本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置第三方 SAML 身份提供者
如果要将 SAML 身份提供者(IdP)添加到用户池,则必须在 IdP 的管理界面中进行一些配置更新。本节介绍如何格式化您必须提供给 IdP 的值。您还可以了解如何检索用于向用户池标识 IdP 及其 SAML 声明的静态或活动 URL 元数据文档。
要配置第三方 SAML 2.0 身份提供者(IdP)解决方案以使用 Amazon Cognito 用户池的联合身份验证,您必须配置 SAML IdP 以重定向到以下断言使用者服务(ACS)URL:https://。如果您的用户池有 Amazon Cognito 域,则可以在 A mazon Cognitmydomain.us-east-1.amazoncognito.com/saml2/idpresponse
某些 SAML IdPs 要求您在表urn:amazon:cognito:sp:单中us-east-1_EXAMPLEurn提供(也称为受众 URI 或 SP 实体 ID)。您可以在 Amazon Cognito 控制台的用户池概览下找到用户池 ID。
您还必须配置 SAML IdP,以便为用户池中您指定为必需属性的任何属性提供值。通常,email 是用户池的必需属性,在这种情况下,SAML IdP 必须在其 SAML 断言中提供某种形式的 email 声明,且您必须将该声明映射到该提供者的属性。
以下第三方 SAML 2.0 IdP 解决方案的配置信息是开始使用 Amazon Cognito 用户池设置联合身份验证的一个很好的起点。有关最新信息,请直接查阅提供者的文档。
要签署 SAML 请求,必须将 IdP 配置为信任由您的用户池签名证书签署的请求。要接受加密的 SAML 响应,必须将 IdP 配置为对用户池的所有 SAML 响应进行加密。您的提供者将提供有关配置这些特征的文档。有关 Microsoft 的示例,请参阅配置 Microsoft Entra SAML 令牌加密
注意
Amazon Cognito 只需要身份提供者元数据文档。您的提供商可能会提供与 SAML 2.0 进行 AWS 账户 联合身份验证的配置信息;这些信息与 Amazon Cognito 集成无关。
| 解决方案 | 更多信息 |
|---|---|
| Microsoft Active Directory 联合身份验证服务 (AD FS) | 联合身份验证元数据浏览器 |
| Okta | 如何下载用于 SAML 应用程序集成的 IdP 元数据和 SAML 签名证书 |
| Auth0 | 将 Auth0 配置为 SAML 身份提供者 |
| Ping 身份 (PingFederate) | 从中导出 SAML 元数据 PingFederate |
| JumpCloud | SAML 配置备注 |
| SecureAuth | SAML 应用程序集成 |
