Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post

Como configurar o Okta como um provedor de identidades SAML em um grupo de usuários do Amazon Cognito?

9 minuto de leitura
0

Quero usar o Okta como um provedor de identidades (IdP) da Security Assertion Markup Language 2.0 (SAML 2.0) em um grupo de usuários do Amazon Cognito.

Breve descrição

Os grupos de usuários do Amazon Cognito permitem o login por meio de terceiros (federação), inclusive através de um IdP, como o Okta. Para obter mais informações, consulte Como adicionar acesso a grupo de usuários por meio de terceiros e Como adicionar provedores de identidade SAML a um grupo de usuários.

Um grupo de usuários integrado ao Okta permite que os usuários da sua aplicação Okta obtenham tokens de grupo de usuários do Amazon Cognito. Para obter mais informações, consulte Como usar tokens com grupos de usuários.

Resolução

Crie um grupo de usuários do Amazon Cognito com um cliente da aplicação e um nome de domínio

  1. Crie um grupo de usuários.
    Observação: durante a criação, o atributo padrão email é selecionado automaticamente. Para obter mais informações, consulte Atributos de grupo de usuários.
  2. Crie um cliente da aplicação no seu grupo de usuários. Para obter mais informações, consulte Adicionar um cliente da aplicação e configurar a interface do usuário hospedada.
    Observação: ao adicionar um cliente da aplicação, desmarque a caixa de seleção Gerar segredo do cliente. Em determinados fluxos de autorização, como o fluxo de concessão do código de autorização e o fluxo de atualização do token, os servidores de autorização usam um segredo do cliente da aplicação para autorizar que um cliente faça solicitações em nome de um usuário. Para o fluxo de concessão implícito usado nessa configuração, não é necessário um segredo do cliente da aplicação.
  3. Adicione um nome de domínio para seu grupo de usuários.

Inscreva-se para uma conta Okta Developer

Observação: se você já tem uma conta Okta Developer, faça login.

  1. Na página de login do Okta Developer insira as informações necessárias e selecione SIGN UP. A equipe do Okta Developer envia um e-mail de verificação para o endereço de e-mail fornecido.
  2. No e-mail de verificação, encontre as informações de login da sua conta. Selecione ACTIVATE MY ACCOUNT, faça login e conclua a criação da sua conta.

Crie uma aplicação SAML no Okta

  1. Abra o console do Okta Developer. Para obter mais informações, consulte o Okta's Redesigned Admin Console and Dashboard no site da Okta.
  2. No menu de navegação, expanda Applications e selecione Applications.
  3. Selecione Create App Integration.
  4. No menu Create a new app integration, selecione SAML 2.0 como Sign-in method.
  5. Selecione Next.

Para obter mais informações, consulte Prepare a SAML integration na guia Build a Single Sign-On (SSO) Integration no site do Okta Developer.

Configure a integração SAML para sua aplicação Okta

  1. Na página Create SAML Integration, em General Settings, insira um nome para sua aplicação.
  2. (Opcional) Carregue um logotipo e selecione as configurações de visibilidade da sua aplicação.
  3. Selecione Next.
  4. Em GENERAL, em Single sign on URL, insira https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
    Observação: substitua yourDomainPrefix e region pelos valores do seu grupo de usuários. Encontre esses valores no console do Amazon Cognito na página Nome de domínio do grupo de usuários.
  5. Em Audience URI (SP Entity ID) insira urn:amazon:cognito:sp:yourUserPoolId.
    Observação: substitua yourUserPoolId pelo ID do seu grupo de usuários do Amazon Cognito. Encontre esse valor no console do Amazon Cognito na página de Configurações gerais do grupo de usuários.
  6. Em ATTRIBUTE STATEMENTS (OPTIONAL) adicione uma declaração com as seguintes informações:
    Em Name insira o nome do atributo do SAML http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    Em Value insira user.email.
  7. Para todas as outras configurações na página, deixe-as com seus valores padrão ou defina-as de acordo com suas preferências.
  8. Selecione Next.
  9. Selecione uma resposta de feedback para o suporte do Okta.
  10. Selecione Finish.

Para obter mais informações, consulte Create your integration na guia Build a Single Sign-On (SSO) Integration no site do Okta Developer.

Atribua um usuário para a sua aplicação Okta

  1. Na guia Assignments da sua aplicação Okta, em Assign selecione Assign to People.
  2. Selecione Assign ao lado do usuário que você deseja atribuir.
    Observação: caso a conta seja nova, a única opção disponível é escolher você mesmo (o administrador) como usuário.
  3. (Opcional) Em User Name, insira um nome de usuário ou deixe o endereço de e-mail do usuário, se quiser.
  4. Selecione Save and Go Back. Seu usuário está atribuído.
  5. Selecione Done.

Para obter mais informações, consulte Assign users na guia Build a Single Sign-On (SSO) Integration no site do Okta Developer.

Obtenha os metadados do IdP da sua aplicação Okta

Na guia Login da sua aplicação Okta, encontre o hiperlink de Identity Provider metadata. Clique com o botão direito do mouse no hiperlink e copie o URL.

Para obter mais informações, consulte Specify your integration settings na guia Build a Single Sign-On (SSO) Integration no site do Okta Developer.

Configure o Okta como um IdP SAML no seu grupo de usuários

  1. No console do Amazon Cognito selecione Gerenciar grupos de usuários e, em seguida, selecione seu grupo de usuários.
  2. No painel de navegação esquerdo, em Federação, selecione Provedores de identidades.
  3. Selecione SAML.
  4. Em Documento de metadados cole o URL de Metadados do provedor de identidades copiado.
  5. Em Nome do provedor insira Okta. Para obter mais informações, consulte Como escolher nomes do provedor de identidade SAML.
  6. (Opcional) Insira qualquer identificador SAML (Identificadores (Opcional)) e ative a saída do IdP (Okta) quando seus usuários saírem do seu grupo de usuários.
  7. Selecione Criar provedor.

Para obter mais informações, consulte Como criar e gerenciar um provedor de identidade SAML para um grupo de usuários (AWS Management Console).

Mapeie o endereço de e-mail do atributo IdP para o atributo do grupo de usuários

  1. No console do Amazon Cognito selecione Gerenciar grupos de usuários e, em seguida, selecione seu grupo de usuários.
  2. No painel de navegação esquerdo, em Federação selecione Mapeamento de atributos.
  3. Na página de mapeamento de atributos, escolha a guia SAML.
  4. Selecione Adicionar atributo SAML.
  5. Para o atributo SAML insira o nome do atributo SAML http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
  6. Em Atributo do grupo de usuários selecione E-mail na lista.

Para obter mais informações, consulte Como especificar mapeamentos de atributos do provedor de identidade para seu grupo de usuários.

Altere as configurações do cliente da aplicação para seu grupo de usuários

  1. No console do Amazon Cognito selecione Gerenciar grupos de usuários e, em seguida, selecione seu grupo de usuários.
  2. No painel de navegação esquerdo, em Integração de aplicações, escolha Configurações do cliente da aplicação.
  3. Na página do cliente da aplicação, faça o seguinte:
    Em Provedores de identidades habilitados, marque as caixas de seleção Okta e Grupo de usuários do Cognito.
    Em URLs de retorno de chamada, insira um URL para a qual você deseja que seus usuários sejam redirecionados após o login. Para testar, insira qualquer URL válido, como https://www.exemplo.com/.
    Em URLs de saída, insira um URL para a qual você deseja que seus usuários sejam redirecionados depois que saírem. Para testar, insira qualquer URL válido, como https://www.exemplo.com/.
    Em Fluxos OAuth permitidos, certifique-se de marcar pelo menos a caixa de seleção Concessão implícita.
    Em Escopos OAuth permitidos, certifique-se de marcar pelo menos as caixas de seleção email e openid.
  4. Escolha Salvar alterações.

Para obter mais informações, consulte Terminologia das configurações do cliente da aplicação.

Estruture o URL do endpoint

Usando valores do seu grupo de usuários, estruture este URL do endpoint de login: https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl

Certifique-se de fazer o seguinte:

  • Substitua yourDomainPrefix e region pelos valores do seu grupo de usuários. Encontre esses valores no console do Amazon Cognito na página Nome de domínio do grupo de usuários.
  • Substitua yourClientId pelo ID do seu cliente da aplicação e substitua redirectUrl pelo URL de retorno de chamada do seu cliente da aplicação. Encontre esses valores no console do Amazon Cognito na página Configurações do cliente de aplicação do seu grupo de usuários.

Para obter mais informações, consulte How do I configure the hosted web UI for Amazon Cognito? e Endpoint de login.

Teste o URL do endpoint

  1. Insira o URL do endpoint de login estruturado no seu navegador.
  2. Na página da Web do endpoint de login, selecione Okta.
    Observação: se você for redirecionado para o URL de retorno de chamada do seu cliente de aplicação, você já estará conectado à sua conta Okta no navegador. Os tokens do grupo de usuários aparecem no URL na barra de endereço do seu navegador.
  3. Na página de Login do Okta, insira o nome de usuário e a senha do usuário que você atribuiu para a sua aplicação.
  4. Selecione Entrar.

Depois de fazer login, você é redirecionado para o URL de retorno de chamada do seu cliente da aplicação. Os tokens do grupo de usuários aparecem no URL na barra de endereço do seu navegador.

(Opcional) Ignore a interface de usuário hospedada do Amazon Cognito

Se você quiser que seus usuários ignorem a interface de usuário da web hospedada do Amazon Cognito ao fazer login na sua aplicação, use este URL de endpoint:

https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

Certifique-se de fazer o seguinte:

  • Substitua yourDomainPrefix e region pelos valores do seu grupo de usuários. Encontre esses valores no console do Amazon Cognito na página Nome de domínio do grupo de usuários.
  • Substitua samlProviderName pelo nome do provedor SAML em seu grupo de usuários (Okta).
  • (Opcional) Se você adicionou um identificador para seu IdP SAML anteriormente no campo Identificadores (opcional), substitua identity_provider=samlProviderName por idp_identifier=idpIdentifier, substituindo idpIdentifier pela sua string de identificação personalizada.
  • Substitua yourClientId pelo ID do seu cliente da aplicação e substitua redirectUrl pelo URL de retorno de chamada do seu cliente da aplicação. Encontre esses valores no console do Amazon Cognito na página Configurações do cliente de aplicação do seu grupo de usuários.
  • Substitua allowedOauthScopes pelos escopos específicos que você deseja que seu cliente da aplicação do Amazon Cognito solicite. Por exemplo, scope=email+openid.

Para obter mais informações, consulte How do I configure the hosted web UI for Amazon Cognito? e Autorizar endpoint.

Informações relacionadas

Fluxo de autenticação do IdP do grupo de usuários do SAML

Como faço para configurar um provedor de identidade SAML terceirizado com um grupo de usuários do Amazon Cognito?

How do I set up Okta as an OpenID Connect identity provider in an Amazon Cognito user pool?

Tópicos
Segurança, identidade e conformidade
Tags
Amazon Cognito
Idioma
Português

Vídeos relacionados

Assista ao vídeo de Kashif para saber mais (6:21)
Assista ao vídeo de Kashif para saber mais (6:21)
AWS OFICIAL
AWS OFICIALAtualizada há 6 meses

Conteúdo relevante