Come faccio a configurare Auth0 come provider di identità SAML con un pool di utenti Amazon Cognito?

Breve descrizione

I pool di utenti di Amazon Cognito consentono l'accesso tramite una terza parte (federazione), anche tramite un IdP SAML come Auth0. Per ulteriori informazioni, consulta Aggiungere l'accesso al pool di utenti tramite una terza parte e Aggiunta di provider di identità SAML a un bacino d'utenza.

Un pool di utenti integrato con Auth0 consente agli utenti della tua applicazione Auth0 di ottenere i token del pool di utenti da Amazon Cognito. Per ulteriori informazioni, consulta Utilizzo dei token con i pool di utenti.

Per configurare Auth0 come IdP SAML, è necessario un pool di utenti Amazon Cognito con un client dell'app e un nome di dominio e un account Auth0 con un'applicazione Auth0.

Risoluzione

Creare un pool di utenti Amazon Cognito con un client di app e un nome di dominio

Per ulteriori informazioni, consulta quanto segue:

• Tutorial: creazione di un pool di utenti
  **Nota:**quando si crea un pool di utenti, l'attributo standard e-mail è selezionato per impostazione predefinita. Per ulteriori informazioni sugli attributi del pool di utenti, vedere Attributi del pool di utenti.
• Configurazione dell'interfaccia utente ospitata con la console Amazon Cognito
  **Nota:**quando aggiungi un client per l'app, puoi deselezionare la casella di controllo Genera segreto del client. Non è richiesto un segreto del client dell'app e il suo utilizzo impedisce all'SDK JavaScript (browser) di Amazon Cognito di autenticare gli utenti.
• Aggiungere un nome di dominio per il pool di utenti

Registrati per creare un account Auth0

Inserisci il tuo indirizzo email e una password nella pagina Auth0 Sign Up per iniziare. Se hai già un account, accedi.

Creare un'applicazione Auth0

1. Nella dashboard Auth0 website , scegli Applicazioni, quindi scegli Crea applicazione.
2. Nella finestra di dialogo Crea applicazione, inserisci un nome per la tua applicazione. Ad esempio, My App.
3. In Scegli un tipo di applicazione, scegli Applicazioni Web a pagina singola.
4. Scegli Crea.

Creare un utente di prova per l’applicazione Auth0

1. Nella barra di navigazione a sinistra, scegli Gestione utenti, quindi scegli Utenti.
2. Scegli Crea il tuo primo utente. Oppure, se questo non è il tuo primo utente, scegli Crea utente.
3. Nella finestra di dialogo Crea utente, inserisci un'e-mail e una password per l'utente.
4. Scegli Salva.

Configurare le impostazioni SAML per l’applicazione

1. Nella barra di navigazione a sinistra, scegli Applicazioni.
2. Scegli il nome dell'applicazione che hai creato.
3. Nella scheda Componenti aggiuntivi, attiva SAML2 Web App.
4. Nel **Componente aggiuntivo: Nella finestra di dialogo **SAML2 Web App, nella scheda Impostazioni per l’URL di callback dell'applicazione, inserisci: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Nota: sostituisci yourDomainPrefix e region con i valori per il tuo pool di utenti. Puoi trovarli nella console Amazon Cognito nella scheda Nome dominio della pagina di gestione del tuo pool di utenti.
   -oppure-
   Inserisci un URL di callback del dominio personalizzato simile al seguente:https//yourCustomDomain/saml2/idpresponse. Per ulteriori informazioni, consulta Aggiunta di un dominio personalizzato a un bacino d’utenza.
5. In Impostazioni, procedi come segue:
   Per pubblico, elimina il delimitatore di commento (//) e sostituisci il valore predefinito (urn:foo) con urn:amazon:cognito:sp:yourUserPoolId.
   Nota:sostituisci yourUserPoolID con il tuo ID del pool di utenti Amazon Cognito. Trova l'ID nella console Amazon Cognito nella scheda Impostazioni generali della pagina di gestione del tuo pool di utenti.
   Per mappature ed e-mail, elimina i delimitatori dei commenti (//). Fai lo stesso per tutti gli altri attributi richiesti dal tuo pool di utenti Amazon Cognito. Per ulteriori informazioni, consulta Attributi del bacino d’utenza.
   Per nameIdentifierFormat, eliminare i delimitatori dei commenti ( //). Sostituisci il valore predefinito (urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified) with urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
6. (Facoltativo) Scegli Debug, quindi accedi come utente di prova che hai creato per confermare che la configurazione funzioni.
7. Scegli Abilita, quindi scegli Salva.

Ottenere i metadati IdP per l’applicazione Auth0

Nel Componente aggiuntivo: Nella finestra di dialogo SAML2 Web App, nella scheda Utilizzo, trova i metadati del provider di identità. Quindi, effettua una delle seguenti operazioni:

• Fai clic con il pulsante destro del mouse su Scarica, quindi copia l'URL.
• Scegli download per scaricare il file di metadati in formato.xml.

Configurare Auth0 come IdP SAML in Amazon Cognito

Per ulteriori informazioni, consulta Creazione e gestione di un provider di identità SAML per un bacino d'utenza. Segui le istruzioni riportate inPer configurare un provider di identità SAML 2.0 nel bacino d'utenza.

Quando crei l'IdP SAML, per Documento metadati, incolla l'URL dei metadati del provider di identità o carica il file di metadati .xml.

Mappare l'indirizzo e-mail dall'attributo IdP all'attributo del pool di utenti

Per ulteriori informazioni, consulta Specificazione di mappature degli attributi del provider di identità per il bacino d'utenza e segui le istruzioni riportate in Specificazione di mappatura di attributo del provider SAML.

Quando aggiungi un attributo SAML, per Attributo SAML, inserisci http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Per l’attributo del pool di utenti, scegli E-mail dall'elenco.

Modificare le impostazioni del client delle app in Amazon Cognito

1. Nella pagina di gestione della console Amazon Cognito per il tuo pool di utenti, in Integrazione delle app, seleziona Impostazioni del client dell'app. Quindi procedi come segue:
   In Provider di identità abilitati, seleziona le caselle di controllo Auth0 e Pool di utenti Cognito.
   Per URL di callback, inserisci un URL a cui desideri che gli utenti vengano reindirizzati dopo l'accesso. Per i test, puoi inserire qualsiasi URL valido, ad esempio https://www.amazon.com.
   Per URL di disconnessione, inserisci un URL a cui desideri che gli utenti vengano reindirizzati dopo la disconnessione. Per i test, puoi inserire qualsiasi URL valido, ad esempio https://www.amazon.com.
   In Flussi OAuth consentiti, assicurati di selezionare almeno la casella di controllo Concessione implicita.
   In Ambiti OAuth consentiti, assicurati di selezionare almeno le caselle di controllo e-mail e openid.
2. Scegli Salva modifiche.

Per ulteriori informazioni, consulta Terminologia delle impostazioni del client dell'app.

Test dell'endpoint di accesso

1. Inserisci questo URL nel tuo browser web: https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/login?response_type=token&client_id=<yourClientId>&redirect_uri=<redirectUrl>
   Nota: sostituisci yourDomainPrefix e region con i valori per il tuo pool di utenti. Puoi trovarli nella console Amazon Cognito nella scheda Nome dominio della pagina di gestione del tuo pool di utenti.
   Sostituisci yourClientId con l'ID del client dell'app e sostituisci redirectUrl con l'URL di callback del client dell'app. Puoi trovarli nella console Amazon Cognito nella scheda Impostazioni del client dell'app della pagina di gestione del tuo pool di utenti.
   Per ulteriori informazioni, consulta Come posso configurare l'interfaccia utente Web ospitata per Amazon Cognito? ed Endpoint Login.
2. Scegli Auth0.
   Nota: se vieni reindirizzato all'URL di callback del client dell'app, hai già effettuato l'accesso al tuo account Auth0 nel tuo browser. I token del pool di utenti vengono visualizzati nell'URL nella barra degli indirizzi del browser web.
3. Nella pagina di accesso dell'applicazione Auth0, inserisci l'e-mail e la password dell'utente di prova che hai creato.
4. Scegli Accedi.

Dopo aver effettuato l'accesso, verrai reindirizzato all'URL di callback del client dell'app. I token del pool di utenti vengono visualizzati nell'URL nella barra degli indirizzi del browser web.

Informazioni correlate

Integrazione di provider di identità SAML di terze parti con bacini d'utenza di Amazon Cognito

Flusso di autenticazione IdP del bacino d'utenza SAML

Come posso configurare un provider di identità SAML di terze parti con un pool di utenti Amazon Cognito?