Come posso integrare il Centro identità IAM con un pool di utenti di Amazon Cognito?

5 minuti di lettura
0

Desidero configurare il Centro identità AWS IAM (successore di AWS Single Sign-On) con un gestore dell'identità digitale di terze parti per il mio pool di utenti di Amazon Cognito.

Breve descrizione

I pool di utenti di Amazon Cognito consentono l'accesso tramite gestori dell'identità digitale di terze parti. Gli utenti possono utilizzare il Centro identità IAM per eseguire la federazione tramite il gestore dell'identità digitale Security Assertion Markup Language versione 2.0 (SAML 2.0). Per ulteriori informazioni, consulta Funzionamento dell'accesso federato nei pool di utenti di Amazon Cognito.

Un pool di utenti integrato con il Centro identità IAM consente agli utenti di ottenere token del pool di utenti da Amazon Cognito. Per ulteriori informazioni, consulta Utilizzo di token con pool di utenti.

Soluzione

Per integrare un pool di utenti di Amazon Cognito con il Centro identità IAM, effettua i seguenti passaggi.

Nota: se disponi già di un pool di utenti con un client dell'app, salta la sezione seguente.

Creazione di un pool di utenti Amazon Cognito con un client dell'app e un nome di dominio

1.    Crea un pool di utenti.

2.    Aggiungi un client dell'app e configura l'interfaccia utente Web ospitata.

3.    Aggiungi un nome di dominio per il tuo pool di utenti.

Nota: se disponi già di un ambiente del Centro identità IAM funzionante, salta la sezione seguente.

Attiva il Centro identità IAM e aggiungi un utente

1.    Prima di attivare il Centro identità IAM, esamina i prerequisiti e le considerazioni.

2.    Attiva il Centro identità IAM.

3.    Scegli l'origine dell'identità e crea un utente.

Configurazione di un'applicazione SAML dalla console del Centro identità IAM

1.    Apri la console del Centro identità IAM, quindi, nel riquadro di navigazione, scegli Applicazioni.

2.    Scegli Aggiungi applicazione e Aggiungi applicazione SAML 2.0 personalizzata, quindi scegli Avanti.

3.    Nella pagina Configura applicazione, inserisci un Nome visualizzato e una Descrizione.

4.    Copia l'URL del file di metadati SAML del Centro identità IAM o scegli il collegamento ipertestuale Scarica. Queste risorse vengono utilizzate nei passaggi successivi per creare un gestore dell'identità digitale in un pool di utenti.

5.    In Metadati dell'applicazione, scegli Digita manualmente i valori dei metadati. Fornisci quindi i seguenti valori.

Importante: assicurati di sostituire i valori domain-prefix, region e userpool-id con informazioni specifiche del tuo ambiente.

URL ACS (Application Assertion Consumer Service): https://<domain-prefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
Destinatari SAML dell'applicazione: urn:amazon:cognito:sp:<userpool-id>

6.    Scegli Invia. Quindi, vai alla pagina Dettagli dell'applicazione che hai aggiunto.

7.    Seleziona l'elenco a discesa Azioni e scegli Modifica mappature degli attributi. Quindi, fornisci i seguenti attributi.

Attributo utente nell'applicazione: oggetto
Nota: l'oggetto è precompilato.
Esegue la mappatura di questo valore di stringa o attributo utente nel Centro identità IAM: ${user:subject}
Formato: Persistente

Attributo utente nell'applicazione: e-mail
Esegue la mappatura di questo valore di stringa o attributo utente nel Centro identità IAM: ${user:email}
Formato: Base

Gli attributi mappati vengono inviati ad Amazon Cognito al momento dell'accesso. Assicurati che tutti gli attributi obbligatori del tuo pool di utenti siano mappati qui. Per ulteriori informazioni sugli attributi disponibili per la mappatura, consulta Supported IAM Identity Center attributes.

8.    Salva le modifiche.

9.    Scegli il pulsante Assegna utenti, quindi assegna l'utente all'applicazione.

Configurazione del Centro identità IAM come gestore dell'identità digitale SAML nel pool di utenti

1.    Configura un gestore dell'identità digitale SAML nel pool di utenti. Applica le seguenti impostazioni:

In Documento di metadati, fornisci l'URL dei metadati o carica il file scaricato nel passaggio 4 della sezione precedente. Per ulteriori informazioni, consulta Integrazione di provider di identità SAML di terze parti con pool di utenti di Amazon Cognito.

Inserisci il Nome del provider SAML. Per ulteriori informazioni, consulta Scelta dei nomi per i provider di identità SAML.

(Facoltativo) Inserisci eventuali identificatori SAML.

2.    Configura una mappatura degli attributi del provider SAML. Applica le seguenti impostazioni:

Nel campo Attributo SAML, fornisci un valore e-mail che corrisponda al valore dell'attributo utente fornito nel passaggio 7 della sezione precedente. Nel campo Attributo pool di utenti, seleziona E-mail nell'elenco a discesa.

Nota: aggiungi qualsiasi altro attributo configurato nel Centro identità IAM nel passaggio 7 della sezione precedente.

3.    Salva le modifiche.

Integrazione del gestore dell'identità digitale con il client dell'app del pool di utenti

1.    Accedi alla nuova console Amazon Cognito.

2.    Scegli Pool di utenti e seleziona un pool di utenti appropriato.

3.    Scegli la scheda Integrazione app, quindi scegli Lista del client dell'app.

4.    Seleziona il client dell'app appropriato.

5.    Nella sezione Interfaccia utente ospitata, scegli Modifica.

6.    Seleziona il gestore dell'identità digitale appropriato.

7.    Salva le modifiche.

Prova la configurazione

1.    Avvia un'interfaccia utente ospitata o crea l'URL dell'endpoint di accesso utilizzando il seguente modello di denominazione:

https://example_domain_prefix.auth.example_region.amazoncognito.com/login?response_type=token&client_id=example_client_id&redirect_uri=example_redirect_url

Ad esempio: https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com

In Tipi di concessione OAuth 2.0, scegli Concessione del codice di autorizzazione in modo che l'endpoint di accesso richieda ad Amazon Cognito di restituire i codici di autorizzazione quando gli utenti effettuano l'accesso. In Tipi di concessione OAuth 2.0, scegli Concessione implicita per Amazon Cognito per restituire i token di accesso quando gli utenti effettuano l'accesso. Quindi, sostituisci response_type=code con response_type=token nell'URL.

2.    Scegli Gestore dell'identità digitale IAM.

Il reindirizzamento all'URL di callback del client dell'app indica che hai già effettuato l'accesso come utente nel browser. I token del pool di utenti vengono visualizzati direttamente nell'URL della barra degli indirizzi del browser Web.

Nota: per saltare questo passaggio, crea un URL dell'endpoint autorizzato con il seguente modello di denominazione:
https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

3.    Inserisci le credenziali utente e scegli Accedi.

4.    Il reindirizzamento all'URL di callback che include un codice o un token di Amazon Cognito nella barra degli indirizzi del browser indica che la configurazione è completa.

Nota: Amazon Cognito supporta solo gli accessi avviati da provider del servizio (SP). È necessario utilizzare l'endpoint di accesso o l'endpoint di autorizzazione per testare la configurazione. Il lancio di un accesso avviato dal gestore dell'identità digitale con il portale di accesso AWS per il Centro identità IAM non funziona.

AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa