Wie richte ich Auth0 als SAML-Identitätsanbieter mit einem Amazon-Cognito-Benutzerpool ein?
Ich möchte Auth0 als Identitätsanbieter (IDP) mit Security Assertion Markup Language 2.0 (SAML 2.0) und einem Amazon-Cognito-Benutzerpool verwenden. Wie richte ich das ein?
Kurzbeschreibung
Amazon-Cognito-Benutzerpools ermöglichen die Anmeldung über einen Drittanbieter (Verbund), einschließlich über einen SAML-IdP wie Auth0. Weitere Informationen finden Sie unter Hinzufügen einer Benutzerpool-Anmeldung über einen Drittanbieter und Hinzufügen von SAML-Identitätsanbietern zu einem Benutzerpool.
Ein in Auth0 integrierter Benutzerpool ermöglicht es Benutzern in Ihrer Auth0-Anwendung, Benutzerpool-Token von Amazon Cognito abzurufen. Weitere Informationen finden Sie unter Verwenden von Tokens mit Benutzerpools.
Um Auth0 als SAML-IdP einzurichten, benötigen Sie einen Amazon-Cognito-Benutzerpool mit einem App-Client und einem Domainnamen sowie ein Auth0-Konto mit einer darauf befindlichen Auth0-Anwendung.
Behebung
Erstellen Sie einen Amazon-Cognito-Benutzerpool mit einem App-Client und einem Domainnamen
Weitere Informationen finden Sie im Folgenden:
- Tutorial: Einen Benutzerpool erstellen
**Hinweis:**Beim Erstellen eines Benutzerpools wird standardmäßig das Standardattribut E-Mail ausgewählt. Weitere Informationen zu Benutzerpool-Attributen finden Sie unter Benutzerpool-Attribute. - Einrichtung der gehosteten Benutzeroberfläche mit der Amazon-Cognito-Konsole
Hinweis: Wenn Sie einen App-Client hinzufügen, können Sie das Kontrollkästchen Client-Geheimnis generieren deaktivieren. Ein App-Client-Geheimnis ist nicht erforderlich und die Verwendung eines App-Client-Geheimnisses verhindert, dass das Amazon Cognito JavaScript (Browser) SDK Benutzer authentifiziert. - Hinzufügen eines Domainnamens für Ihren Benutzerpool
Eröffnen Sie ein Auth0-Konto
Geben Sie Ihre E-Mail-Adresse und ein Passwort auf der Auth0-Anmeldeseite ein, um loszulegen. Wenn Sie bereits ein Konto haben, melden Sie sich an.
Erstellen Sie eine Auth0-Anwendung
- Wählen Sie im Auth0-Website-Dashboard Anwendung und dann Anwendung erstellen aus.
- Geben Sie im Dialogfeld Anwendung erstellen einen Namen für Ihre Anwendung ein. Zum Beispiel Meine App.
- Wählen Sie unter Wählen Sie einen Anwendungstyp die Option Single Page Web Applications aus.
- Wählen Sie Erstellen.
Erstellen Sie einen Testbenutzer für Ihre Auth0-Anwendung
- Wählen Sie in der linken Navigationsleiste Benutzerverwaltung und dann Benutzer aus.
- Wählen Sie Ihren ersten Benutzer erstellen aus. Oder, falls dies nicht Ihr erster Benutzer ist, wählen Sie Benutzer erstellen aus.
- Geben Sie im Dialogfeld Benutzer erstellen eine E-Mail-Adresse und ein Passwort für den Benutzer ein.
- Wählen Sie Speichern aus.
Konfigurieren Sie die SAML-Einstellungen für Ihre Anwendung
- Wählen Sie in der linken Navigationsleiste Anwendungen aus.
- Wählen Sie den Namen der Anwendung, die Sie erstellt haben.
- Aktivieren Sie auf der Registerkarte Addons die SAML2 Web App.
- Im Addon: Geben Sie im Dialogfeld SAML2 Web App auf der Registerkarte Einstellungen als Anwendungs-Aufruf-URL Folgendes ein: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
Hinweis: Ersetzen Sie yourDomainPrefix und Region durch die Werte für Ihren Benutzerpool. Sie finden sie in der Amazon-Cognito-Konsole auf der Registerkarte Domainname auf der Verwaltungsseite für Ihren Benutzerpool.
-oder-
Geben Sie eine benutzerdefinierte Domain-Aufruf-URL ein, die der folgenden ähnelt: https://yourcustomdomain/saml2/idpresponse. Weitere Informationen finden Sie unter Hinzufügen einer benutzerdefinierten Domain zu einem Benutzerpool. - Gehen Sie unter Einstellungen wie folgt vor:
Löschen Sie für audience das Kommentartrennzeichen (//) und ersetzen Sie den Standardwert (urn:foo) durch urn:amazon:cognito:sp:YourUserPoolId.
Hinweis:Ersetzen Sie yourUserPoolID durch Ihre Amazon-Cognito-Benutzerpool-ID. Suchen Sie die ID in der Amazon-Cognito-Konsole auf der Registerkarte Allgemeine Einstellungen auf der Verwaltungsseite für Ihren Benutzerpool.
Löschen Sie bei Zuordnungen und E-Mails die Kommentartrennzeichen (//). Machen Sie dasselbe für alle anderen Attribute, die für Ihren Amazon-Cognito-Benutzerpool erforderlich sind. Weitere Informationen finden Sie unter Benutzerpool-Attribute.
Löschen Sie für nameIdentifierFormat die Kommentartrennzeichen (//). Ersetzen Sie den Standardwert (urn:oasis:names:tc:saml:1.1:nameid-format:unspecified) durch urn:oasis:names:tc:saml:2.0:nameid-format:persistent. - (Optional) Wählen Sie Debug und melden Sie sich dann als der von Ihnen erstellte Testbenutzer an, um zu überprüfen, ob die Konfiguration funktioniert.
- Wählen Sie Aktivieren und dann Speichern.
Holen Sie sich die IdP-Metadaten für Ihre Auth0-Anwendung
Im Addon: Suchen Sie im Dialogfeld SAML2 Web App auf der Registerkarte Verwendung nach Identitätsanbieter-Metadaten. Führen Sie dann einen der folgenden Schritte aus:
- Klicken Sie mit der rechten Maustaste auf Herunterladen, und kopieren Sie dann die URL.
- Wählen Sie Herunterladen, um die XML-Metadatendatei herunterzuladen.
Konfigurieren Sie Auth0 als SAML-IdP in Amazon Cognito
Weitere Informationen finden Sie unter Erstellen und Verwalten eines SAML-Identitätsanbieters für einen Benutzerpool. Folgen Sie den Anweisungen unter So konfigurieren Sie einen SAML-2.0-Identitätsanbieter in Ihrem Benutzerpool.
Fügen Sie beim Erstellen des SAML-IdP für das Metadatendokument entweder die Identitätsanbieter-Metadaten-URL ein oder laden Sie die XML-Metadatendatei hoch.
Ordnen Sie die E-Mail-Adresse vom IdP-Attribut zum Benutzerpool-Attribut zu
Weitere Informationen finden Sie unter Angeben von Identitätsanbieter-Attributzuordnungen für Ihren Benutzerpool. Folgen Sie den Anweisungen unter So geben Sie eine SAML-Anbieter-Attributzuordnung an.
Wenn Sie ein SAML-Attribut hinzufügen, geben Sie für SAML-Attribut http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ein. Wählen Sie für das Benutzerpool-Attribut die Option E-Mail aus der Liste aus.
Ändern Sie die App-Client-Einstellungen in Amazon Cognito
- Wählen Sie auf der Verwaltungsseite der Amazon-Cognito-Konsole für Ihren Benutzerpool unter App-Integration die Option App-Client-Einstellungen aus. Gehen Sie dann wie folgt vor:
Aktivieren Sie unter Aktivierte Identitätsanbieter die Kontrollkästchen Auth0 und Cognito-Benutzerpool.
Geben Sie für Aufruf-URL(s) eine URL ein, zu der Ihre Benutzer nach der Anmeldung weitergeleitet werden sollen. Zum Testen können Sie eine beliebige gültige URL eingeben, z. B. https://www.amazon.com.
Geben Sie unter Abmelde-URL(s) eine URL ein, zu der Ihre Benutzer nach dem Abmelden weitergeleitet werden sollen. Zum Testen können Sie eine beliebige gültige URL eingeben, z. B. https://www.amazon.com.
Stellen Sie sicher, dass unter Zulässige OAuth Flows mindestens das Kontrollkästchen Implizite Gewährung aktiviert ist.
Stellen Sie sicher, dass Sie unter Zulässige OAuth-Bereiche mindestens die Kontrollkästchen E-Mail und OpenID aktivieren. - Wählen Sie Änderungen speichern aus.
Weitere Informationen finden Sie unter Terminologie zu App-Client-Einstellungen.
Testen Sie den Anmeldeendpunkt
- Geben Sie diese URL in Ihren Webbrowser ein: https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/login?response_type=token&client_id=<yourClientId>&redirect_uri=<redirectUrl>
Hinweis: Ersetzen Sie yourDomainPrefix und Region durch die Werte für Ihren Benutzerpool. Sie finden sie in der Amazon-Cognito-Konsole auf der Registerkarte Domainname auf der Verwaltungsseite für Ihren Benutzerpool.
Ersetzen Sie yourClientId durch die ID Ihres App-Clients und ersetzen Sie redirectUrl durch die Aufruf-URL Ihres App-Clients. Sie finden sie in der Amazon-Cognito-Konsole auf der Registerkarte App-Client-Einstellungen auf der Verwaltungsseite für Ihren Benutzerpool.
Weitere Informationen finden Sie unter Wie konfiguriere ich die gehostete Web-Benutzeroberfläche für Amazon Cognito? und Login-Endpunkt. - Wählen Sie Auth0 aus.
Hinweis: Wenn Sie zur Callback-URL Ihres App-Clients weitergeleitet werden, sind Sie in Ihrem Browser bereits bei Ihrem Auth0-Konto angemeldet. Die Benutzerpool-Token werden in der URL in der Adressleiste Ihres Webbrowsers angezeigt. - Geben Sie auf der Anmeldeseite für Ihre Auth0-Anwendung die E-Mail-Adresse und das Passwort für den Testbenutzer ein, den Sie erstellt haben.
- Wählen Sie Anmelden.
Nachdem Sie sich angemeldet haben, werden Sie zur Aufruf-URL Ihres App-Clients weitergeleitet. Die Benutzerpool-Token werden in der URL in der Adressleiste Ihres Webbrowsers angezeigt.
Weitere Informationen
Integration von SAML-Identitätsanbietern von Drittanbietern in Amazon-Cognito-Benutzerpools
Ähnliche Videos
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 10 Monaten
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor 3 Jahren