Usando provedores de SAML identidade com um grupo de usuários - Amazon Cognito
Referência rápidaDiferenciação de letras maiúsculas e minúsculas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando provedores de SAML identidade com um grupo de usuários

Você pode optar por fazer com que seus usuários de aplicativos móveis e da Web entrem por meio de um provedor de SAML identidade (IdP), como o Microsoft Active Directory Federation Services (ADFS) ou o Shibboleth. Você deve escolher um SAML IdP que suporte o padrão SAML2.0.

Com a interface hospedada e os endpoints de federação, o Amazon Cognito autentica usuários de IdP locais e terceirizados e emite tokens da web (). JSON JWTs Com os tokens que o Amazon Cognito emite, você pode consolidar várias fontes de identidade em um padrão universal OpenID Connect OIDC () em todos os seus aplicativos. O Amazon Cognito pode processar SAML afirmações de seus fornecedores terceirizados de acordo com esse padrão. SSO Você pode criar e gerenciar um SAML IdP no AWS Management Console, por meio do ou com os grupos AWS CLI de usuários do Amazon Cognito. API Para criar seu primeiro SAML IdP no AWS Management Console, consulte. Adicionar e gerenciar provedores de SAML identidade em um grupo de usuários

Visão geral da autenticação com SAML login
nota

A federação com login por meio de um IdP de terceiros é um recurso dos grupos de usuários do Amazon Cognito. Os grupos de identidades do Amazon Cognito, às vezes chamados de identidades federadas do Amazon Cognito, são uma implementação da federação que você deve configurar separadamente em cada grupo de identidades. Um grupo de usuários pode ser um IdP de terceiros para um grupo de identidades. Para obter mais informações, consulte Banco de identidades do Amazon Cognito.

Referência rápida para configuração do IdP

Você deve configurar seu SAML IdP para aceitar solicitações e enviar respostas ao seu grupo de usuários. A documentação do seu SAML IdP conterá informações sobre como adicionar seu grupo de usuários como parte confiável ou aplicativo para seu IdP 2.0SAML. A documentação a seguir fornece os valores que você deve fornecer para o ID da entidade SP e o serviço ao consumidor de asserção (ACS)URL.

Referência rápida de SAML valores do grupo de usuários
ID da entidade SP
urn:amazon:cognito:sp:us-east-1_EXAMPLE
ACS URL
https://Your user pool domain/saml2/idpresponse

Você deve configurar seu grupo de usuários para oferecer suporte ao seu provedor de identidade. As etapas de alto nível para adicionar um SAML IdP externo são as seguintes.

  1. Faça o download dos SAML metadados do seu IdP ou recupere-os URL no seu endpoint de metadados. Consulte Configurando seu provedor de SAML identidade terceirizado.

  2. Adicione um novo IdP ao seu grupo de usuários. Faça o upload dos SAML metadados ou forneça os metadadosURL. Consulte Adicionar e gerenciar provedores de SAML identidade em um grupo de usuários.

  3. Atribua o IdP aos seus clientes de aplicativos. Consulte Configurações específicas do aplicativo com clientes de aplicativos

Tópicos

Diferenciação de maiúsculas e SAML minúsculas

Quando um usuário federado tenta fazer login, o provedor de SAML identidade (IdP) passa uma mensagem NameId exclusiva para o Amazon Cognito na declaração do usuário. SAML O Amazon Cognito identifica um usuário SAML federado por meio de sua reivindicação. NameId Independentemente das configurações de distinção entre maiúsculas e minúsculas do seu grupo de usuários, o Amazon Cognito reconhece um usuário federado que retorna de um SAML IdP quando ele passa sua reivindicação exclusiva e com distinção entre maiúsculas e minúsculas. NameId Se você mapear um atributo como email para NameId e seu usuário alterar o endereço de e-mail, ele não conseguirá fazer login na aplicação.

NameIdMapeie suas SAML afirmações a partir de um atributo IdP que tenha valores que não mudam.

Por exemplo, Carlos tem um perfil de usuário em seu grupo de usuários que não diferencia maiúsculas de minúsculas de uma SAML declaração do Active Directory Federation Services (ADFS) que passou um valor de. NameId Carlos@example.com Na próxima vez que Carlos tentar fazer login, seu ADFS IdP passará um NameId valor de. carlos@example.com Como NameId deve apresentar uma correspondência exata de maiúsculas e minúsculas, o login não é bem-sucedido.

Se seus usuários não conseguirem fazer login depois que o respectivo NameID mudar, exclua o perfil desses usuários do grupo de usuários. O Amazon Cognito criará novos perfis de usuário na próxima vez em que eles fizerem login.

Tópicos