider di identità SAML prevede una richiesta di disconnessione firmata, dovrai anche configurare il certificato di firma fornito da Amazon Cognito con il tuo IdP SAML.

    L'IdP SAML elaborerà la richiesta di disconnessione firmata e disconnetterà l'utente dalla sessione di Amazon Cognito.

  8. Scegli una Metadata document source (Fonte del documento di metadati). Se il tuo provider di identità fornisce metadati SAML a un URL pubblico, puoi scegliere l'opzione Metadata document URL (URL del documento di metadati) e inserire l'URL pubblico. In caso contrario, seleziona Upload metadata document (Carica documento di metadati) e seleziona un file di metadati scaricato dal tuo provider in precedenza.

    Nota

    Ti consigliamo di inserire l'URL di un documento di metadati se il tuo provider ha un endpoint pubblico, anziché caricare un file. Ciò consente ad Amazon Cognito di aggiornare automaticamente i metadati. In genere, l'aggiornamento dei metadati avviene ogni 6 ore oppure prima della scadenza dei metadati, in base a ciò che avviene prima.

  9. Seleziona Map attributes between your SAML provider and your app (mappare gli attributi tra il provider SAML e la tua app) per mappare gli attributi del provider SAML al profilo utente nel bacino d'utenza. Includi gli attributi richiesti del bacino d'utenza nella mappa degli attributi.

    Ad esempio, quando si scegli l'User pool attribute (attributo del bacino d'utenza) email, inserisci il nome dell'attributo SAML come compare nell'asserzione SAML dal provider di identità. Il tuo provider di identità potrebbe offrire esempi di asserzioni SAML come riferimento. Alcuni provider di identità utilizzano nomi semplici, come email, mentre altri utilizzano attributi con formato URL simili a questo:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Scegli Create (Crea).