Wie richte ich Auth0 als SAML-Identitätsanbieter mit einem Amazon-Cognito-Benutzerpool ein?

Kurzbeschreibung

Amazon-Cognito-Benutzerpools ermöglichen die Anmeldung über einen Drittanbieter (Verbund), einschließlich über einen SAML-IdP wie Auth0. Weitere Informationen finden Sie unter Hinzufügen einer Benutzerpool-Anmeldung über einen Drittanbieter und Hinzufügen von SAML-Identitätsanbietern zu einem Benutzerpool.

Ein in Auth0 integrierter Benutzerpool ermöglicht es Benutzern in Ihrer Auth0-Anwendung, Benutzerpool-Token von Amazon Cognito abzurufen. Weitere Informationen finden Sie unter Verwenden von Tokens mit Benutzerpools.

Um Auth0 als SAML-IdP einzurichten, benötigen Sie einen Amazon-Cognito-Benutzerpool mit einem App-Client und einem Domainnamen sowie ein Auth0-Konto mit einer darauf befindlichen Auth0-Anwendung.

Behebung

Erstellen Sie einen Amazon-Cognito-Benutzerpool mit einem App-Client und einem Domainnamen

Weitere Informationen finden Sie im Folgenden:

• Tutorial: Einen Benutzerpool erstellen
  **Hinweis:**Beim Erstellen eines Benutzerpools wird standardmäßig das Standardattribut E-Mail ausgewählt. Weitere Informationen zu Benutzerpool-Attributen finden Sie unter Benutzerpool-Attribute.
• Einrichtung der gehosteten Benutzeroberfläche mit der Amazon-Cognito-Konsole
  Hinweis: Wenn Sie einen App-Client hinzufügen, können Sie das Kontrollkästchen Client-Geheimnis generieren deaktivieren. Ein App-Client-Geheimnis ist nicht erforderlich und die Verwendung eines App-Client-Geheimnisses verhindert, dass das Amazon Cognito JavaScript (Browser) SDK Benutzer authentifiziert.
• Hinzufügen eines Domainnamens für Ihren Benutzerpool

Eröffnen Sie ein Auth0-Konto

Geben Sie Ihre E-Mail-Adresse und ein Passwort auf der Auth0-Anmeldeseite ein, um loszulegen. Wenn Sie bereits ein Konto haben, melden Sie sich an.

Erstellen Sie eine Auth0-Anwendung

1. Wählen Sie im Auth0-Website-Dashboard Anwendung und dann Anwendung erstellen aus.
2. Geben Sie im Dialogfeld Anwendung erstellen einen Namen für Ihre Anwendung ein. Zum Beispiel Meine App.
3. Wählen Sie unter Wählen Sie einen Anwendungstyp die Option Single Page Web Applications aus.
4. Wählen Sie Erstellen.

Erstellen Sie einen Testbenutzer für Ihre Auth0-Anwendung

1. Wählen Sie in der linken Navigationsleiste Benutzerverwaltung und dann Benutzer aus.
2. Wählen Sie Ihren ersten Benutzer erstellen aus. Oder, falls dies nicht Ihr erster Benutzer ist, wählen Sie Benutzer erstellen aus.
3. Geben Sie im Dialogfeld Benutzer erstellen eine E-Mail-Adresse und ein Passwort für den Benutzer ein.
4. Wählen Sie Speichern aus.

Konfigurieren Sie die SAML-Einstellungen für Ihre Anwendung

1. Wählen Sie in der linken Navigationsleiste Anwendungen aus.
2. Wählen Sie den Namen der Anwendung, die Sie erstellt haben.
3. Aktivieren Sie auf der Registerkarte Addons die SAML2 Web App.
4. Im Addon: Geben Sie im Dialogfeld SAML2 Web App auf der Registerkarte Einstellungen als Anwendungs-Aufruf-URL Folgendes ein: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Hinweis: Ersetzen Sie yourDomainPrefix und Region durch die Werte für Ihren Benutzerpool. Sie finden sie in der Amazon-Cognito-Konsole auf der Registerkarte Domainname auf der Verwaltungsseite für Ihren Benutzerpool.
   -oder-
   Geben Sie eine benutzerdefinierte Domain-Aufruf-URL ein, die der folgenden ähnelt: https://yourcustomdomain/saml2/idpresponse. Weitere Informationen finden Sie unter Hinzufügen einer benutzerdefinierten Domain zu einem Benutzerpool.
5. Gehen Sie unter Einstellungen wie folgt vor:
   Löschen Sie für audience das Kommentartrennzeichen (//) und ersetzen Sie den Standardwert (urn:foo) durch urn:amazon:cognito:sp:YourUserPoolId.
   Hinweis:Ersetzen Sie yourUserPoolID durch Ihre Amazon-Cognito-Benutzerpool-ID. Suchen Sie die ID in der Amazon-Cognito-Konsole auf der Registerkarte Allgemeine Einstellungen auf der Verwaltungsseite für Ihren Benutzerpool.
   Löschen Sie bei Zuordnungen und E-Mails die Kommentartrennzeichen (//). Machen Sie dasselbe für alle anderen Attribute, die für Ihren Amazon-Cognito-Benutzerpool erforderlich sind. Weitere Informationen finden Sie unter Benutzerpool-Attribute.
   Löschen Sie für nameIdentifierFormat die Kommentartrennzeichen (//). Ersetzen Sie den Standardwert (urn:oasis:names:tc:saml:1.1:nameid-format:unspecified) durch urn:oasis:names:tc:saml:2.0:nameid-format:persistent.
6. (Optional) Wählen Sie Debug und melden Sie sich dann als der von Ihnen erstellte Testbenutzer an, um zu überprüfen, ob die Konfiguration funktioniert.
7. Wählen Sie Aktivieren und dann Speichern.

Holen Sie sich die IdP-Metadaten für Ihre Auth0-Anwendung

Im Addon: Suchen Sie im Dialogfeld SAML2 Web App auf der Registerkarte Verwendung nach Identitätsanbieter-Metadaten. Führen Sie dann einen der folgenden Schritte aus:

• Klicken Sie mit der rechten Maustaste auf Herunterladen, und kopieren Sie dann die URL.
• Wählen Sie Herunterladen, um die XML-Metadatendatei herunterzuladen.

Konfigurieren Sie Auth0 als SAML-IdP in Amazon Cognito

Weitere Informationen finden Sie unter Erstellen und Verwalten eines SAML-Identitätsanbieters für einen Benutzerpool. Folgen Sie den Anweisungen unter So konfigurieren Sie einen SAML-2.0-Identitätsanbieter in Ihrem Benutzerpool.

Fügen Sie beim Erstellen des SAML-IdP für das Metadatendokument entweder die Identitätsanbieter-Metadaten-URL ein oder laden Sie die XML-Metadatendatei hoch.

Ordnen Sie die E-Mail-Adresse vom IdP-Attribut zum Benutzerpool-Attribut zu

Weitere Informationen finden Sie unter Angeben von Identitätsanbieter-Attributzuordnungen für Ihren Benutzerpool. Folgen Sie den Anweisungen unter So geben Sie eine SAML-Anbieter-Attributzuordnung an.

Wenn Sie ein SAML-Attribut hinzufügen, geben Sie für SAML-Attribut http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ein. Wählen Sie für das Benutzerpool-Attribut die Option E-Mail aus der Liste aus.

Ändern Sie die App-Client-Einstellungen in Amazon Cognito

1. Wählen Sie auf der Verwaltungsseite der Amazon-Cognito-Konsole für Ihren Benutzerpool unter App-Integration die Option App-Client-Einstellungen aus. Gehen Sie dann wie folgt vor:
   Aktivieren Sie unter Aktivierte Identitätsanbieter die Kontrollkästchen Auth0 und Cognito-Benutzerpool.
   Geben Sie für Aufruf-URL(s) eine URL ein, zu der Ihre Benutzer nach der Anmeldung weitergeleitet werden sollen. Zum Testen können Sie eine beliebige gültige URL eingeben, z. B. https://www.amazon.com.
   Geben Sie unter Abmelde-URL(s) eine URL ein, zu der Ihre Benutzer nach dem Abmelden weitergeleitet werden sollen. Zum Testen können Sie eine beliebige gültige URL eingeben, z. B. https://www.amazon.com.
   Stellen Sie sicher, dass unter Zulässige OAuth Flows mindestens das Kontrollkästchen Implizite Gewährung aktiviert ist.
   Stellen Sie sicher, dass Sie unter Zulässige OAuth-Bereiche mindestens die Kontrollkästchen E-Mail und OpenID aktivieren.
2. Wählen Sie Änderungen speichern aus.

Weitere Informationen finden Sie unter Terminologie zu App-Client-Einstellungen.

Testen Sie den Anmeldeendpunkt

1. Geben Sie diese URL in Ihren Webbrowser ein: https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/login?response_type=token&client_id=<yourClientId>&redirect_uri=<redirectUrl>
   Hinweis: Ersetzen Sie yourDomainPrefix und Region durch die Werte für Ihren Benutzerpool. Sie finden sie in der Amazon-Cognito-Konsole auf der Registerkarte Domainname auf der Verwaltungsseite für Ihren Benutzerpool.
   Ersetzen Sie yourClientId durch die ID Ihres App-Clients und ersetzen Sie redirectUrl durch die Aufruf-URL Ihres App-Clients. Sie finden sie in der Amazon-Cognito-Konsole auf der Registerkarte App-Client-Einstellungen auf der Verwaltungsseite für Ihren Benutzerpool.
   Weitere Informationen finden Sie unter Wie konfiguriere ich die gehostete Web-Benutzeroberfläche für Amazon Cognito? und Login-Endpunkt.
2. Wählen Sie Auth0 aus.
   Hinweis: Wenn Sie zur Callback-URL Ihres App-Clients weitergeleitet werden, sind Sie in Ihrem Browser bereits bei Ihrem Auth0-Konto angemeldet. Die Benutzerpool-Token werden in der URL in der Adressleiste Ihres Webbrowsers angezeigt.
3. Geben Sie auf der Anmeldeseite für Ihre Auth0-Anwendung die E-Mail-Adresse und das Passwort für den Testbenutzer ein, den Sie erstellt haben.
4. Wählen Sie Anmelden.

Nachdem Sie sich angemeldet haben, werden Sie zur Aufruf-URL Ihres App-Clients weitergeleitet. Die Benutzerpool-Token werden in der URL in der Adressleiste Ihres Webbrowsers angezeigt.

Weitere Informationen

Integration von SAML-Identitätsanbietern von Drittanbietern in Amazon-Cognito-Benutzerpools

IDP-Authentifizierungsablauf für SAML-Benutzerpools

Wie richte ich einen SAML-Identitätsanbieter eines Drittanbieters mit einem Amazon-Cognito-Benutzerpool ein?