Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post

Como configuro um Application Load Balancer para autenticar usuários por meio de um grupo de usuários do Amazon Cognito?

6 minuto de leitura
0

Quero integrar um Application Load Balancer a um grupo de usuários do Amazon Cognito para autenticação de usuários.

Breve descrição

Para gerenciar e autenticar usuários, você pode integrar um Application Load Balancer a um grupo de usuários do Amazon Cognito. Para configurar a autenticação do usuário com um Application Load Balancer e um grupo de usuários do Amazon Cognito, conclua as seguintes etapas:

1.    Crie um Application Load Balancer e obtenha seu nome DNS.

2.    Crie e configure um grupo de usuários do Amazon Cognito.

3.    Configure o Application Load Balancer.

4.    Teste a configuração.

Resolução

Para configurar um Application Load Balancer e um grupo de usuários do Amazon Cognito para autenticar seus usuários do aplicativo, conclua as etapas a seguir.

Criar um Application Load Balancer

Observação: Se você já configurou um Application Load Balancer, vá para a próxima seção.

1.    Crie um Application Load Balancer voltado para a Internet.

2.    Crie um ouvinte HTTPS para seu Application Load Balancer.

Observação: Somente ouvintes HTTPS oferecem suporte aos tipos de ação da regra authenticate-cognito e authenticate-oidc.

Obtenha o nome DNS do seu Application Load Balancer

1.    Abra o console do Amazon Elastic Compute Cloud (Amazon EC2).

2.    No painel de navegação, em Balanceamento de carga, escolha Balanceadores de carga.

3.    Selecione seu Application Load Balancer.

4.    Na guia Descrição, copie e salve o nome DNS do seu balanceador de carga. Use esse nome DNS para acessar o URL do endpoint do Application Load Balancer para teste.

Crie e configure um grupo de usuários do Amazon Cognito

1.    Crie um grupo de usuários do Amazon Cognito com um aplicativo cliente. Ao configurar o aplicativo cliente, selecione o botão de rádio Gerar um segredo do cliente.

Para obter mais informações, consulte Prepare-se para usar o Amazon Cognito.

Observação: Ao criar o grupo de usuários, defina as configurações desejadas para a produção. Depois de criar o grupo de usuários, você não pode alterar algumas configurações do grupo de usuários. Por exemplo, você não pode alterar os atributos padrão necessários para o registro do usuário.

2.    Abra o console do Amazon Cognito.

3.    No painel de navegação, escolha Grupos de usuários e selecione seu grupo de usuários. Copie e salve o ID do grupo de usuários. Use esse ID para configurar seu Application Load Balancer para autenticação do usuário.

4.    Escolha a guia Integração de aplicativos para seu grupo de usuários e, em seguida, adicione um domínio para seu grupo de usuários.

5.    Na guia Integração de aplicativos do seu grupo de usuários, navegue até a seção Clientes e análises de aplicativos. Em seguida, selecione seu aplicativo cliente.

6.    Na página do aplicativo cliente, em Informações do aplicativo cliente, copie e salve o ID do cliente. Use esse ID para configurar seu Application Load Balancer para autenticação do usuário.

7.    Na seçãoHosted UI, escolha Editar.

8.    Escolha Adicionar URL de retorno de chamada e, em seguida, digite https://loadBalancerDNSName/oauth2/idpresponse.

-ou-

Se você usou um registro CNAME para mapear um domínio personalizado para seu Application Load Balancer, digite https://CNAME/oauth2/idpresponse.

Observação: Substitua loadBalancerDNSName pelo nome DNS que você copiou do console do Amazon EC2. Se você estiver usando um registro CNAME, substitua CNAME pelo seu domínio personalizado.

9.    Escolha Adicionar URL de saída e insira um URL para o qual você deseja redirecionar seus usuários depois que eles saírem. Para testar, você pode inserir qualquer URL válido, como https://example.com/.

10.    Para provedores de identidade, marque a caixa de seleção do grupo de usuários do Cognito.

11.    Em Tipos de concessão do OAuth 2.0, marque a caixa de seleção Concessão do código de autorização. Selecione quaisquer tipos adicionais de subsídios do OAuth de acordo com seus requisitos.

12.    Nos escopos do OpenID Connect, marque a caixa de seleção OpenID. O escopo do OpenID retorna um token de ID. Selecione qualquer escopo adicional do OpenID Connect (OIDC) de acordo com seus requisitos.

13.    Escolha Salvar alterações.

Para obter mais informações, consulte Configurar um aplicativo cliente de grupo de usuários e Adicionar login de grupo de usuários por meio de terceiros.

Configure seu Application Load Balancer

1.    Abra o console do Amazon EC2.

2.    No painel de navegação, em Balanceamento de carga, escolha Balanceadores de carga.

3.    Selecione seu Application Load Balancer.

4.    Na guia Receptores, selecione a regra padrão do ouvinte HTTPS que você deseja atualizar e escolha Ações, Gerenciar regras.

5.    Edite a regra padrão do ouvinte HTTPS com as seguintes configurações:

  • Para ENTÃO, escolha Adicionar ação.
  • Escolha Autenticar.
  • Para Autenticar, escolha Amazon Cognito.
  • Para o grupo de usuários, insira o ID do grupo de usuários que você copiou do console do Amazon Cognito.
  • Para o aplicativo cliente, insira o ID do cliente que você copiou do console do Amazon Cognito.
  • Expanda as configurações avançadas.
  • Em Escopo, insira os escopos que você configurou para o aplicativo cliente de grupo de usuários, separados por espaços. Você pode encontrar os escopos na configuração OIDC do seu grupo de usuários. Por exemplo, se o valor scopes_supported na configuração for ["openid”, "email”, "phone”, "profile"], insira o perfil de telefone de e-mail openid.
  • Escolha o ícone da marca de seleção.

6.    Continue editando a regra padrão do ouvinte HTTPS com as seguintes configurações:

  • Para ENTÃO, escolha Adicionar ação.
    Observação: Se você não puder escolher Adicionar ação, use o ícone da lixeira para excluir a ação de roteamento existente, como Redirecionar para. Em seguida, tente novamente.
  • Escolha Encaminhar para.
  • Em Encaminhar para, escolha um ou mais grupos-alvo.
  • (Opcional) Configure a aderência em nível de grupo.
  • Escolha o ícone da marca de seleção.

7.    Escolha Atualizar para atualizar a regra padrão do ouvinte HTTPS.

Teste a configuração

Em seu navegador, insira um dos seguintes URLs:

  • https://loadBalancerDNSName/
  • https://CNAME/

Observação: Substitua loadBalancerDNSName pelo nome DNS que você copiou do console do Amazon EC2. Ou substitua o CNAME pelo seu domínio personalizado. Você é redirecionado para a interface web hospedada pelo Amazon Cognito para seu grupo de usuários. Depois que os usuários fazem login e o grupo de usuários os autentica, os usuários são redirecionados para o destino.

Informações relacionadas

Introdução ao Application Load Balancers

Simplifique o login com a autenticação integrada do Application Load Balancer

Regras do ouvinte para seu Application Load Balancer

Fluxo de autenticação IdP do grupo de usuários do OIDC

Tópicos
Segurança, identidade e conformidade
Tags
Amazon Cognito
Idioma
Português
AWS OFICIAL
AWS OFICIALAtualizada há um ano

Conteúdo relevante