Wie richte ich Okta als SAML-Identitätsanbieter in einem Amazon Cognito-Benutzerpool ein?

Kurzbeschreibung

Amazon Cognito-Benutzerpools ermöglichen die Anmeldung über einen Drittanbieter (Verbund), wie unter anderem über einen IdP wie Okta. Weitere Informationen finden Sie unter Hinzufügen einer Benutzerpool-Anmeldung über einen Drittanbieter und Hinzufügen von SAML-Identitätsanbietern zu einem Benutzerpool.

Ein in Okta integrierter Benutzerpool erlaubt es Benutzern, in Ihrer Okta-App Benutzerpool-Token von Amazon Cognito abzurufen. Weitere Informationen finden Sie unter Tokens mit Benutzerpools verwenden.

Lösung

Einen Amazon Cognito-Benutzerpool mit einem App-Client und Domainnamen erstellen

1. Erstellen Sie einen Benutzerpool.
   Hinweis: Bei der Erstellung wird das Standardattribut E-Mail standardmäßig ausgewählt. Weitere Informationen finden Sie unter Benutzerpool-Attribute.
2. Erstellen Sie einen App-Client in Ihrem Benutzerpool. Weitere Informationen finden Sie unter Hinzufügen eines App-Clients und Einrichten der gehosteten Benutzeroberfläche.
   Hinweis: Wenn Sie einen App-Client hinzufügen, deaktivieren Sie das Kontrollkästchen Clientgeheimnis generieren. Bei bestimmten Autorisierungsabläufen, wie etwa dem Ablauf der Autorisierungscode-Gewährung und dem Ablauf zur Token-Aktualisierung, verwenden Autorisierungsserver ein App-Client-Geheimnis, um einen Client zu autorisieren, Anfragen im Namen eines Benutzers zu stellen. Für den Ablauf Implizite Gewährung, der in diesem Setup verwendet wird, ist kein App-Client-Schlüssel erforderlich.
3. Fügen Sie einen Domainnamen für Ihren Benutzerpool hinzu.

Für ein Okta-Entwicklerkonto anmelden

Hinweis: Wenn Sie bereits über ein Okta-Entwicklerkonto verfügen, melden Sie sich bei diesem an.

1. Geben Sie auf der Okta Developer-Anmeldeseite die erforderlichen Informationen ein und wählen Sie dann ANMELDEN aus. Das Okta Developer-Team sendet eine Bestätigungs-E-Mail an die von Ihnen angegebene E-Mail-Adresse.
2. In der Bestätigungs-E-Mail finden Sie die Anmeldeinformationen für Ihr Konto. Wählen Sie MEIN KONTO AKTIVIEREN aus, melden Sie sich an und schließen Sie die Erstellung Ihres Kontos ab.

Eine SAML-App in Okta erstellen

1. Öffnen Sie die Okta Developer Console. Weitere Informationen finden Sie auf der Okta-Website unter Die neu gestaltete Admin-Konsole und das Dashboard von Okta.
2. Erweitern Sie im Navigationsmenü Anwendungen und wählen Sie dann Anwendungen aus.
3. Wählen Sie App-Integration erstellen aus.
4. Wählen Sie im Menü Neue App-Integration erstellen SAML 2.0 als Anmeldemethode aus.
5. Wählen Sie Weiter aus.

Weitere Informationen finden Sie unter Vorbereiten einer SAML-Integration im Leitfaden Einrichtung einer Single Sign-On (SSO)-Integration auf der Okta Developer-Website.

Eine SAML-Integration für Ihre Okta-App konfigurieren

1. Geben Sie auf der Seite SAML-Integration erstellen unter Allgemeine Einstellungen einen Namen für Ihre App ein.
2. (Optional) Laden Sie ein Logo hoch und wählen Sie die Sichtbarkeitseinstellungen für Ihre App aus.
3. Wählen Sie Weiter aus.
4. Geben Sie unter ALLGEMEIN für Single-Sign-On-URL https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse ein.
   Hinweis: Ersetzen Sie yourDomainPrefix und Region durch die Werte für Ihren Benutzerpool. Suchen Sie in der Amazon Cognito-Konsole auf der Seite Domainname für Ihren Benutzerpool nach diesen Werten.
5. Geben Sie als Zielgruppen-URI (SP-Entitäts-ID) urn:amazon:cognito:sp:yourUserPoolId ein.
   Hinweis: Ersetzen Sie yourUserPoolId durch Ihre Amazon Cognito-Benutzerpool-ID. Suchen Sie diesen Wert in der Amazon Cognito-Konsole auf der Seite Allgemeine Einstellungen für Ihren Benutzerpool.
6. Fügen Sie unter ATTRIBUT-ANWEISUNGEN (OPTIONAL) eine Anweisung mit den folgenden Informationen hinzu:
   Geben Sie als Name den SAML-Attributnamen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ein.
   Geben Sie als Wert user.email ein.
7. Belassen Sie für alle anderen Einstellungen auf der Seite die Standardwerte oder legen Sie sie gemäß Ihren Präferenzen fest.
8. Wählen Sie Weiter aus.
9. Wählen Sie eine Feedback-Antwort für den Okta-Support aus.
10. Wählen Sie Fertigstellen aus.

Weitere Informationen finden Sie unter Ihre Integration erstellen im Leitfaden Einrichtung einer Single Sign-On (SSO)-Integration auf der Okta Developer-Website.

Ihrer Okta-Anwendung einen Benutzer zuweisen

1. Wählen Sie in Ihrer Okta-App auf der Registerkarte Zuweisungen unter Zuweisen die Option Personen zuweisen aus.
2. Wählen Sie neben dem Benutzer, den Sie zuweisen möchten, die Option Zuweisen aus.
   Hinweis: Wenn es sich um ein neues Konto handelt, besteht die einzige verfügbare Option darin, sich selbst (den Administrator) als Benutzer auszuwählen.
3. (Optional) Geben Sie als Benutzernamen einen Benutzernamen ein oder geben Sie die E-Mail-Adresse des Benutzers an, falls gewünscht.
4. Wählen Sie Speichern und Zurück aus. Ihr Benutzer ist nun zugewiesen.
5. Wählen Sie Fertig aus.

Weitere Informationen finden Sie unter Benutzer zuweisen im Leitfaden Einrichtung einer Single Sign-On (SSO)-Integration auf der Okta Developer-Website.

IdP-Metadaten für Ihre Okta-Anwendung abrufen

Suchen Sie auf der Registerkarte Anmelden für Ihre Okta-App nach dem Hyperlink Metadaten des Identitätsanbieters. Klicken Sie mit der rechten Maustaste auf den Hyperlink und kopieren Sie dann die URL.

Weitere Informationen finden Sie unter Ihre Integrationseinstellungen festlegen im Leitfaden Einrichtung einer Single Sign-On (SSO)-Integration auf der Okta Developer-Website.

Okta als SAML-IdP in Ihrem Benutzerpool konfigurieren

1. Wählen Sie in der Amazon Cognito-Konsole Benutzerpools verwalten und dann Ihren Benutzerpool aus.
2. Wählen Sie im linken Navigationsbereich unter Verbund die Option Identitätsanbieter aus.
3. Wählen Sie SAML aus.
4. Fügen Sie unter Metadatendokument die URL der Metadaten des Identitätsanbieters ein, die Sie kopiert haben.
5. Geben Sie als Anbieternamen Okta ein. Weitere Informationen finden Sie unter Namen von SAML-Identitätsanbietern auswählen.
6. (Optional) Geben Sie alle SAML-Kennungen (Kennungen (optional)) ein und aktivieren Sie die Abmeldung vom IdP (Okta), wenn sich Ihre Benutzer von Ihrem Benutzerpool abmelden.
7. Wählen Sie Anbieter erstellen aus.

Weitere Informationen finden Sie unter Erstellen und Verwalten eines SAML-Identitätsanbieters für einen Benutzerpool (AWS-Managementkonsole).

E-Mail-Adresse vom IdP-Attribut zum Benutzerpool-Attribut zuordnen

1. Wählen Sie in der Amazon Cognito-Konsole Benutzerpools verwalten und dann Ihren Benutzerpool aus.
2. Wählen Sie im linken Navigationsbereich unter Verbund die Option Attributzuordnung aus.
3. Wählen Sie auf der Seite Attributzuordnung die Registerkarte SAML aus.
4. Wählen Sie SAML-Attribut hinzufügen aus.
5. Geben Sie für das SAML-Attribut den SAML-Attributnamen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ein.
6. Wählen Sie für das Benutzerpool-Attribut die Option E-Mail aus der Liste aus.

Weitere Informationen finden Sie unter Festlegen von Identitätsanbieter-Attributzuordnungen für Ihren Benutzerpool.

Die App-Client-Einstellungen für Ihren Benutzerpool ändern

1. Wählen Sie in der Amazon Cognito-Konsole Benutzerpools verwalten und dann Ihren Benutzerpool aus.
2. Wählen Sie im linken Navigationsbereich unter App-Integration die Option App-Client-Einstellungen aus.
3. Gehen Sie auf der App-Client-Seite wie folgt vor:
   Aktivieren Sie unter Identitätsanbieter aktivieren die Kontrollkästchen Okta und Cognito-Benutzerpool.
   Geben Sie für Callback-URL(s) eine URL ein, zu der Ihre Benutzer nach der Anmeldung weitergeleitet werden sollen. Geben Sie zum Testen eine gültige URL ein, z. B. https://www.example.com/.
   Geben Sie unter Abmelde-URL(s) eine URL ein, zu der Ihre Benutzer nach dem Abmelden weitergeleitet werden sollen. Geben Sie zum Testen eine gültige URL ein, z. B. https://www.example.com/.
   Stellen Sie sicher, dass unter Zulässige OAuth Abläufe mindestens das Kontrollkästchen Implizite Gewährung aktiviert ist.
   Stellen Sie sicher, dass Sie unter Zulässige OAuth-Bereiche mindestens die Kontrollkästchen E-Mail und OpenID aktivieren.
4. Wählen Sie Änderungen speichern aus.

Weitere Informationen finden Sie unter Terminologie zu App-Client-Einstellungen.

Die Endpunkt-URL konstruieren

Verwenden Sie Werte aus Ihrem Benutzerpool und erstellen Sie die folgende Anmelde-Endpunkt-URL: https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl

Gehen Sie unbedingt folgendermaßen vor:

• Ersetzen Sie yourDomainPrefix und Region durch die Werte für Ihren Benutzerpool. Suchen Sie in der Amazon Cognito-Konsole auf der Seite Domainname für Ihren Benutzerpool nach diesen Werten.
• Ersetzen Sie yourClientId durch die ID Ihres App-Clients und redirectUrl durch die Callback-URL Ihres App-Clients. Sie finden diese Werte in der Amazon Cognito-Konsole auf der Seite App-Client-Einstellungen für Ihren Benutzerpool.

Weitere Informationen finden Sie unter Wie konfiguriere ich die gehostete Web-Benutzeroberfläche für Amazon Cognito? und Anmeldeendpunkt.

Die Endpunkt-URL testen

1. Geben Sie die erstellte URL des Anmeldeendpunkts in Ihren Webbrowser ein.
2. Wählen Sie auf der Webseite Ihres Anmeldeendpunkts Okta aus.
   Hinweis: Wenn Sie zur Callback-URL Ihres App-Clients weitergeleitet werden, sind Sie in Ihrem Browser bereits bei Ihrem Okta-Konto angemeldet. Die Benutzerpool-Token werden in der URL in der Adressleiste Ihres Webbrowsers angezeigt.
3. Geben Sie auf der Okta-Anmeldeseite den Benutzernamen und das Passwort für den Benutzer ein, den Sie Ihrer App zugewiesen haben.
4. Wählen Sie Anmelden aus.

Nach der Anmeldung werden Sie zur Callback-URL Ihres App-Clients weitergeleitet. Die Benutzerpool-Token werden in der URL in der Adressleiste Ihres Webbrowsers angezeigt.

(Optional) Die von Amazon Cognito gehostete Benutzeroberfläche überspringen

Wenn Sie möchten, dass Ihre Benutzer die von Amazon Cognito gehostete Web-Benutzeroberfläche überspringen, wenn sie sich bei Ihrer App anmelden, verwenden Sie stattdessen diese Endpunkt-URL:

https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

Gehen Sie unbedingt folgendermaßen vor:

• Ersetzen Sie yourDomainPrefix und Region durch die Werte für Ihren Benutzerpool. Suchen Sie in der Amazon Cognito-Konsole auf der Seite Domainname für Ihren Benutzerpool nach diesen Werten.
• Ersetzen Sie samlProviderName durch den Namen des SAML-Anbieters in Ihrem Benutzerpool (Okta).
• (Optional) Wenn Sie zuvor im Feld Kennungen (optional) eine Kennung für Ihren SAML-IdP hinzugefügt haben, ersetzen Sie identity_provider=samlProviderName durch idp_identifier=idpIdentifier und idpIdentifier durch Ihre benutzerdefinierte Identifikationszeichenfolge.
• Ersetzen Sie yourClientId durch die ID Ihres App-Clients und redirectUrl durch die Callback-URL Ihres App-Clients. Sie finden diese Werte in der Amazon Cognito-Konsole auf der Seite App-Client-Einstellungen für Ihren Benutzerpool.
• Ersetzen Sie allowedOauthScopes durch diejenigen Bereiche, die Ihr Amazon Cognito-App-Client anfordern soll. Zum Beispiel scope=email+openid.

Weitere Informationen finden Sie unter Wie konfiguriere ich die gehostete Web-Benutzeroberfläche für Amazon Cognito? und Endpunkt autorisieren.

Ähnliche Informationen

IdP-Authentifizierungsablauf für SAML-Benutzerpools

Wie richte ich einen externen SAML-Identitätsanbieter mit einem Amazon Cognito-Benutzerpool ein?

Wie richte ich Okta als OpenID-Connect-Identitätsanbieter in einem Amazon Cognito-Benutzerpool ein?