Desconectando SAML usuários com log-out único - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Desconectando SAML usuários com log-out único

O Amazon Cognito oferece suporte ao SAML logout único 2.0 (. SLO ComSLO, seu aplicativo pode desconectar usuários de seus provedores de SAML identidade (IdPs) quando eles se desconectam do seu grupo de usuários. Dessa forma, quando os usuários quiserem entrar no seu aplicativo novamente, eles deverão se autenticar com o SAML IdP. Caso contrário, eles podem ter cookies do navegador do IdP ou do grupo de usuários que os transmitem ao seu aplicativo sem a exigência de fornecer credenciais.

Quando você configura seu SAML IdP para suportar o fluxo de saída, o Amazon Cognito redireciona seu usuário com uma solicitação de logout assinada para seu IdP. SAML O Amazon Cognito determina o local de redirecionamento a partir dos metadados do SingleLogoutService URL seu IdP. O Amazon Cognito assina a solicitação de desconexão com seu certificado de assinatura do grupo de usuários.

Diagrama de fluxo de autenticação da saída do Amazon CognitoSAML. O usuário solicita a saída e o Amazon Cognito o redireciona para seu provedor com uma solicitação de saída. SAML

Quando você direciona um usuário com uma SAML sessão para o /logout endpoint do grupo de usuários, o Amazon Cognito redireciona SAML seu usuário com a seguinte solicitação para SLO o endpoint especificado nos metadados do IdP.

https://[SingleLogoutService endpoint]?
SAMLRequest=[encoded SAML request]&
RelayState=[RelayState]&
SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256&
Signature=[User pool RSA signature]

Em seguida, seu usuário retorna ao seu saml2/logout endpoint com um LogoutResponse de seu IdP. Seu IdP deve enviar uma LogoutResponse HTTP POST solicitação. Em seguida, o Amazon Cognito os redireciona para o destino de redirecionamento a partir da solicitação inicial de desconexão.

Seu SAML provedor pode enviar um LogoutResponse com mais AuthnStatement de um. O primeiro sessionIndex AuthnStatement em uma resposta desse tipo deve corresponder ao da sessionIndex SAML resposta que autenticou originalmente o usuário. Se sessionIndex estiver em qualquer outroAuthnStatement, o Amazon Cognito não reconhecerá a sessão e seu usuário não será desconectado.

AWS Management Console
Para configurar a SAML saída

  1. Crie um grupo de usuários, um cliente de aplicativo e um SAML IdP.

  2. Ao criar ou editar seu provedor de SAML identidade, em Informações do provedor de identidade, marque a caixa com o título Adicionar fluxo de saída.

  3. Na guia Experiência de login do seu grupo de usuários, em Login do provedor de identidade federado, escolha seu IdP e localize o certificado de assinatura.

  4. Escolha Baixar como .crt.

  5. Configure seu SAML provedor para oferecer suporte ao logout SAML único e à assinatura de solicitações, além de carregar o certificado de assinatura do grupo de usuários. Seu IdP deve redirecionar para o domínio do grupo /saml2/logout de usuários.

API/CLI

Para configurar a SAML saída

Configure o logout único com o IDPSignout parâmetro de uma UpdateIdentityProviderAPIsolicitação CreateIdentityProvideror. Veja a seguir um exemplo ProviderDetails de um IdP que oferece suporte a um SAML único logout.

"ProviderDetails": { 
      "MetadataURL" : "https://myidp.example.com/saml/metadata",
      "IDPSignout" : "true",,
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}