Wie richte ich Auth0 als OIDC-Anbieter in einem Amazon-Cognito-Benutzerpool ein?

Letzte Aktualisierung: 22.02.2022

Ich möchte Auth0 als OIDC-Anbieter in einem Amazon-Cognito-Benutzerpool einrichten.

Kurzbeschreibung

Amazon-Cognito-Benutzerpools ermöglichen die Anmeldung bei OpenID-Connect-Identitäts-Drittanbietern (OIDC) wie Salesforce oder Ping Identity. Um Auth0 als OIDC-Anbieter einzurichten, benötigen Sie einen Amazon-Cognito-Benutzerpool mit einem App-Client und einem Domänennamen sowie ein Auth0-Konto mit einer Auth0-Anwendung.

Lösung

Gehen Sie folgendermaßen vor zum Erstellen oder Konfigurieren von:

  • Auth0-Konto
  • Auth0-Anwendung
  • OIDC-Einstellungen
  • App-Client-Einstellungen

Falls noch nicht geschehen, erstellen Sie einen Amazon-Cognito-Benutzerpool mit einem Benutzer, einem App-Client und einem Domänennamen.

Auth0-Konto erstellen

Wenn Sie bereits ein Auth0-Konto haben, melden Sie sich an. Befolgen Sie zum Erstellen eines Auth0-Kontos die Anweisungen in der Dokumentation Auth0 Get Started.

Auth0-Anwendung erstellen

  1. Wählen Sie auf der Auth0-Website das Dashboard aus.
  2. Erweitern Sie im Navigationsbereich links Applications (Anwendungen), und klicken Sie dann auf Create Application (Anwendung erstellen).
  3. Geben Sie im Dialogfeld einen Namen für die Anwendung ein. Zum Beispiel App1.
  4. Wählen Sie unter Choose an application type (Anwendungstyp wählen) die Option Single Webpage Applications aus.
  5. Wählen Sie Create (Erstellen) aus.

Notieren Sie die Client ID, das Client Secret und dieDomäne auf der Registerkarte für die Anwendungseinstellungen der Auth0-Anwendung.

Fügen Sie im Abschnitt Allowed Callback URLs (Zulässige Rückruf-URLs) unbedingt die Amazon-Cognito-Rückrufdomäne für den Benutzerpool hinzu. Das Domänenformat sieht wie folgt aus:
https://<cognito-domain>.auth.<region>.amazoncognito.com/oauth2/idpresponse.

OIDC-Einstellungen für den Benutzerpool konfigurieren

  1. Öffnen Sie die Amazon-Cognito-Konsole und wählen Sie dann Manage User Pools (Benutzerpools verwalten).
  2. Wählen Sie Ihren Benutzerpool und dann im Navigationsbereich Identity providers (Identitätsanbieter) aus.
  3. Wählen Sie OpenID Connect.
  4. Geben Sie die Client ID und das Client Secret aus der Auth0-Anwendung ein.
  5. Wählen Sie die Dropdown-Liste Attributes request method (Methode zur Attributanforderung) und dann GET aus.
  6. Geben Sie für den Berechtigungsbereich phone email openid profile ein.
  7. Fügen Sie für Issuer (Aussteller) den Domänennamen aus der Auth0-Konsole hinzu. Zum Beispiel: https://example.auth0.com.
  8. Wählen Sie Create provider (Anbieter erstellen) und dannRun Discovery (Discovery ausführen) aus.
  9. Wählen Sie Create (Erstellen) aus.
  10. Wählen Sie im Navigationsbereich Attribute mapping (Attributzuordnung) aus.
  11. Erstellen Sie im Abschnitt OIDC attribute eine Attributzuordnung für email. Das OIDC-Attribut email wird dem Benutzerpool-Attribut email zugeordnet.

App-Clienteinstellungen für den Benutzerpool konfigurieren

  1. Öffnen Sie die Amazon-Cognito-Konsole und wählen Sie dann App client settings (App-Client-Einstellungen).
  2. Aktivieren Sie unter Enabled identity providers (Aktivierte Identitätsanbieter) die Kontrollkästchen Auth0 und Cognito User Pool.
  3. Geben Sie für Callback URLs (Rückruf-URLs) eine URL ein.
  4. Geben Sie fürSign out URL (Abmelde-URL) eine URL ein, zu der die Benutzer nach dem Abmelden weitergeleitet werden.
  5. Achten Sie darauf, für Allowed OAuth Flows mindestens das Kontrollkästchen Implicit grant (Implizite Gewährung) zu aktivieren.
  6. Achten Sie darauf, für Allowed OAuth Scopes mindestens die Kontrollkästchen email und openid zu aktivieren.
  7. Wählen Sie Save changes (Änderungen speichern).

Setup testen

  1. Öffnen Sie die Amazon-Cognito-Konsole und wählen Sie Manage User Pools (Benutzerpools verwalten).
  2. Wählen Sie im Navigationsbereich App client settings (App-Client-Einstellungen).
  3. Wählen Sie Ihren App-Client und dann Launch Hosted UI (Hosted UI starten) aus.
  4. Wählen Sie auf der Seite Hosted UI Auth0 aus, und melden Sie sich dann bei der Auth0-Anmeldeseite an.
  5. Die Seite leitet weiter zu der in den App-Client-Einstellungen angegebenen Rückruf-URL.
  6. (Optional) Sie können den in den Benutzer- und Gruppeneinstellungen im Benutzerpool erstellten Auth0-Benutzer überprüfen.

War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?