Como configuro o Auth0 como um provedor de identidade SAML com um grupo de usuários do Amazon Cognito?

Breve descrição

Grupos de usuários do Amazon Cognito permitem o login por meio de terceiros (federação), inclusive por meio de um IdP SAML, como o Auth0. Para mais informações, consulte Adicionar login ao grupo de usuários por meio de terceiros e Adicionar provedores de identidade SAML a um grupo de usuários.

Um grupo de usuários integrado ao Auth0 permite que os usuários na sua aplicação Auth0 obtenham tokens de grupos de usuários do Amazon Cognito. Para mais informações, consulte Como usar tokens com grupos de usuários.

Para configurar o Auth0 como IdP SAML, você precisa de um grupo de usuários do Amazon Cognito com um cliente de aplicação e nome de domínio e uma conta Auth0 com uma aplicação Auth0.

Resolução

Criar um grupo de usuários do Amazon Cognito com um cliente de aplicação e nome de domínio

Para obter mais informações, consulte as informações a seguir:

• Tutorial: Criar um grupo de usuários
  Observação: ao criar um grupo de usuários, o atributo padrão email é selecionado por padrão. Para mais informações sobre atributos de grupos de usuários, consulte Atributos de grupos de usuários.
• Configurar a interface de usuário hospedada com o console do Amazon Cognito
  Observação: ao adicionar um cliente de aplicação, você pode desmarcar a caixa de seleção Gerar segredo do cliente. Não é necessário um segredo de cliente de aplicação, e seu uso impede que o SDK JavaScript do Amazon Cognito (navegador) autentique usuários.
• Adicionar um nome de domínio ao grupo de usuários

Inscrever-se em uma conta Auth0

Insira seu endereço de e-mail e uma senha na página de inscrição do Auth0 para começar. Se você já tem uma conta, faça login.

Criar uma aplicação Auth0

1. No painel do site do Auth0, escolha Aplicações e depois Criar aplicação.
2. Na caixa de diálogo Criar aplicação, insira um nome para sua aplicação. Por exemplo, Minha aplicação.
3. Em Escolher um tipo de aplicação, escolha Aplicações Web de página única.
4. Escolha Criar.

Criar um usuário de teste para sua aplicação Auth0

1. Na barra de navegação esquerda, escolha Gerenciamento de usuários e depois Usuários.
2. Escolha Criar seu primeiro usuário. Ou, se esse não for seu primeiro usuário, escolha Criar usuário.
3. Na caixa de diálogo Criar usuário, insira um e-mail e uma senha para o usuário.
4. Escolha Salvar.

Definir configurações de SAML para sua aplicação

1. Na barra de navegação esquerda, escolha Aplicações.
2. Escolha o nome da aplicação que você criou.
3. Na guia Complementos, ative a Aplicação Web SAML2.
4. Na caixa de diálogo Complemento: Aplicação Web SAML2, na guia Configurações, para URL de retorno de chamada da aplicação, insira: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Observação: substitua yourDomainPrefix e region pelos valores do seu grupo de usuários. Eles podem ser encontrados no console do Amazon Cognito, na guia Nome do domínio da página de gerenciamento do seu grupo de usuários.
   -ou-
   Insira uma URL personalizada de retorno de chamada de domínio semelhante ao seguinte: https//yourCustomDomain/saml2/idpresponse. Para obter mais informações, consulte Adicionar um domínio personalizado a um grupo de usuários.
5. Em Configurações, faça o seguinte:
   Para audience, exclua o delimitador de comentários (//) e substitua o valor padrão (urn:foo) por urn:amazon:cognito:sp:yourUserPoolId.
   Observação: substitua yourUserPoolId pelo ID do grupo de usuários do Amazon Cognito. Encontre o ID no console do Amazon Cognito na guia Configurações gerais da página de gerenciamento do seu grupo de usuários.
   Para mappings e email, exclua os delimitadores de comentários (//). Faça o mesmo com qualquer outro atributo exigido pelo seu grupo de usuários do Amazon Cognito. Para mais informações, consulte Atributos de grupos de usuários.
   Para nameIdentifierFormat, exclua os delimitadores de comentários (//). Substitua o valor padrão (urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified) por urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
6. (Opcional) Escolha Depurar e, em seguida, faça login como o usuário de teste que você criou para confirmar se a configuração funciona.
7. Escolha Habilitar e depois Salvar.

Obter os metadados do IdP para sua aplicação Auth0

Na caixa de diálogo Complemento: Aplicação Web SAML2, na guia Uso, localize Metadados do provedor de identidade. Em seguida, faça o seguinte:

• Clique com o botão direito do mouse em download e copie o URL.
• Escolha download para baixar o arquivo de metadados .xml.

Configurar o Auth0 como IdP SAML no Amazon Cognito

Para mais informações, consulte Criar e gerenciar um provedor de identidade SAML para um grupo de usuários. Siga as instruções em Para configurar um provedor de identidade SAML 2.0 no seu grupo de usuários.

Ao criar o IdP SAML, em Documento de metadados, cole a URL de Metadados do provedor de identidade ou carregue o arquivo de metadados .xml.

Mapear o endereço de e-mail do atributo IdP para o atributo do grupo de usuários

Para mais informações, consulte Especificar mapeamentos de atributos do provedor de identidade para seu grupo de usuários e siga as instruções em Para especificar um mapeamento de atributos do provedor SAML.

Ao adicionar um atributo SAML, em Atributo SAML, insira http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Em Atributo do grupo de usuários, escolha E-mail na lista.

Alterar as configurações do cliente da aplicação no Amazon Cognito

1. Na página de gerenciamento do console do Amazon Cognito do seu grupo de usuários, em Integração de aplicações, escolha Configurações do cliente do aplicação. Então, faça o seguinte:
   Em Provedores de identidade habilitados, marque as caixas de seleção Auth0 e Pool de usuários do Cognito.
   Em URL(s) de retorno de chamada, insira um URL para o qual você deseja que seus usuários sejam redirecionados após o login. Para testar, você pode inserir qualquer URL válida, como https://www.amazon.com.
   Em URL(s) de saída, insira um URL para o qual você deseja que seus usuários sejam redirecionados após o logout. Para testar, você pode inserir qualquer URL válida, como https://www.amazon.com.
   Em Fluxos OAuth permitidos, certifique-se de marcar pelo menos a caixa de seleção Concessão implícita.
   Em Escopos OAuth permitidos, certifique-se de marcar pelo menos as caixas de seleção email e openid.
2. Escolha Salvar alterações.

Para mais informações, consulte Terminologia das configurações do cliente da aplicação.

Testar o endpoint de login

1. Insira este URL no navegador: https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/login?response_type=token&client_id=<yourClientId>&redirect_uri=<redirectUrl>
   Observação: substitua yourDomainPrefix e region pelos valores do seu grupo de usuários. Eles podem ser encontrados no console do Amazon Cognito, na guia Nome do domínio da página de gerenciamento do seu grupo de usuários.
   Substitua yourClientId pelo ID do seu cliente de aplicação e substitua redirectUrl pelo URL de retorno de chamada do seu cliente de aplicação. Eles podem ser encontrados no console do Amazon Cognito, na guia Configurações do cliente de aplicação da página de gerenciamento do seu grupo de usuários.
   Para mais informações, consulte Como configurar a interface de usuário da Web hospedada para o Amazon Cognito? e Fazer login no terminal.
2. Escolha Auth0.
   Observação: se você for redirecionado para o URL de retorno de chamada do seu cliente de aplicação, significa que já está conectado à sua conta Auth0 no navegador. Os tokens de grupos de usuários aparecem na URL na barra de endereço do seu navegador.
3. Na página de login da sua aplicação Auth0, insira o e-mail e a senha do usuário de teste que você criou.
4. Selecione Log in.

Depois de fazer login, você será redirecionado para o URL de retorno de chamada do seu cliente de aplicação. Os tokens de grupos de usuários aparecem na URL na barra de endereço do seu navegador.

Informações relacionadas

Integrar provedores de identidade SAML de terceiros com grupos de usuários do Amazon Cognito

Fluxo de autenticação do IdP do grupo de usuários do SAML

Como configuro um provedor de identidade SAML terceirizado com um grupo de usuários do Amazon Cognito?