¿Cómo configuro LinkedIn como proveedor de identidades de redes sociales en un grupo de usuarios de Amazon Cognito?

Solución

LinkedIn le permite autenticar a sus usuarios por medio de OpenID Connect. Agregue LinkedIn como proveedor de OIDC en el grupo de usuarios de Amazon Cognito.

Crear un grupo de usuarios de Amazon Cognito con un cliente de aplicación y un nombre de dominio

Para obtener más información sobre cómo crear estos requisitos previos, consulte los siguientes recursos:

• Tutorial: Creación de un grupo de usuarios
  Importante: Cuando cree un grupo de usuarios, mantenga seleccionado el atributo estándar correo electrónico.
• Describe cómo configurar un cliente de aplicación para un grupo de usuarios
• Configuración de un dominio del grupo de usuarios

Crear una aplicación de LinkedIn

1. Abra el Portal para desarrolladores de LinkedIn y luego seleccione Create app.
2. En la página Create an app, rellene todos los campos obligatorios y opcionales para personalizar su aplicación de LinkedIn. A continuación, seleccione Create app.
3. Elija la pestaña Auth. Confirme que la lista incluya los ámbitos openid, email y profile. Estos permisos le permiten acceder a la información necesaria sobre los usuarios en LinkedIn.
   Nota: Si no encuentra los ámbitos openid, email ni profile, añada el producto Sign In with LinkedIn using OpenID Connect a su aplicación. Se encuentra en la pestaña Products del Portal para desarrolladores de LinkedIn.
4. En Application credentials, en la pestaña Auth, busque los datos Client ID y Client Secret y cópielos. Los necesitará cuando añada LinkedIn como proveedor de identidades en el grupo de usuarios.
5. En OAuth 2.0 settings, junto a Redirect URLs:, seleccione el icono del lápiz. A continuación, seleccione + Add redirect URL.
6. En Redirect URLs:, introduzca https://YourDomainPrefix.auth.region.amazoncognito.com/oauth2/idpresponse.
   Nota: Sustituya YourDomainPrefix y region por el prefijo del dominio y la región de su grupo de usuarios. Los encontrará en la consola de Amazon Cognito, en la pestaña Integración de aplicaciones de su grupo de usuarios.

Incorporar un proveedor de OIDC al grupo de usuarios

1. Abra la consola de Amazon Cognito.
2. Elija su grupo de usuarios. En la pestaña Experiencia de inicio de sesión, elija Add Identity Providers.
3. Elija OpenID Connect.
4. Introduzca los detalles de su aplicación de LinkedIn en los detalles del proveedor de OIDC:
   En Nombre del proveedor, introduzca un nombre (por ejemplo, LinkedIn). Este nombre aparecerá en la interfaz de la web alojada en Amazon Cognito.
   Nota: No podrá cambiar este campo una vez creado el proveedor.
   En ID de cliente, introduzca el ID de cliente que copió antes de la aplicación de LinkedIn.
   En Secreto de cliente, introduzca la clave de acceso secreta que copió antes de la aplicación de LinkedIn.
   En Método de solicitud de atributos, deje la opción GET.
   En Autorizar ámbito, indique openid profile email.
   Como Emisor, indique https://www.linkedin.com.
   Si necesita introducir la información del punto de conexión manualmente, consulte los datos de LinkedIn en el sitio web de LinkedIn.
5. Elija Crear un proveedor.

Para obtener más información, consulte Agregar un proveedor de identidades (IdP) OIDC al grupo de usuarios.

Asignar los atributos del proveedor de OIDC a su grupo de usuarios

1. Abra la consola de Amazon Cognito.
2. Elija su grupo de usuarios.
3. En la pestaña Experiencia de inicio de sesión, seleccione el proveedor de OIDC de LinkedIn que ha creado.
4. En Asignación de atributos, asigne el atributo de correo electrónico userpool con el correo electrónico de atributo de OpenID Connect.
5. Confirme que el atributo sub de OIDC esté asignado al atributo Username del grupo de usuarios.
6. (Opcional) Añada los atributos de OIDC que desee transferir desde LinkedIn. Por ejemplo, puede asignar given_name y family_name a los atributos correspondientes del grupo de usuarios de Amazon Cognito.

Para obtener más información, consulte Especificación de asignaciones de atributos del proveedor de identidad para su grupo de usuarios.

Modificar la configuración de cliente de la aplicación para su grupo de usuarios

1. Abra la consola de Amazon Cognito.
2. Elija su grupo de usuarios.
3. En Integración de aplicaciones, seleccione Cliente de aplicación.
4. En la página Cliente de aplicación, rellene estos campos:
   En Direcciones URL de devolución de llamada, indique la URL a la que desee redirigir a sus usuarios cuando inicien sesión. Como prueba, puede introducir cualquier URL válida, por ejemplo, https://example.com/.
   En Direcciones URL de cierre de sesión, introduzca la URL a la que desee redirigir a sus usuarios cuando cierren sesión. Como prueba, puede introducir cualquier URL válida, por ejemplo, https://example.com/.
   Edite la sección Interfaz de usuario alojada y añada el proveedor de OIDC que ha creado (por ejemplo, LinkedIn) como proveedor de identidades.
   En Tipos de concesión de OAuth 2.0, seleccione la casilla Concesión de código de autorización, la casilla Concesión implícita, o ambas.
   Nota: Los tipos de concesión de OAuth 2.0 determinan qué valores (code o token) podrá utilizar para el parámetro response_type en la URL de su punto de conexión.
   En Ámbitos de OpenID Connect, seleccione las casillas email, profile y openid.
5. Seleccione Guardar los cambios.

Para obtener más información, consulte Terminología de la configuración del cliente de la aplicación.

Componer la URL del punto de conexión

Utilice los valores de su propia configuración para componer esta URL de punto de conexión:

https://YourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=code&client_id=YourClientId&redirect_uri=redirectUrl

Personalice la URL de su configuración:

• Sustituya YourDomainPrefix y region por el prefijo del dominio y la región de su grupo de usuarios. Los encontrará en la consola de Amazon Cognito, en la pestaña Integración de aplicaciones de su grupo de usuarios.
• Si anteriormente seleccionó solo el flujo Concesión implícita en Flujos de OAuth permitidos, cambie response_type=code a response_type=token.
• Sustituya YourClientId por el ID del cliente de su aplicación y redirectUrl por la URL de devolución de llamada del cliente de su aplicación. Los encontrará en la consola de Amazon Cognito, en la pestaña Integración de aplicaciones de su grupo de usuarios.

Para obtener más información, consulte How do I configure the hosted web UI for Amazon Cognito? y Autorizar punto de conexión.

Probar la URL del punto de conexión

1. Introduzca la URL del punto de conexión compuesta en su navegador web.
2. Elija el nombre de su proveedor de OIDC (por ejemplo, LinkedIn).
3. Seleccione Log in with LinkedIn. Se le redirigirá a la página de inicio de sesión de LinkedIn.

Nota: Si la URL le redirige a la URL de devolución de llamada del cliente de la aplicación de Amazon Cognito, significa que ya ha iniciado sesión en LinkedIn.

1. En la página de inicio de sesión de LinkedIn, introduzca la dirección de correo electrónico (o el número de teléfono) y la contraseña de su cuenta de LinkedIn.
2. Seleccione Inicia sesión.

Una vez iniciada la sesión correctamente, se le redirigirá a la URL de devolución de llamada del cliente de su aplicación. El código de autorización o los tokens del grupo de usuarios aparecen en la URL de la barra de direcciones del navegador web.

(Opcional) Omitir la IU alojada de Amazon Cognito

Si desea que se omita la interfaz de usuario web de Amazon Cognito cuando los usuarios inicien sesión en su aplicación, utilícela como URL del punto de conexión:

https://YourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=code&identity_provider=oidcProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

Para personalizar la URL según su configuración, siga estos pasos:

• Sustituya YourDomainPrefix y region por el prefijo del dominio y la región de su grupo de usuarios. Los encontrará en la consola de Amazon Cognito, en la pestaña Integración de aplicaciones de su grupo de usuarios.
• Si anteriormente seleccionó solo el flujo Concesión implícita en Flujos de OAuth permitidos, cambie response_type=code a response_type=token.
• Sustituya oidcProviderName por el nombre del proveedor de OIDC de su grupo de usuarios (por ejemplo, LinkedIn).
• (Opcional) Si agregó un identificador para su proveedor de OIDC en el campo Identificadores, sustituya identity_provider=oidcProviderName por **idp_identifier=**idpIdentifier. Sustituya idpIdentifier por la cadena de su identificador personalizado.
• Sustituya yourClientId por el ID del cliente de su aplicación y redirectUrl por la URL de devolución de llamada del cliente de su aplicación. Los encontrará en la consola de Amazon Cognito, en la pestaña Integración de aplicaciones de su grupo de usuarios.
• Sustituya allowedOauthScopes por los ámbitos específicos que deba solicitar el cliente de su aplicación de Amazon Cognito.