Como configurar provedores de identidade para seu grupo de usuários - Amazon Cognito
Configurar o acesso do usuário com um IdP socialConfigurar o login do usuário com um IdP OIDCConfigurar o login do usuário com um IdP SAML

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como configurar provedores de identidade para seu grupo de usuários

Com grupos de usuários, você pode implementar o login por meio de uma variedade de provedores de identidade externos ()IdPs. Esta seção do guia tem instruções para configurar esses provedores de identidade com seu grupo de usuários no console do Amazon Cognito. Como alternativa, você pode usar os grupos de usuários API e an AWS SDK para adicionar programaticamente provedores de identidade de grupos de usuários. Para obter mais informações, consulte CreateIdentityProvider.

As opções de provedor de identidade suportadas incluem provedores sociais como Facebook, Google e Amazon, bem como provedores OpenID Connect (OIDC) e SAML 2.0. Antes de começar, configure suas credenciais administrativas para seu IdP. Para cada tipo de provedor, você precisará registrar seu aplicativo, obter as credenciais necessárias e, em seguida, configurar os detalhes do provedor em seu grupo de usuários. Seus usuários podem então se inscrever e entrar no seu aplicativo com suas contas existentes dos provedores de identidade conectados.

A guia Experiência de login em Login do provedor de identidade federado adiciona e atualiza o grupo de usuários. IdPs Para obter mais informações, consulte Como adicionar acesso a grupo de usuários por meio de terceiros.

Configurar o acesso do usuário com um IdP social

É possível usar a federação para integrar grupos de usuários do Amazon Cognito com provedores de identidade social, como o Facebook, o Google e o Login with Amazon.

Para adicionar um provedor de identidade social, primeiro é necessário criar uma conta de desenvolvedor com o provedor de identidade. Depois de criar sua conta de desenvolvedor, registre a aplicação no provedor de identidade. O provedor de identidade cria um ID da aplicação e um segredo para a aplicação e esses valores são configurados no grupo de usuários do Amazon Cognito.

Como integrar o login do usuário a um IdP social

  1. Faça login no console do Amazon Cognito. Se solicitado, insira suas AWS credenciais.

  2. No painel de navegação, escolha User Pools (Grupos de usuários) e escolha o grupo de usuários que deseja editar.

  3. Escolha a guia Sign-in experience (Experiência de login) e localize Federated sign-in (Acesso federado).

  4. Escolha Add an identity provider (Adicionar um provedor de identidade) ou o provedor de identidade Facebook, Google, Amazon ou Apple que você configurou, localize Identity provider information (Informações do provedor de identidade) e escolha Edit (Editar). Para obter mais informações sobre como adicionar provedores de identidade social, consulte Usando provedores de identidade social com um grupo de usuários.

  5. Insira as informações do provedor de identidade social concluindo uma das etapas a seguir, com base em sua escolha de IdP:

    Facebook, Google e Login with Amazon

    Insira o ID e o segredo da aplicação recebidos ao criar a aplicação cliente.

    Sign in with Apple

    Insira o ID de serviço fornecido à Apple, bem como o ID de equipe, o ID de chave e a chave privada recebidos ao criar o cliente da aplicação.

  6. Para Authorized scopes (Escopos autorizados), insira os nomes dos escopos do provedor de identidade social que deseja mapear aos atributos do grupo de usuários. Os escopos definem quais atributos do usuário, como nome e e-mail, você deseja acessar com a aplicação. Ao inserir escopos, use as seguintes diretrizes com base em sua escolha de IdP:

    • Facebook: separe os escopos com vírgulas. Por exemplo:

      public_profile, email

    • Google, Login with Amazon e Sign in with Apple: separe os escopos com espaços. Por exemplo:

      • Google: profile email openid

      • Login with Amazon: profile postal_code

      • Sign in with Apple: name email

        nota

        Para Sign In with Apple (console), use as caixas de seleção para selecionar os escopos.

  7. Escolha Salvar alterações.

  8. Na guia App client integration (Integração de cliente da aplicação), escolha um dos App clients (Clientes da aplicação) na lista e escolha Edit hosted UI settings (Editar configurações da interface do usuário hospedada). Adicione o novo provedor de identidade social ao cliente da aplicação em Identity providers (Provedores de identidade).

  9. Escolha Salvar alterações.

Para obter mais informações sobre redes sociais IdPs, consulteUsando provedores de identidade social com um grupo de usuários.

Configurar o login do usuário com um IdP OIDC

Você pode integrar o login do usuário a um provedor de identidade (IdP) do OpenID Connect (OIDC), como Salesforce ou Ping Identity.

Para adicionar um OIDC provedor a um grupo de usuários

  1. Acesse o console do Amazon Cognito. Se solicitado, insira suas AWS credenciais.

  2. Escolha User Pools (Grupos de usuários) no menu de navegação.

  3. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  4. Escolha a guia Sign-in experience (Experiência de acesso). Localize Federated sign-in (Acesso federado) e selecione Add an identity provider (Adicionar um provedor de identidade).

  5. Escolha um provedor de identidade OpenID Connect.

  6. Insira um nome exclusivo em Provider name (Nome do provedor).

  7. Insira o ID do cliente que você recebeu do provedor em Client ID (ID do cliente).

  8. Insira o segredo do cliente que você recebeu do provedor em Client secret (Segredo do cliente).

  9. Insira os Authorized scopes (Escopos autorizados) para esse provedor. Os escopos definem quais grupos de atributos do usuário (como name e email) sua aplicação solicitará ao seu provedor. Os escopos devem ser separados por espaços, seguindo a especificação OAuth2.0.

    O usuário deve receber consentimento para o fornecimento desses atributos à aplicação.

  10. Escolha um método de solicitação de atributo para fornecer ao Amazon Cognito o HTTP método (GETouPOST) que o Amazon Cognito usa para buscar os detalhes do usuário no endpoint operado pelo seu userInfoprovedor.

  11. Escolha um método de configuração para recuperar endpoints do OpenID Connect por meio de preenchimento automático por URL meio do emissor ou entrada manual. Use o preenchimento automático do emissor URL quando seu provedor tiver um .well-known/openid-configuration endpoint público em que o Amazon Cognito possa recuperar URLs os endpointstoken,, e. authorization userInfo jwks_uri

  12. Insira o emissor URL ouauthorization,, tokenuserInfo, e o jwks_uri endpoint URLs do seu IdP.

    nota

    Você pode usar somente os números de porta 443 e 80 com descoberta, preenchida automaticamente e inserida manualmente. URLs Os logins de usuário falharão se seu OIDC provedor usar alguma porta não padrãoTCP.

    O emissor URL deve começar com https:// e não terminar com um / caractere. Por exemplo, o Salesforce usa isso: URL

    https://login.salesforce.com

    O openid-configuration documento associado ao seu emissor URL deve fornecer HTTPS URLs os seguintes valores: authorization_endpointtoken_endpoint,userinfo_endpoint, e. jwks_uri Da mesma forma, quando você escolhe Entrada manual, você só pode entrar HTTPSURLs.

  13. O sub da OIDC declaração é mapeado para o atributo Username do grupo de usuários por padrão. Você pode mapear outras OIDC reivindicações para os atributos do grupo de usuários. Insira a OIDC declaração e selecione o atributo correspondente do grupo de usuários na lista suspensa. Por exemplo, a solicitação email geralmente é mapeada para o atributo de grupo de usuários E-mail.

  14. Mapeie atributos adicionais do provedor de identidade ao seu grupo de usuários. Para mais informações, consulte Especificar mapeamentos de atributos do provedor de identidade para o grupo de usuários.

  15. Escolha Criar.

  16. Na guia App client integration (Integração de cliente da aplicação), selecione um dos App clients (Clientes da aplicação) na lista e Edit hosted UI settings (Editar configurações da interface do usuário hospedada). Adicione o novo provedor de OIDC identidade ao cliente do aplicativo em Provedores de identidade.

  17. Escolha Salvar alterações.

Para obter mais informações sobre OIDC IdPs, consulteUsando provedores de OIDC identidade com um grupo de usuários.

Configurar o login do usuário com um IdP SAML

Você pode usar a federação para grupos de usuários do Amazon Cognito para integração com um provedor de SAML identidade (IdP). Você fornece um documento de metadados, seja fazendo o upload do arquivo ou inserindo um endpoint do documento de metadados. URL Para obter informações sobre como obter documentos de metadados para terceiros SAML IdPs, consulteConfigurando seu provedor de SAML identidade terceirizado.

Para configurar um provedor de identidade SAML 2.0 em seu grupo de usuários

  1. Acesse o console do Amazon Cognito. Se solicitado, insira suas AWS credenciais.

  2. Escolha User Pools (Grupos de usuários).

  3. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  4. Escolha a guia Sign-in experience (Experiência de acesso). Localize Federated sign-in (Acesso federado) e selecione Add an identity provider (Adicionar um provedor de identidade).

  5. Escolha um provedor de SAMLidentidade.

  6. Insira Identifiers (Identificadores) separados por vírgulas. Um identificador direciona o Amazon Cognito para que ele confira o endereço de e-mail de login do usuário e, depois, direciona o usuário para o provedor que corresponde ao domínio dele.

  7. Escolha Add sign-out flow (Adicionar fluxo de desconexão) se quiser que o Amazon Cognito envie solicitações de desconexão assinadas ao seu provedor quando um usuário se desconectar. Configure seu provedor de identidade SAML 2.0 para enviar respostas de desconexão para o https://mydomain.us-east-1.amazoncognito.com/saml2/logout endpoint que o Amazon Cognito cria quando você configura a interface de usuário hospedada. O saml2/logout endpoint usa POST vinculação.

    nota

    Se você selecionar essa opção e seu provedor de SAML identidade esperar uma solicitação de logout assinada, você também deverá configurar o certificado de assinatura fornecido pelo Amazon Cognito com seu SAML IdP.

    O SAML IdP processará a solicitação de logout assinada e desconectará seu usuário da sessão do Amazon Cognito.

  8. Escolha uma Metadata document source (Fonte de documento de metadados). Se seu provedor de identidade oferecer SAML metadados em um públicoURL, você poderá escolher o documento de metadados URL e inserir esse público. URL Do contrário, escolha Upload metadata document (Carregar documento de metadados) e, em seguida, um arquivo de metadados que você tenha baixado de seu provedor anteriormente.

    nota

    Se seu provedor tiver um endpoint público, recomendamos que você insira um documento de metadadosURL, em vez de fazer o upload de um arquivo. Se você usa oURL, o Amazon Cognito atualiza os metadados automaticamente. Normalmente, a atualização de metadados ocorre a cada seis horas ou antes de os metadados expirarem, o que ocorrer primeiro.

  9. Mapeie atributos entre seu SAML provedor e seu aplicativo para mapear os atributos do SAML provedor para o perfil do usuário em seu grupo de usuários. Inclua os atributos obrigatórios do grupo de usuários no mapa de atributos.

    Por exemplo, ao escolher o atributo do grupo de usuáriosemail, insira o nome do SAML atributo conforme ele aparece na SAML declaração do seu provedor de identidade. Seu provedor de identidade pode oferecer exemplos de SAML afirmações para referência. Alguns provedores de identidade usam nomes simples, comoemail, enquanto outros usam nomes URL de atributos formatados semelhantes a:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  10. Escolha Criar.

nota

Se você ver InvalidParameterException ao criar um SAML IdP com um endpoint de HTTPS metadadosURL, verifique se o endpoint de metadados foi configurado SSL corretamente e se há um certificado válido associado a ele. SSL Um exemplo dessa exceção seria “Erro ao recuperar metadados de <metadata endpoint>".

Para configurar o SAML IdP para adicionar um certificado de assinatura

  • Para obter o certificado contendo a chave pública que o IdP usa para verificar a solicitação de logout assinada, escolha Mostrar certificado de assinatura em SAMLProvedores ativos na caixa de SAMLdiálogo em Provedores de identidade na página do console da Federação.

Para obter mais informações sobre, SAML IdPs consulteUsando provedores de SAML identidade com um grupo de usuários.