Comment configurer un fournisseur d'identité SAML tiers avec un groupe d'utilisateurs Amazon Cognito ?

Lecture de 7 minute(s)

Je souhaite utiliser Okta en tant que fournisseur d'identité (IdP) SAML 2.0 (Security Assertion Markup Language 2.0) dans un groupe d'utilisateurs Amazon Cognito.

Brève description

Les groupes d'utilisateurs Amazon Cognito permettent les connexions via un tiers (fédération), ainsi qu'à l'aide d'un fournisseur d'identité (IdP) SAML tel que OneLogin. Pour en savoir plus, consultez les sections Ajout d'une connexion de groupe d'utilisateurs via un tiers et Ajout de fournisseurs d'identité SAML à un groupe d'utilisateurs. Pour configurer OneLogin en tant qu'IdP SAML, vous avez besoin d'un groupe d'utilisateurs Amazon Cognito et d'un compte OneLogin avec une application.

Résolution

Créer un groupe d'utilisateurs Amazon Cognito avec un client d'application et un nom de domaine

Pour en savoir plus, consultez les sections suivantes :

**Remarque :**lorsque vous créez un groupe d'utilisateurs, l'attribut standard e-mail est sélectionné par défaut. Pour en savoir plus, consultez la section Attributs de groupe d'utilisateurs.

Créer un compte OneLogin

Ouvrez le site web OneLogin, puis choisissez Essai gratuit.
Sur la page de création du compte, sous Votre domaine OneLogin, notez le domaine fourni par OneLogin.

Créer une application OneLogin

Sur la page du portail OneLogin (https://your-new-domain.onelogin.com/portal/), choisissez Administration.
Sur la page Administration, passez le curseur sur Applications, puis sélectionnez Ajouter des applications.
Dans la barre de recherche, sous Rechercher des applications, saisissez saml, puis choisissez Connecteur de test SAML (IdP). La page Ajouter un connecteur de test SAML (IdP).
(Facultatif) Sur la page Ajouter un connecteur de test SAML (IdP), effectuez l'une des étapes suivantes :
Dans le champ Nom d'affichage, saisissez un nom et une description. Par exemple, Configuration de Cognito (IdP).
Pour les icônes rectangulaires et carrées, téléchargez les icônes miniatures conformément aux spécifications de la page.
Dans le champ Description, saisissez une brève description récapitulative. Par exemple, pour le groupe d'utilisateurs Amazon Cognito.
Choisissez Enregistrer.

Modifier la configuration de votre application OneLogin

Sur la page du portail OneLogin (https://your-new-domain.onelogin.com/portal/), choisissez Configuration.
Sur la page Configuration, effectuez les étapes suivantes :
Dans le champ RelayState, saisissez une URL valide, telle que https://www.exemple.com.
Dans le champ Audience, saisissez urn:amazon:cognito:sp:yourUserPoolID.
Dans le champ Destinataire, saisissez https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
Dans le champ Validateur d'URL ACS (Consommateur), saisissez https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
Dans le champ URL ACS (Consommateur), saisissez https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
Laissez le champ URL de déconnexion unique vide.
Remarque : Dans le champ Audience, remplacez yourUserPoolId par votre identifiant de groupe d'utilisateurs Amazon Cognito. Trouvez l'identifiant dans la console Amazon Cognito sous l'onglet Paramètres généraux de la page de gestion de votre groupe d'utilisateurs.
Dans les champs Validateur d'URL ACS (consommateur) et URL ACS (consommateur), remplacez YourDomainPrefix et région par les valeurs de votre groupe d'utilisateurs. Recherchez les valeurs dans la console Amazon Cognito sous l'onglet Nom de domaine de la page de gestion de votre groupe d'utilisateurs.

Modifier les paramètres de votre application OneLogin

Sur la page du portail OneLogin (https://your-new-domain.onelogin.com/portal/), sélectionnez Paramètres.
**Remarque :**la page Paramètres affiche le paramètre NameID (e-mail fka) par défaut.
Pour créer un paramètre personnalisé, choisissez Ajouter un paramètre.
Dans la boîte de dialogue Nouveau champ pour Nom du champ, saisissez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier.
Dans le champ Balises, cochez la case Inclure dans l'assertion SAML.
Choisissez Enregistrer.
Dans le champ Valeur, choisissez E-mail dans la liste.
Choisissez Enregistrer.

Copier les métadonnées de l'IdP pour votre application OneLogin

Sur la page du portail OneLogin (https://your-new-domain.onelogin.com/portal/), choisissez SSO.
Dans le champ URL de l'émetteur, copiez l'URL.
Choisissez Enregistrer.

Configurer OneLogin en tant que fournisseur d'identité SAML dans Amazon Cognito

Pour configurer OneLogin en tant qu'IdP SAML dans Amazon Cognito, consultez la section Création et gestion d'un fournisseur d'identité SAML pour un groupe d'utilisateurs (AWS Management Console). Suivez les instructions de la section Pour configurer un fournisseur d'identité SAML 2.0 dans votre groupe d'utilisateurs. Lorsque vous créez l'IdP SAML, dans le champ Document de métadonnées, saisissez l'URL de l'émetteur que vous avez copiée.

Mapper l'adresse e-mail de l'attribut IdP sur l'attribut du groupe d'utilisateurs

Pour mapper l'adresse e-mail de l'attribut IdP sur l'attribut du groupe d'utilisateurs, consultez la section Spécification des mappages d'attributs du fournisseur d'identité pour votre groupe d'utilisateurs. Suivez les instructions de la section Pour spécifier un mappage d'attributs de fournisseur SAML. Lorsque vous ajoutez un attribut SAML sous Mappage d'attributs dans le champ Attribut SAML, saisissez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Dans le champ Attribut du groupe d'utilisateurs, choisissez E-mail dans la liste.

Modifier les paramètres du client de l'application dans Amazon Cognito

**Remarque :**cet exemple de configuration est fourni à des fins de test. Pour une configuration de production, il est recommandé d'utiliser le flux OAuth d'octroi de code d'autorisation pour les paramètres de votre client d'application. L'utilisation de ce flux permet de recevoir un code d'autorisation après authentification dans votre URL de redirection. Pour échanger le code d'autorisation contre des jetons Web JSON (JWT), vous devez envoyer une requête au point de terminaison du jeton.

Dans la console Amazon Cognito, sous Intégration des applications, choisissez Paramètres du client d'application. Ensuite, procédez comme suit :
Sous Fournisseurs d'identité activés, cochez la case Tout sélectionner.
Dans le champ URL de rappel, saisissez l'URL vers laquelle vous souhaitez rediriger vos utilisateurs une fois connectés. Pour l'étape de test, saisissez une URL valide, telle que https://www.example.com.
Dans le champ URL de déconnexion, saisissez l'URL vers laquelle vous souhaitez rediriger vos utilisateurs une fois déconnectés. Pour l'étape de test, saisissez une URL valide, telle que https://www.example.com.
Sous Flux OAuth autorisés, cochez au moins la case Octroi implicite.
Sous Portées OAuth autorisées, cochez au moins les cases e-mail et openid.
Choisissez Enregistrer les modifications. Pour plus d'informations, consultez la section Mettre à jour un client d'application de groupe d'utilisateurs (interface de ligne de commande AWS et API AWS).

Tester le point de terminaison de connexion

Dans votre navigateur, saisissez https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl.
**Remarque :**remplacez YourDomainPrefix et région par les valeurs de votre groupe d'utilisateurs. Vous les retrouverez dans la console Amazon Cognito, sur la page de gestion de votre groupe d'utilisateurs sous l'onglet Nom de domaine. Remplacez yourClientId par l'ID de votre client d'application, puis redirectUrl par l'URL de rappel de votre client d'application. Vous les retrouverez dans la console Amazon Cognito, sur la page de gestion de votre groupe d'utilisateurs sous l'onglet Paramètres du client d'application. Pour en savoir plus, consultez les sections Comment configurer l'interface utilisateur web hébergée pour Amazon Cognito ? et Point de terminaison de connexion.
Choisissez OneLogin.
Remarque : une redirection vers l'URL de rappel de votre client d'application signifie que vous êtes déjà connecté à votre compte Okta dans votre navigateur. Tout est correctement configuré.
Sur la page OneLogin, dans le champ Nom d'utilisateur, saisissez le nom d'utilisateur de votre compte OneLogin.
Choisissez Continuer.
Dans le champ Mot de passe, saisissez le mot de passe de votre compte OneLogin.
Choisissez Continuer.

Informations connexes

Intégration de fournisseurs d'identité SAML tiers aux groupes d'utilisateurs Amazon Cognito

Flux d'authentification du fournisseur d'identité SAML du groupe d'utilisateurs

Sujets

Sécurité, identité et conformité

Balises

Amazon Cognito

Langue

Français

Vidéos associées

Regardez la vidéo de Mohammed pour en savoir plus (4:35).

AWS OFFICIELA mis à jour il y a 8 mois

Aucun commentaire

Contenus pertinents

Où trouver l'état des SMS envoyés pour le MFA ?
Réponse acceptée
Nicolas
demandé il y a 9 mois
y aura-t'il un surcout pour moi si je sélectionne un autre GPU ?
GPU demand
demandé il y a un an
Créer un enregistrement
Réponse acceptée
Tikki
demandé il y a 4 mois
supprimé un service
SAID
demandé il y a 9 mois
Problème de facturation inattendue avec Amazon Web Services
rePost-User-1581363
demandé il y a 10 mois
Comment configurer AD FS en tant que fournisseur d'identité SAML avec un groupe d'utilisateurs Amazon Cognito ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je configurer un fournisseur d'identité SAML tiers avec un groupe d'utilisateurs Amazon Cognito ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment configurer Okta en tant que fournisseur d'identité SAML dans un groupe d'utilisateurs Amazon Cognito ?
AWS OFFICIELA mis à jour il y a 6 mois
Comment configurer Auth0 comme fournisseur d'identité SAML avec un groupe d'utilisateurs Amazon Cognito ?
AWS OFFICIELA mis à jour il y a 2 ans