Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

Come faccio a configurare AD FS come provider di identità SAML con un pool di utenti Amazon Cognito?

4 minuti di lettura
0

Desidero utilizzare Active Directory Federation Services (AD FS) come provider di identità (IdP) Security Assertion Markup Language 2.0 (SAML 2.0) con un pool di utenti Amazon Cognito. Come posso configurarlo?

Breve descrizione

I pool di utenti di Amazon Cognito consentono l'accesso tramite una terza parte (federazione), anche tramite un provider di identità SAML come AD FS. Per ulteriori informazioni, consulta Aggiunta di un accesso al bacino d'utenza tramite terze parti e Aggiunta di provider di identità SAML a un bacino d'utenza.

Puoi configurare un server AD FS e un controller di dominio in un'istanza Amazon Elastic Compute Cloud (Amazon EC2) per Windows e quindi integrare la configurazione con il pool di utenti utilizzando l'Interfaccia utente Web ospitata di Amazon Cognito.

Importante: per questa soluzione, è necessario un nome di dominio di tua proprietà. Se non possiedi un dominio, puoi registrare un nuovo dominio con Amazon Route 53 o un altro servizio DNS (Domain Name System).

Risoluzione

Creazione di un pool di utenti Amazon Cognito con un client di app

Per ulteriori informazioni, consulta Tutorial: creazione di un bacino d'utenza e Configurazione dell'interfaccia utente ospitata con la console Amazon Cognito.

Nota: quando si crea un pool di utenti, l'attributo standard email è selezionato per impostazione predefinita. Per ulteriori informazioni sugli attributi del pool di utenti, consulta Attributi del bacino d'utenza.

Configurazione di un'istanza EC2 per Windows

Configura e avvia un'istanza EC2 per Windows, quindi configura un server AD FS e un controller di dominio nell’istanza. Per ulteriori informazioni, consulta How do I set up AD FS on an Amazon EC2 Windows instance to work with federation for an Amazon Cognito user pool?

Configurazione del server AD FS come provider di identità SAML in Amazon Cognito

Per ulteriori informazioni, consulta Creazione e gestione di un provider di identità SAML per un bacino d'utenza (AWS Management Console) e segui la procedura Per configurare un provider di identità SAML 2.0 nel bacino d'utenza.

Quando crei il provider di identità SAML, incolla in Documento di metadati l'URL dell'endpoint del documento di metadati o carica il file di metadati .xml.

Mappatura dell'indirizzo e-mail dall'attributo dell’IdP all'attributo del pool di utenti

Per ulteriori informazioni, consulta Specificazione di mappature degli attributi del provider di identità per il bacino d'utenza e segui la procedura Specificazione di mappatura di attributo del provider SAML.

Quando aggiungi un attributo SAML, inserisci http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress in Attributo SAML. In Attributo pool di utenti, scegli Email nell'elenco.

Modifica delle impostazioni del client di app in Amazon Cognito

  1. Nella pagina di gestione del pool di utenti nella console Amazon Cognito, in Integrazione app, seleziona Impostazioni del client di app. Quindi, procedi come segue:
    In Provider di identità abilitati, seleziona la casella di controllo del provider di identità SAML che hai configurato. Ad esempio, ADFS.
    In URL di callback, inserisci l’URL a cui desideri che gli utenti vengano reindirizzati dopo l'accesso.
    In URL di disconnessione, inserisci l’URL a cui desideri che gli utenti vengano reindirizzati dopo la disconnessione.
    In Flussi OAuth consentiti, seleziona la casella di controllo Concessione del codice di autorizzazione e Concessione implicita.
    In Ambiti OAuth consentiti, seleziona tutte le caselle di controllo.
  2. Scegli Salva modifiche. Per ulteriori informazioni, consulta Terminologia delle impostazioni del client dell'App.

Prova della configurazione utilizzando l'interfaccia utente Web ospitata da Amazon Cognito

  1. Inserisci questo URL nel tuo browser Web: https://domainNamePrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=appClientId&redirect_uri=https://www.example.com Nota: per l’URL, usa i valori del tuo pool di utenti e del client di app. Trova il dominio (incluso il prefisso del nome di dominio e la Regione AWS) del tuo pool di utenti nella pagina Integrazione app della console Amazon Cognito. Trova l'ID del client in Impostazioni del client di app. Sostituisci https://www.example.com con l'URL di callback del tuo provider di identità SAML.
  2. Scegli il nome del provider di identità SAML che hai configurato. Verrai reindirizzato alla pagina di autenticazione AD FS.
  3. In Accedi con l’account aziendale, inserisci il nome utente e la password di Active Directory.
  4. Scegli Accedi. Se l'accesso ha esito positivo, Amazon Cognito restituisce i token del pool di utenti e una risposta SAML corretta. Per ulteriori informazioni sulla visualizzazione della risposta SAML, consulta Come visualizzare una risposta SAML nel browser per la risoluzione dei problemi. Nota: una volta decodificata, la risposta SAML deve includere l'attributo NameID richiesto.

Informazioni correlate

Building ADFS federation for your web app using Amazon Cognito user pools

Integrazione di provider di identità SAML di terze parti con bacini d'utenza di Amazon Cognito

Flusso di autenticazione IdP del bacino d'utenza SAML

Come posso configurare un provider di identità SAML di terze parti con un pool di utenti Amazon Cognito?

Argomenti
Sicurezza, identità e conformità
Tag
Amazon Cognito
Lingua
Italiano

Video correlati

Guarda il video di Sarthak per saperne di più (5:35)
Guarda il video di Sarthak per saperne di più (5:35)
AWS UFFICIALE
AWS UFFICIALEAggiornata 3 anni fa

Contenuto pertinente