Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # SAML-Benutzer mit Single Sign-Out abmelden Amazon Cognito unterstützt SAML 2.0 [Single Logout](http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0-cd-02.html#5.3.Single%20Logout%20Profile|outline) (SLO). Mit SLO kann Ihre Anwendung Benutzer von ihren SAML-Identitätsanbietern (IdPs) abmelden, wenn sie sich aus Ihrem Benutzerpool abmelden. Auf diese Weise müssen sich Benutzer, wenn sie sich erneut bei Ihrer Anwendung anmelden möchten, mit ihrem SAML-IdP authentifizieren. Andernfalls verfügen sie möglicherweise über IdP- oder Benutzerpool-Browser-Cookies, die sie an Ihre Anwendung weiterleiten, ohne dass sie Anmeldeinformationen angeben müssen. Wenn Sie Ihren SAML-IdP so konfigurieren, dass **er den Abmeldefluss** unterstützt, leitet Amazon Cognito Ihren Benutzer mit einer signierten SAML-Abmeldeanfrage an Ihren IdP weiter. Amazon Cognito bestimmt den Ort der Weiterleitung anhand der `SingleLogoutService` URL in Ihren IdP-Metadaten. Amazon Cognito signiert die Abmeldeanforderung mit Ihrem Benutzerpool-Signaturzertifikat. ![Authentifizierungsflussdiagramm der Amazon Cognito SAML-Abmeldung. Der Benutzer fordert die Abmeldung an und Amazon Cognito leitet ihn mit einer SAML-Abmeldeanfrage an seinen Anbieter weiter.](http://docs.aws.amazon.com/de_de/cognito/latest/developerguide/images/scenario-authentication-saml-sign-out.png) Wenn Sie einen Benutzer mit einer SAML-Sitzung an Ihren `/logout` Benutzerpool-Endpunkt weiterleiten, leitet Amazon Cognito Ihren SAML-Benutzer mit der folgenden Anfrage an den SLO-Endpunkt weiter, der in den IdP-Metadaten angegeben ist. ``` https://{{[SingleLogoutService endpoint]}}? SAMLRequest={{[encoded SAML request]}}& RelayState={{[RelayState]}}& SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256& Signature={{[User pool RSA signature]}} ``` Ihr Benutzer kehrt dann mit einem `LogoutResponse` von seinem IdP zu Ihrem `saml2/logout` Endpunkt zurück. Ihr IdP muss eine `HTTP POST` Anfrage einreichen. `LogoutResponse` Amazon Cognito leitet sie dann von ihrer ursprünglichen Abmeldeanfrage an das Weiterleitungsziel weiter. Ihr SAML-Anbieter sendet möglicherweise eine `LogoutResponse` mit mehr als einer`AuthnStatement`. Das `sessionIndex` in der ersten Antwort dieses Typs muss mit dem `AuthnStatement` `sessionIndex` in der SAML-Antwort, mit der der Benutzer ursprünglich authentifiziert wurde, übereinstimmen. Wenn `sessionIndex` sich das in einem anderen befindet`AuthnStatement`, erkennt Amazon Cognito die Sitzung nicht und Ihr Benutzer wird nicht abgemeldet. ------ #### [ AWS-Managementkonsole ] **Um die SAML-Abmeldung zu konfigurieren** 1. Erstellen Sie einen [Benutzerpool, einen](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html) [App-Client](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-configuring-app-integration.html) und einen SAML-IdP. 1. Wenn Sie Ihren SAML-Identitätsanbieter erstellen oder bearbeiten, aktivieren Sie unter **Informationen zum Identitätsanbieter** das Kästchen mit dem Titel Abmeldefluss **hinzufügen**. 1. Wählen Sie im Menü **Soziale Netzwerke und externe Anbieter** Ihres Benutzerpools Ihren IdP aus und suchen Sie das **Signaturzertifikat**. 1. Wählen Sie **Als .crt herunterladen**. 1. Konfigurieren Sie Ihren SAML-Anbieter so, dass er SAML Single Logout und Request Signing unterstützt, und laden Sie das Benutzerpool-Signaturzertifikat hoch. Ihr IdP muss zu `/saml2/logout` Ihrer Benutzerpool-Domain weiterleiten. ------ #### [ API/CLI ] **Um die SAML-Abmeldung zu konfigurieren** Konfigurieren Sie Single Logout mit dem `IDPSignout` Parameter einer [CreateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateIdentityProvider.html)oder [UpdateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateIdentityProvider.html)API-Anfrage. Im Folgenden finden Sie ein Beispiel für einen IdP, `ProviderDetails` der SAML Single Logout unterstützt. ``` "ProviderDetails": { "MetadataURL" : "{{https://myidp.example.com/saml/metadata}}", "IDPSignout" : "{{true}}",, "RequestSigningAlgorithm" : "rsa-sha256", "EncryptedResponses" : "{{true}}", "IDPInit" : "{{true}}" } ``` ------