Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Démarrage avec les groupes d'utilisateurs
<a name="getting-started-user-pools"></a>

Vous avez une application qui nécessite une authentification et un contrôle d'accès. Vous pouvez utiliser le framework OpenID Connect (OIDC) pour l'authentification unique (SSO). Amazon Cognito dispose d'outils permettant de gérer la logique d'authentification dans le back-end de l'application à l'aide d'un AWS SDK et d'appeler un navigateur dans votre client pour accéder à un serveur d'autorisation géré.

La console Amazon Cognito vous guide tout au long de la création d'un groupe d'utilisateurs en fonction de votre infrastructure d'application préférée. À partir de là, vous pouvez continuer à ajouter des fonctionnalités telles que la connexion fédérée avec des fournisseurs [sociaux](tutorial-create-user-pool-social-idp.md) externes ou des fournisseurs d'identité [SAML 2.0 ()](tutorial-create-user-pool-saml-idp.md). IdPs Les modèles d'application de la console Amazon Cognito reposent sur l'ajout de bibliothèques OIDC à votre projet et sur l'appel d'un navigateur.

Alors que vous vous efforcez d'étendre votre ensemble de fonctionnalités et d'intégrer davantage de composants d'Amazon Cognito, lisez le chapitre sur les groupes [d'utilisateurs Amazon Cognito](cognito-user-pools.md) pour obtenir une description complète de tout ce que vous pouvez faire avec les groupes d'utilisateurs.

Les exemples présentés dans ce chapitre et dans la console Amazon Cognito illustrent une intégration de base des ressources de l'application avec les groupes d'utilisateurs Amazon Cognito. Plus tard, vous pourrez ajuster votre groupe d'utilisateurs pour utiliser davantage d'options à votre disposition. Vous pouvez ensuite mettre à jour votre application pour adopter de nouvelles fonctionnalités et interagir avec IdPs.

Si vous ne souhaitez pas utiliser les [pages de connexion gérées](cognito-terms.md#terms-managedlogin), vous pouvez créer une application avec des interfaces d'authentification personnalisées à l'aide d'un AWS SDK ou. AWS Amplify Les applications que vous créez de cette manière interagissent avec l'[API des groupes d'utilisateurs](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/Welcome.html) et ne conviennent que pour authentifier [les utilisateurs locaux](cognito-terms.md#terms-localuser). Pour en savoir plus sur ce modèle d'authentification, rendez-vous sur[Autres options d'application](getting-started-user-pools-application-other-options.md).

**Topics**
+ [Création d'une nouvelle application dans la console Amazon Cognito](getting-started-user-pools-application.md)
+ [Autres options d'application](getting-started-user-pools-application-other-options.md)
+ [Ajoutez des fonctionnalités et des options de sécurité supplémentaires à votre groupe d'utilisateurs](user-pool-next-steps.md)

# Création d'une nouvelle application dans la console Amazon Cognito
<a name="getting-started-user-pools-application"></a>

Les groupes d'utilisateurs ajoutent des options d'authentification aux applications logicielles. Pour démarrer le plus facilement possible, accédez à la console Amazon Cognito et suivez les instructions qui s'y trouvent. Le processus de création vous guide non seulement dans la configuration des ressources du pool d'utilisateurs, mais également dans la configuration des éléments initiaux de votre application.

Lorsque vous êtes prêt à commencer, accédez à la [console Amazon Cognito](https://console.aws.amazon.com/cognito/v2/idp/user-pools) et sélectionnez le bouton pour créer un nouveau groupe d'utilisateurs. Le processus de configuration vous guidera à travers les options de configuration et de langage de programmation.

**Ressources supplémentaires pour les concepts d'authentification**
+ [Authentification auprès des groupes d'utilisateurs Amazon Cognito](authentication.md)
+ [Comprendre l'API, l'OIDC et l'authentification par pages de connexion gérées](authentication-flows-public-server-side.md#user-pools-API-operations)
+ [Comment fonctionne l'authentification avec Amazon Cognito](cognito-how-to-authenticate.md)
+ [Intégration de l'authentification et de l'autorisation Amazon Cognito avec des applications Web et mobiles](cognito-integrate-apps.md)

**Pour créer des ressources Amazon Cognito pour votre application**

1. Accédez à la [console Amazon Cognito](https://console.aws.amazon.com/cognito/). Pour attribuer des autorisations à votre principal IAM afin qu'il puisse créer et gérer des ressources Amazon Cognito, reportez-vous à. [AWS politiques gérées pour Amazon Cognito](security-iam-awsmanpol.md) La `AmazonCognitoPowerUser` politique est suffisante pour créer des groupes d'utilisateurs.

1. Sélectionnez **Créer un groupe d'****utilisateurs dans le** menu Groupes d'utilisateurs ou sélectionnez **Commencer gratuitement en moins de cinq minutes**.

1. Sous **Définissez votre application**, choisissez le **type d'application** qui correspond le mieux au scénario d'application pour lequel vous souhaitez créer des services d'authentification et d'autorisation.

1. Dans **Nommez votre application**, entrez un nom descriptif ou utilisez le nom par défaut.

1. Vous devez effectuer certains choix de base dans les **options de configuration** qui prennent en charge les paramètres que vous ne pouvez pas modifier une fois que vous avez créé votre groupe d'utilisateurs.

   1. Sous **Options pour les identifiants de connexion, indiquez-nous** comment vous souhaitez identifier les utilisateurs lorsqu'ils se connectent. Vous pouvez préférer les noms d'utilisateur, les adresses e-mail ou les numéros de téléphone générés par les utilisateurs. Vous pouvez également autoriser une combinaison de plusieurs options. Amazon Cognito accepte les options que vous configurez ici dans le champ du nom d'utilisateur des formulaires de [connexion gérés](cognito-user-pools-managed-login.md).

   1. Sous **Attributs obligatoires pour l'inscription**, indiquez-nous les informations utilisateur que vous souhaitez collecter lorsque les utilisateurs créent un nouveau compte. Dans les pages de connexion gérées, Amazon Cognito affiche des instructions pour tous les attributs requis.

      **Les options relatives aux identifiants de connexion** influent sur les attributs requis. Le **nom d'utilisateur** nécessite des attributs d'adresse e-mail ou de téléphone pour chaque utilisateur afin qu'il puisse recevoir un code de réinitialisation du mot de passe par e-mail ou SMS. L'**adresse e-mail** nécessite l'attribut e-mail et le **numéro de téléphone** nécessite l'attribut numéro de téléphone.

1. Sous **Ajouter une URL de retour**, entrez un chemin de redirection vers votre application pour une fois l'authentification des utilisateurs terminée. Cet emplacement doit être une route dans votre application qui utilise les bibliothèques OpenID Connect (OIDC) pour traiter les résultats de l'authentification des utilisateurs. Voici un exemple d'URL de retour pour une application de test`https://localhost:3000/callback`. Dans l'exemple d'application NodeJS de la console Amazon Cognito, cette route [utilise](https://www.npmjs.com/package/openid-client) openid-client pour collecter le jeton d'accès et l'échanger contre des informations utilisateur. Vous pourrez consulter des exemples pour votre plateforme de développement après avoir créé vos ressources.

1. Choisissez **Créer votre application**. Amazon Cognito crée un groupe d'utilisateurs et un client d'applications avec des paramètres par défaut pour votre type d'application. Vous pouvez configurer des options supplémentaires telles que les [fournisseurs d'identité externes](cognito-user-pools-identity-federation.md) et [l'authentification multifactorielle (MFA](user-pool-settings-mfa.md#user-pool-configuring-mfa)) après avoir créé vos ressources initiales.

1. Sur la page **Configurer votre application**, vous pouvez obtenir immédiatement des exemples de code pour votre application. Pour explorer votre nouveau groupe d'utilisateurs, faites défiler l'écran vers le bas et sélectionnez **Accéder à l'aperçu**.

1. Pour ajouter d'autres applications dans le même groupe d'utilisateurs, accédez au menu des **clients d'applications** et ajoutez un nouveau client d'application. Cela répétera le processus de création axé sur les applications, mais ajoutera uniquement un nouveau client d'application au groupe d'utilisateurs existant.

Après avoir créé un groupe d'utilisateurs et un ou plusieurs clients d'applications à l'aide de ce processus, vous pouvez commencer à tester les opérations d'authentification avec la connexion gérée. Ces options de démarrage rapide sont ouvertes à l'auto-inscription publique. Nous vous recommandons de créer un environnement de test à l'aide du processus de console, puis de passer votre conception finalisée à la production. Prenez le temps de vous familiariser avec les fonctionnalités d'Amazon Cognito. Ensuite, pour passer aux charges de travail de production, créez des configurations personnalisées et déployez-les à l'aide d'outils d'automatisation tels que AWS CloudFormation et le AWS Cloud Development Kit (AWS CDK).

Amazon Cognito définit certaines configurations par défaut au cours de ce processus que vous ne pouvez pas inverser. Pour plus d'informations sur les paramètres du groupe d'utilisateurs que vous ne pouvez pas modifier et sur les options que vous pouvez choisir dans la console, consultez[Mise à jour de la configuration du pool d'utilisateurs et du client d'applications](cognito-user-pool-updating.md).


| Paramètre | Effet | Comment changer | En savoir plus | 
| --- | --- | --- | --- | 
| Secret client | Nécessite un hachage du secret client dans les demandes d'authentification. | Créez un nouveau client d'application avec une application Web traditionnelle ou un profil Machine-to-machine d'application. | [Paramètres spécifiques à l'application avec les clients d'applications](user-pool-settings-client-apps.md) | 
| Nom d'utilisateur préféré | Le groupe d'utilisateurs n'accepte pas l'preferred\$1usernameattribut en tant qu'alias. | Créez un groupe d'utilisateurs par programmation à l'aide d'un AWS SDK. | [Personnalisation des attributs de connexion](user-pool-settings-attributes.md#user-pool-settings-aliases) | 
| Sensibilité à la casse | Les noms d'utilisateur du groupe d'utilisateurs ne distinguent pas les majuscules et minuscules ; par exemple, ils JohnD sont considérés comme étant le même utilisateur que. johnd | Créez un groupe d'utilisateurs par programmation à l'aide d'un AWS SDK. | [Sensibilité à la casse du groupe d’utilisateurs](user-pool-case-sensitivity.md) | 

# Autres options d'application
<a name="getting-started-user-pools-application-other-options"></a>

Vous avez peut-être une interface utilisateur d'application existante que vous souhaitez intégrer à l'authentification Amazon Cognito. Il se peut même que vous disposiez de vos propres pages d'authentification existantes avec une configuration d'annuaire moins fonctionnelle que celle des groupes d'utilisateurs Amazon Cognito. Vous pouvez ajouter ou remplacer un composant d'authentification dans une application de ce type grâce aux intégrations Amazon Cognito AWS SDKs pour différents langages de programmation. Voici quelques exemples.

Si vous créez un groupe d'utilisateurs à cette fin dans la console Amazon Cognito, il n'est peut-être pas nécessaire de disposer d'un [domaine de groupe d'utilisateurs](cognito-user-pools-assign-domain.md) hébergeant des pages de connexion interactives et des services OpenID Connect (OIDC). Le processus de création du groupe d'utilisateurs dans la console génère automatiquement un domaine pour vous. Vous pouvez supprimer ce domaine depuis l'onglet **Domaine** de votre groupe d'utilisateurs. Les autres options incluent la création programmatique de ressources Amazon Cognito pour votre application avec des requêtes d'API AWS SDKs dans et avec les options de configuration automatique de la CLI. AWS Amplify Pour de plus amples informations, veuillez consulter [Intégration de l'authentification et de l'autorisation Amazon Cognito avec des applications Web et mobiles](cognito-integrate-apps.md).

**Topics**
+ [Configurer un exemple d'application d'une seule page React](#getting-started-test-application-react)
+ [Configurer un exemple d'application Android avec Flutter](#getting-started-test-application-flutter)

## Configurer un exemple d'application d'une seule page React
<a name="getting-started-test-application-react"></a>

Dans ce didacticiel, vous allez créer une application React d'une seule page dans laquelle vous pourrez tester l'inscription, la confirmation et la connexion des utilisateurs. React est une bibliothèque JavaScript basée sur le Web et les applications mobiles, axée sur l'interface utilisateur (UI). Cet exemple d'application présente certaines fonctions de base des groupes d'utilisateurs Amazon Cognito. Si vous avez déjà de l'expérience dans le développement d'applications Web avec React, [téléchargez l'exemple d'application sur GitHub](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3/example_code/cognito-identity-provider/scenarios/cognito-developer-guide-react-example).

La capture d'écran suivante montre la page d'authentification initiale de l'application que vous allez créer.

![\[Capture d'écran de la page d'inscription pour un exemple d'application Web basé sur React.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/cognito-getting-started-react-app-running.png)


Pour configurer cette application, votre groupe d'utilisateurs doit répondre aux exigences suivantes :
+ Les utilisateurs peuvent se connecter avec leur adresse e-mail. **Options de connexion au groupe d'utilisateurs de Cognito** **: e-mail.**
+ Les noms d'utilisateur ne distinguent pas les majuscules et minuscules. **Exigences relatives au nom d'utilisateur** : l'option **Mettre le nom d'utilisateur en majuscules et minuscules** n'est pas sélectionnée.
+ L'authentification multifactorielle (MFA) n'est pas requise. **Application de la MFA** : **MFA** optionnelle.
+ Votre groupe d'utilisateurs vérifie les attributs pour la confirmation du profil utilisateur par e-mail. **Attributs à vérifier** : **envoyer un message électronique, vérifier l'adresse e-mail**.
+ L'adresse e-mail est le seul attribut obligatoire. **Attributs obligatoires** : **e-mail**.
+ Les utilisateurs peuvent s'inscrire eux-mêmes dans votre groupe d'utilisateurs. **Auto-enregistrement : l'****option Activer l'auto-enregistrement est sélectionnée**.
+ Le client d'application initial est un client public qui permet de se connecter avec un nom d'utilisateur et un mot de passe. **Type d'application** : **client public**, **flux d'authentification** :`ALLOW_USER_PASSWORD_AUTH`.

### Création d’une application
<a name="getting-started-test-application-react-create-app"></a>

Pour créer cette application, vous devez configurer un environnement de développement. Les exigences relatives à l'environnement du développeur sont les suivantes :

1. Node.js est installé et mis à jour.

1. Le gestionnaire de packages de nœuds (npm) est installé et mis à jour vers au moins la version 10.2.3.

1. L'environnement est accessible sur le port TCP 5173 dans un navigateur Web.

**Pour créer un exemple d'application Web React**

1. Connectez-vous à votre environnement de développement et accédez au répertoire parent de votre application.

   ```
   cd ~/path/to/project/folder/
   ```

1. Créez un nouveau service React.

   ```
   npm create vite@latest frontend-client -- --template react-ts
   ```

1. Clonez le [dossier du `cognito-developer-guide-react-example` projet](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3/example_code/cognito-identity-provider/scenarios/cognito-developer-guide-react-example) à partir du référentiel d'exemples de AWS code sur GitHub.

   ```
   cd ~/some/other/path
   ```

   ```
   git clone https://github.com/awsdocs/aws-doc-sdk-examples.git
   ```

   ```
   cp -r ./aws-doc-sdk-examples/javascriptv3/example_code/cognito-identity-provider/scenarios/cognito-developer-guide-react-example/frontend-client ~/path/to/project/folder/
   ```

1. Accédez au `src` répertoire de votre projet.

   ```
   cd ~/path/to/project/folder/frontend-client/src
   ```

1. Modifiez `config.json` et remplacez les valeurs suivantes :

   1. Remplacez `YOUR_AWS_REGION` par un Région AWS code. Par exemple : `us-east-1`.

   1. `YOUR_COGNITO_USER_POOL_ID`Remplacez-le par l'ID du groupe d'utilisateurs que vous avez désigné pour le test. Par exemple : `us-east-1_EXAMPLE`. Le groupe d'utilisateurs doit être dans celui Région AWS que vous avez saisi à l'étape précédente.

   1. `YOUR_COGNITO_APP_CLIENT_ID`Remplacez-le par l'ID du client d'application que vous avez désigné pour le test. Par exemple : `1example23456789`. Le client de l'application doit figurer dans le groupe d'utilisateurs de l'étape précédente.

1. Si vous souhaitez accéder à votre exemple d'application à partir d'une adresse IP autre que`localhost`, modifiez `package.json` et remplacez la ligne `"dev": "vite",` par`"dev": "vite --host 0.0.0.0",`.

1. Installez votre application.

   ```
   npm install
   ```

1. Lancez l'application.

   ```
   npm run dev
   ```

1. Accédez à l'application dans un navigateur Web à l'adresse `http://localhost:5173` ou`http://[IP address]:5173`.

1. Inscrivez un nouvel utilisateur avec une adresse e-mail valide.

1. Récupérez le code de confirmation contenu dans votre e-mail. Entrez le code de confirmation dans l'application.

1. Connectez-vous à l'aide de votre nom d'utilisateur et de votre mot de passe.

### Création d'un environnement de développement React avec Amazon Lightsail
<a name="getting-started-test-application-react-lightsail"></a>

Pour démarrer rapidement avec cette application, vous pouvez créer un serveur cloud virtuel avec Amazon Lightsail. 

Avec Lightsail, vous pouvez créer rapidement une petite instance de serveur préconfigurée avec les prérequis pour cet exemple d'application. Vous pouvez accéder à votre instance par SSH à l'aide d'un client basé sur un navigateur et vous connecter au serveur Web via une adresse IP publique ou privée.

**Pour créer une instance Lightsail pour cet exemple d'application**

1. Accédez à la console [Lightsail](https://lightsail.aws.amazon.com/ls/webapp/). Si vous y êtes invité, entrez vos AWS informations d'identification.

1. Choisissez **Créer une instance**.

1. Pour **Sélectionner une plate-forme**, choisissez **Linux/Unix**.

1. Pour **Sélectionner un plan**, choisissez **Node.js**.

1. Sous **Identifiez votre instance**, attribuez un nom convivial à votre environnement de développement.

1. Choisissez **Créer une instance**.

1. Une fois que Lightsail a créé votre instance, sélectionnez-la puis, dans l'onglet Connect, sélectionnez ****Connect**** using SSH.

1. Une session SSH s'ouvre dans une fenêtre de navigateur. Exécutez `node -v` et `npm -v` pour confirmer que votre instance a été provisionnée avec Node.js et la version minimale de npm de 10.2.3.

1. Procédez à la [configuration de votre application React](#getting-started-test-application-react).

## Configurer un exemple d'application Android avec Flutter
<a name="getting-started-test-application-flutter"></a>

Dans ce didacticiel, vous allez créer une application mobile dans Android Studio dans laquelle vous pouvez émuler un appareil et tester l'inscription, la confirmation et la connexion des utilisateurs. Cet exemple d'application crée un client mobile de base pour groupes d'utilisateurs Amazon Cognito pour Android dans Flutter. Si vous avez déjà de l'expérience dans le développement d'applications mobiles avec Flutter, [téléchargez l'exemple d' GitHubapplication sur](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/kotlin/usecases/cognito_flutter_mobile_app).

La capture d'écran suivante montre l'application en cours d'exécution sur un appareil Android virtuel.

![\[Capture d'écran de la page d'inscription pour un exemple d'application Android virtualisée.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/cognito-getting-started-android-app-running.png)


Pour configurer cette application, votre groupe d'utilisateurs doit répondre aux exigences suivantes :
+ Les utilisateurs peuvent se connecter avec leur adresse e-mail. **Options de connexion au groupe d'utilisateurs de Cognito** **: e-mail.**
+ Les noms d'utilisateur ne distinguent pas les majuscules et minuscules. **Exigences relatives au nom d'utilisateur** : l'option **Mettre le nom d'utilisateur en majuscules et minuscules** n'est pas sélectionnée.
+ L'authentification multifactorielle (MFA) n'est pas requise. **Application de la MFA** : **MFA** optionnelle.
+ Votre groupe d'utilisateurs vérifie les attributs pour la confirmation du profil utilisateur par e-mail. **Attributs à vérifier** : **envoyer un message électronique, vérifier l'adresse e-mail**.
+ L'adresse e-mail est le seul attribut obligatoire. **Attributs obligatoires** : **e-mail**.
+ Les utilisateurs peuvent s'inscrire eux-mêmes dans votre groupe d'utilisateurs. **Auto-enregistrement : l'****option Activer l'auto-enregistrement est sélectionnée**.
+ Le client d'application initial est un client public qui permet de se connecter avec un nom d'utilisateur et un mot de passe. **Type d'application** : **client public**, **flux d'authentification** :`ALLOW_USER_PASSWORD_AUTH`.

### Création d’une application
<a name="getting-started-test-application-flutter-create-app"></a>

**Pour créer un exemple d'application Android**

1. Installez le [studio Android](https://developer.android.com/studio) et les outils de [ligne de commande](https://developer.android.com/tools).

1. Dans Android Studio, installez le [plugin Flutter](https://docs.flutter.dev/get-started/editor?tab=androidstudio).

1. Créez un nouveau projet Android Studio à partir du contenu du `cognito_flutter_mobile_app` répertoire de [cet exemple d'application](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/kotlin/usecases/cognito_flutter_mobile_app).

   1. Modifiez `assets/config.json` et remplacez `<<YOUR USER POOL ID>>` et par `<< YOUR CLIENT ID>>` celui IDs de votre groupe d'utilisateurs et de votre client d'application.

1. Installez [Flutter](https://docs.flutter.dev/get-started/install).

   1. Ajoutez Flutter à votre variable PATH.

   1. Acceptez les licences à l'aide de la commande suivante.

      `flutter doctor --android-licenses`

   1. Vérifiez votre environnement Flutter et installez les composants manquants.

      `flutter doctor`

      1. Si des composants sont manquants, lancez-vous `flutter doctor -v` pour savoir comment résoudre le problème.

   1. Accédez au répertoire de votre nouveau projet Flutter et installez les dépendances.

      1. Exécutez `flutter pub add amazon_cognito_identity_dart_2`.

   1. Exécutez `flutter pub add flutter_secure_storage`.

1. Créez un appareil Android virtuel.

   1. Dans l'interface graphique d'Android Studio, créez un nouvel appareil à l'aide du [gestionnaire de périphériques](https://developer.android.com/studio/run/managing-avds).

   1. Dans la CLI, exécutez`flutter emulators --create --name android-device`.

1. Lancez votre appareil Android virtuel.

   1. Dans l'interface graphique d'Android Studio, sélectionnez l'![\[Play button icon with a blue triangle pointing to the right.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/cognito-getting-started-android-virtual-device-start.png)icône de démarrage à côté de votre appareil virtuel.

   1. Dans la CLI, exécutez`flutter emulators --launch android-device`.

1. Lancez votre application sur votre appareil virtuel.

   1. Dans l'interface graphique d'Android Studio, sélectionnez l'![\[Green play button icon representing a start or play action.\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/cognito-getting-started-android-app-start.png)icône de déploiement.

   1. Dans la CLI, exécutez`flutter run`.

1. Accédez à votre appareil virtuel en cours d'exécution dans Android Studio.

1. Inscrivez un nouvel utilisateur avec une adresse e-mail valide.

1. Récupérez le code de confirmation contenu dans votre e-mail. Entrez le code de confirmation dans l'application.

1. Connectez-vous à l'aide de votre nom d'utilisateur et de votre mot de passe.

# Ajoutez des fonctionnalités et des options de sécurité supplémentaires à votre groupe d'utilisateurs
<a name="user-pool-next-steps"></a>

Après avoir suivi les didacticiels pour réaliser des exemples d'applications, vous pouvez élargir le champ de mise en œuvre de votre groupe d'utilisateurs. Ou, si vous n'avez pas créé d'application de test, créez un nouveau groupe d'utilisateurs en fonction de vos préférences. Vous pouvez personnaliser les fonctionnalités du groupe d'utilisateurs pour d'autres applications ou [ajouter des fournisseurs d'identité externes](tutorial-create-user-pool-social-idp.md). Lorsque vous planifiez votre migration vers l'intégration des groupes d'utilisateurs Amazon Cognito dans les applications de production, vous pouvez évaluer des [exemples et des didacticiels supplémentaires](cognito-guided-setup.md).

Si votre prochaine priorité est d'examiner et d'appliquer les options de sécurité des applications dans vos groupes d'utilisateurs, consultez[Bonnes pratiques de sécurité pour les groupes d'utilisateurs Amazon Cognito](user-pool-security-best-practices.md).

Amazon Cognito propose des plans de fonctionnalités qui ajoutent des options fonctionnelles et de sécurité lorsque vous optez pour des niveaux supérieurs. *Vous pouvez commencer avec le plan *Lite*, ajouter des options d'authentification et d'autorisation avancées avec le plan *Essentials* et ajouter des garde-fous de sécurité à raisonnement automatique avec le plan Plus.* Pour de plus amples informations, veuillez consulter [Plans de fonctionnalités du pool d'utilisateurs](cognito-sign-in-feature-plans.md).

Voici quelques fonctionnalités supplémentaires relatives aux groupes d'utilisateurs Amazon Cognito :
+ [Appliquer une image de marque aux pages de connexion gérées](managed-login-branding.md)
+ [Ajout de l’authentification MFA à un groupe d’utilisateurs](user-pool-settings-mfa.md)
+ [Sécurité avancée avec protection contre les menaces](cognito-user-pool-settings-threat-protection.md)
+ [Personnalisation des flux de travail de groupe d'utilisateurs avec des déclencheurs Lambda](cognito-user-pools-working-with-lambda-triggers.md)
+ [Utilisation d'Amazon Pinpoint pour l'analyse des groupes d'utilisateurs](cognito-user-pools-pinpoint-integration.md)

Pour une présentation des modèles d'authentification et d'autorisation Amazon Cognito, consultez. [Comment fonctionne l'authentification avec Amazon Cognito](cognito-how-to-authenticate.md)

Pour accéder aux autres utilisateurs Services AWS après une authentification réussie du groupe d'utilisateurs, consultez[Accès à Services AWS l'aide d'un pool d'identités après la connexion](amazon-cognito-integrating-user-pools-with-identity-pools.md).

Outre l'utilisation du groupe d'utilisateurs AWS Management Console et du groupe d'utilisateurs SDKs, vous pouvez également gérer vos groupes d'utilisateurs à l'aide du [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/index.html).

**Topics**
+ [Ajoutez la connexion sociale à votre groupe d'utilisateurs](tutorial-create-user-pool-social-idp.md)
+ [Ajouter un fournisseur d'identité SAML 2.0](tutorial-create-user-pool-saml-idp.md)

# Ajoutez la connexion sociale à votre groupe d'utilisateurs
<a name="tutorial-create-user-pool-social-idp"></a>

Permettre aux utilisateurs de se connecter à votre application par le biais de leurs fournisseurs d'identité publics ou sociaux existants peut améliorer leur expérience d'authentification. Les groupes d'utilisateurs d'Amazon Cognito s'intègrent aux fournisseurs d'identité sociale populaires (IdPs) tels que Facebook, Google, Amazon et Apple, offrant à vos utilisateurs des options de connexion pratiques qu'ils connaissent déjà.

Lorsque vous configurez la connexion sociale, vous offrez à vos utilisateurs une alternative à la création d'un compte dédié uniquement pour votre application. Cela peut améliorer les taux de conversion et rendre le processus d'inscription plus fluide. Du point de vue de l'utilisateur, il peut utiliser ses identifiants sociaux existants pour s'authentifier rapidement, sans avoir à se souvenir d'un autre nom d'utilisateur et d'un autre mot de passe.

La configuration d'un IdP social dans votre groupe d'utilisateurs implique quelques étapes clés. Vous devez enregistrer votre demande auprès du fournisseur social pour obtenir un identifiant client et un secret. Vous pouvez ensuite ajouter la configuration de l'IdP social à votre groupe d'utilisateurs, en spécifiant les étendues que vous souhaitez demander et les attributs du groupe d'utilisateurs que vous souhaitez mapper à partir des attributs d'IdP. Au moment de l'exécution, Amazon Cognito gère l'échange de jetons avec le fournisseur, mappe les attributs utilisateur et émet des jetons vers votre application au format de groupe d'utilisateurs partagé.

## ​Inscription avec un fournisseur d'identité social
<a name="cognito-user-pools-social-step-1"></a>

Avant de créer un fournisseur d'identité social avec Amazon Cognito, vous devez enregistrer votre application auprès du fournisseur d'identité social pour recevoir un ID client et une clé secrète de client.

### Pour enregistrer une application avec Facebook
<a name="register-an-app-with-facebook"></a>

1. Créez un [compte développeur avec Facebook](https://developers.facebook.com/docs/facebook-login).

1. [Connectez-vous](https://developers.facebook.com/) avec vos informations d'identification Facebook.

1. Dans le menu **Mes applications**, choisissez **Créer une nouvelle application**. 

   Si vous n'avez pas d'application Facebook existante, vous verrez une autre option. Sélectionnez **Create App (Créer une application)**.

1. Sur la page **Créer une application**, sélectionnez un cas d'utilisation pour votre application, puis **Suivant**.

1. Nommez votre application Facebook, puis sélectionnez **Créer une application**.

1. Dans la barre de navigation de gauche, sélectionnez **Paramètres d'application**, puis **Basique**.

1. Notez l'**ID d'app** et la **Clé secrète d'application**. Vous les utiliserez dans la section suivante.

1. Au bas de la page, choisissez **\$1 Ajouter une plateforme**.

1. Sur l'écran **Select Platform**, sélectionnez vos plateformes, puis choisissez **Next**.

1. Sélectionnez **Enregistrer les modifications**.

1. Pour **App Domains (Domaines d'applications)**, saisissez le domaine de votre groupe d'utilisateurs.

   ```
   https://your_user_pool_domain
   ```

1. Sélectionnez **Enregistrer les modifications**.

1. Dans la barre de navigation, choisissez **Produits**, puis sélectionnez **Configurer** depuis **Facebook Login**.

1. Dans le menu **Connexion avec Facebook** **Configurer**, sélectionnez **Paramètres**.

   Entrez votre URL de redirection dans **Valid OAuth Redirect URIs**. L'URL de redirection comprend le domaine de votre groupe d'utilisateurs avec le `/oauth2/idpresponse` point de terminaison.

   ```
   https://your_user_pool_domain/oauth2/idpresponse
   ```

1. Sélectionnez **Enregistrer les modifications**.

### Pour enregistrer une application avec Amazon
<a name="register-an-app-with-amazon"></a>

1. Créez un [compte développeur avec Amazon](https://developer.amazon.com/login-with-amazon).

1. [Connectez-vous](https://developer.amazon.com/lwa/sp/overview.html) avec vos informations d'identification Amazon.

1. Vous devez créer un profil de sécurité Amazon pour recevoir l'ID client et de la clé secrète de client Amazon.

   Choisissez **Apps and Services** dans la barre de navigation en haut de la page, puis choisissez **Login with Amazon**.

1. Sélectionnez **Create a Security Profile (Créer un profil de sécurité)**.

1. Saisissez un **Nom du profil de sécurité**, une **Description du profil de sécurité** et une **URL de consentement à l'avis de confidentialité**.

1. Choisissez **Save** (Enregistrer).

1. Choisissez **Client ID (ID client)** et **Client Secret (Secret client)** pour afficher l'ID et le secret client. Vous les utiliserez dans la section suivante.

1. Passez le curseur sur l'engrenage et choisissez l'icône **Web Settings (Paramètres web)**, puis **Modifier**.

1. Saisissez le domaine de votre groupe d'utilisateurs dans le champ **Allowed Origins (Origines autorisées)**.

   ```
   https://<your-user-pool-domain>
   ```

1. Entrez le domaine de votre groupe d'utilisateurs avec le `/oauth2/idpresponse` point de terminaison dans **Allowed Return URLs**.

   ```
   https://<your-user-pool-domain>/oauth2/idpresponse
   ```

1. Choisissez **Enregistrer**.

### Pour enregistrer une application avec Google
<a name="register-an-app-with-google"></a>

Pour plus d'informations sur la OAuth version 2.0 de la plateforme Google Cloud, consultez la section [En savoir plus sur l'authentification et l'autorisation](https://developers.google.com/workspace/guides/auth-overview) dans la documentation de Google Workspace for Developers.

1. Créez un [compte développeur avec Google](https://developers.google.com/identity).

1. Connectez-vous à la [console Google Cloud Platform](https://console.cloud.google.com/home/dashboard).

1. Dans la barre de navigation supérieure, choisissez **Select a project** (Sélectionner un projet). Si vous avez déjà un projet sur la plateforme Google, ce menu affiche votre projet par défaut.

1. Sélectionnez **NEW PROJECT** (NOUVEAU PROJET).

1. Saisissez le nom de votre produit, puis choisissez **CREATE** (CRÉER).

1. Dans la barre de navigation de gauche, choisissez **APIs Services**, puis choisissez l'écran de **consentement Oauth**.

1. Entrez les informations de l'application, le **domaine de l'application**, **les domaines autorisés** et les **coordonnées du développeur**. Vos **domaines autorisés** doivent inclure `amazoncognito.com` la racine de votre domaine personnalisé. Par exemple : `example.com`. Choisissez **SAVE AND CONTINUE** (ENREGISTRER ET CONTINUER).

1. 1. Sous **Étendue**, choisissez **Ajouter ou supprimer des étendues**, puis choisissez, au minimum, les étendues suivantes OAuth.

   1. `.../auth/userinfo.email`

   1. `.../auth/userinfo.profile`

   1. openid

1. Sous **Test users** (Utilisateurs test), choisissez **Add users** (Ajouter des utilisateurs). Entrez votre adresse e-mail et tout autre utilisateur de test autorisé, puis choisissez **ENREGISTRER ET CONTINUER**.

1. Développez à nouveau la barre de navigation de gauche, choisissez **APIs et Services**, puis sélectionnez **Credentials**. 

1. Choisissez **CREATE CREDENTIALS**, puis choisissez l'**ID OAuth du client**.

1. Choisissez un **Application type** (Type d'application) et donnez à votre client un **Name** (Nom).

1. Sous ** JavaScript Origines autorisées**, choisissez **AJOUTER UN URI**. Saisissez le domaine de votre groupe d'utilisateurs.

   ```
   https://<your-user-pool-domain>
   ```

1. Sous **Redirection autorisée URIs**, choisissez **AJOUTER UN URI**. Entrez le chemin d'accès au point de terminaison `/oauth2/idpresponse` de votre domaine de groupe d'utilisateurs.

   ```
   https://<your-user-pool-domain>/oauth2/idpresponse
   ```

1. Choisissez **CREATE**.

1. Stockez en toute sécurité les valeurs que Google affiche sous **Your client ID** (ID de votre client) et **Your client secret** (Secret de votre client). Fournissez ces valeurs à Amazon Cognito lorsque vous ajoutez un fournisseur d'identité Google.

### Pour enregistrer une application avec Apple
<a name="register-an-app-with-apple"></a>

Pour plus d'informations sur la configuration de la fonctionnalité Se connecter avec Apple, consultez [Configuring Your Environment for Sign in with Apple](https://developer.apple.com/documentation/signinwithapple/configuring-your-environment-for-sign-in-with-apple) dans la documentation Apple Developer.

1. Créez un [compte développeur Apple](https://developer.apple.com/programs/enroll/).

1. [Connectez-vous](https://developer.apple.com/account/#/welcome) avec vos informations d'identification Apple.

1. Dans la barre de navigation de gauche, choisissez **Certificates, Identifiers & Profiles** (Certificats, identifiants et profils).

1. Dans la barre de navigation de gauche, choisissez **Identifiers (Identifiants)**.

1. Dans la page **Identifiers (Identifiants)**, choisissez l'icône **\$1**.

1. Sur la page **Enregistrer un nouvel identifiant**, choisissez **App IDs**, puis choisissez **Continuer**.

1. Sur la page **Sélectionnez un type**, choisissez **App**, puis choisissez **Continuer**.

1. Dans la page **Register an App ID (Enregistrer un ID d'application)**, procédez comme suit :

   1. Sous **Description**, entrez une description.

   1. Sous **App ID Prefix** (Préfixe d'ID d'application), saisissez un **Bundle ID** (ID de bundle). Notez la valeur sous **Make a note of the value under (Préfixe d'ID d'application)**. Vous utiliserez cette valeur après avoir choisi Apple comme fournisseur d'identité dans [Configurez votre groupe d'utilisateurs avec un IdP social](cognito-user-pools-social-idp.md#cognito-user-pools-social-idp-step-2).

   1. Sous **Capabilities (Capacités)**, choisissez **Sign In with Apple (Connexion avec Apple)**, puis **Edit (Modifier)**.

   1. Sur la page **Connexion avec Apple : configuration de l'identifiant de l'application**, choisissez de configurer l'application comme application principale ou de la regrouper avec une autre application IDs, puis sélectionnez **Enregistrer**.

   1. Sélectionnez **Continuer**.

1. Dans la page **Confirm your App ID (Confirmer votre ID d'application)**, choisissez **Register (Inscrire)**.

1. Dans la page **Identifiers (Identifiants)**, choisissez l'icône **\$1**.

1. Sur la page **Enregistrer un nouvel identifiant**, sélectionnez **Services IDs**, puis choisissez **Continuer**.

1. Dans la page **Register an App ID (Enregistrer un ID d'application)**, procédez comme suit :

   1. Sous **Description**, entrez une description.

   1. Sous **Identifiant**, saisissez un identifiant. Prenez note de cet identifiant de services, car vous aurez besoin de cette valeur une fois que vous aurez choisi Apple comme fournisseur d'identité dans[Configurez votre groupe d'utilisateurs avec un IdP social](cognito-user-pools-social-idp.md#cognito-user-pools-social-idp-step-2).

   1. Choisissez **Continue (Continuer)**, puis **Register (S'inscrire)**.

1. Choisissez l'ID de services que vous venez de créer sur la page Identifiants.

   1. Sélectionnez **Sign In with Apple (Connexion avec Apple)**, puis choisissez **Configure (Configurer)**.

   1. Sur la page **Web Authentication Configuration** (Configuration de l'authentification web), sélectionnez l'ID d'application que vous avez créé précédemment comme **Primary App ID** (ID d'application principale). 

   1. Cliquez sur l'icône **\$1** à côté de **Site Web URLs**. 

   1. Sous **Domains and subdomains** (Domaines et sous-domaines), entrez le domaine de votre groupe d'utilisateurs sans utiliser de préfixe `https://`.

      ```
      <your-user-pool-domain>
      ```

   1. Sous **Retour URLs**, entrez le chemin d'accès au `/oauth2/idpresponse` point de terminaison du domaine de votre groupe d'utilisateurs.

      ```
      https://<your-user-pool-domain>/oauth2/idpresponse
      ```

   1. Choisissez **Suivant**, puis cliquez sur **Terminé**. Vous n'avez pas besoin de vérifier le domaine.

   1. Choisissez **Continue** (Continuer), puis **Save** (Enregistrer).

1. Dans la barre de navigation de gauche, choisissez **Keys (Clés)**.

1. Dans la page **Keys (Clés)**, choisissez l'icône **\$1**.

1. Dans la page **Register a New Key (Enregistrer une nouvelle clé)**, procédez comme suit :

   1. Sous **Key Name (Nom de clé)**, saisissez un nom de clé. 

   1. Sélectionnez **Sign In with Apple (Connexion avec Apple)**, puis choisissez **Configure (Configurer)**.

   1. Sur la page **Configurer la clé**, sélectionnez l'ID d'application que vous avez créé précédemment comme **ID d'application principal**. Choisissez **Enregistrer**.

   1. Choisissez **Continue (Continuer)**, puis **Register (Enregistrer)**.

1. Sur la page **Télécharger votre clé**, choisissez **Télécharger** pour télécharger la clé privée, notez l'**ID de clé** affiché, puis choisissez **OK**. Vous aurez besoin de cette clé privée et de la valeur **Key ID (ID de clé)** affichées sur cette page après avoir choisi Apple comme fournisseur d'identité dans [Configurez votre groupe d'utilisateurs avec un IdP social](cognito-user-pools-social-idp.md#cognito-user-pools-social-idp-step-2).

## Ajout d'un fournisseur d'identité social à votre groupe d'utilisateurs
<a name="cognito-user-pools-social-step-2"></a>

Dans cette section, vous configurez un fournisseur d'identité social dans votre groupe d'utilisateurs à l'aide de l'ID client et de la clé secrète du client de la section précédente.

**Pour configurer le fournisseur d'identité sociale d'un groupe d'utilisateurs avec AWS Management Console**

1. Accédez à la [console Amazon Cognito](https://console.aws.amazon.com/cognito/home). Il se peut que vous soyez invité à saisir vos AWS informations d'identification.

1. Choisissez **Groupes d’utilisateurs**.

1. Choisissez un groupe d’utilisateurs existant dans la liste ou [créez-en un](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Choisissez le menu **Fournisseurs sociaux et externes**. Localisez la **Session fédérée**et sélectionnez **Ajouter un fournisseur d'identité**.

1. Choisissez un fournisseur d'identité social : **Facebook**, **Google**, **Login with Amazon** ou **Se connecter sur Apple**.

1. Choisissez l'une des étapes suivantes, en fonction du fournisseur d'identité sociale de votre choix :
   + **Google** et **Login with Amazon** — Entrez l'**identifiant du client** de **l'application et le code secret** du client généré dans la section précédente.
   + **Facebook** — Entrez l'**ID client de l'****application et le code secret du client** de l'application générés dans la section précédente, puis choisissez une version de l'API (par exemple, la version 2.12). Nous vous recommandons de choisir la dernière version possible : chaque API Facebook possède un cycle de vie et une date d'obsolescence. Les périmètres et attributs Facebook peuvent varier d'une version d'API à l'autre. Nous vous recommandons de tester votre connexion d'identité sociale avec Facebook pour vous assurer que la fédération fonctionne comme prévu.
   + **Connectez-vous avec Apple** : entrez l'**identifiant de service**, **l'identifiant d'équipe**, l'**identifiant** de **clé et la clé privée** générés dans la section précédente.

1. Entrez les noms des **étendues autorisées** que vous souhaitez utiliser. Les périmètres définissent les attributs d'utilisateur (tels que `name` et `email`) auxquels vous souhaitez accéder avec votre application. Pour Facebook, ils doivent être séparés par des virgules. Pour Google et Login with Amazon, ils doivent être séparés par des espaces. Pour Sign in with Apple (Connexion avec Apple), activez les cases des périmètres auxquelles vous souhaitez accéder.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/tutorial-create-user-pool-social-idp.html)

   L'utilisateur de l'application est invité à accepter de fournir ces attributs à votre application. Pour plus d'informations sur les périmètres d'application des fournisseurs sociaux, consultez la documentation de Google, Facebook, Login with Amazon et Login with Apple. 

   Dans le cas de Sign in with Apple, les scénarios d'utilisation où les périmètres ne peuvent pas être renvoyés sont les suivants :
   + Un utilisateur final rencontre des échecs après avoir quitté la page de connexion d'Apple (cela peut être dû à des défaillances internes d'Amazon Cognito ou à un document écrit par le développeur).
   + L'identifiant de service est utilisé par les and/or autres services d'authentification des groupes d'utilisateurs.
   + Un développeur ajoute des étendues après la connexion de l'utilisateur. Les utilisateurs ne récupèrent de nouvelles informations que lorsqu'ils s'authentifient et lorsqu'ils actualisent leurs jetons.
   + Un développeur supprime l'utilisateur, puis celui-ci se reconnecte sans supprimer l'application de son profil Apple ID.

1. Mappez les attributs de votre fournisseur d'identité à votre groupe d'utilisateurs. Pour de plus amples informations, veuillez consulter [Choses à savoir sur les mappages](cognito-user-pools-specifying-attribute-mapping.md#cognito-user-pools-specifying-attribute-mapping-requirements).

1. Choisissez **Créer**.

1. Dans le menu des **clients de l'application**, choisissez l'un des clients de l'application dans la liste et **modifiez les paramètres de l'interface utilisateur hébergée**. Ajoutez le nouveau fournisseur d'identité sociale au client d' l'application sous **Fournisseurs d'identité**.

1. Sélectionnez **Enregistrer les modifications**.

## Test de la configuration de votre fournisseur d'identité social
<a name="cognito-user-pools-social-step-3"></a>

Vous pouvez créer une URL de connexion en utilisant les éléments des deux sections précédentes. Utilisez-les pour tester votre configuration de fournisseur d'identité social.

```
https://mydomain.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=1example23456789&redirect_uri=https://www.example.com
```

Votre domaine se trouve sur la page de la console répertoriant le **nom de domaine** du groupe d'utilisateurs. L'ID client se trouve sur la page **Paramètres du client d'application**. Utilisez votre URL de rappel pour le paramètre **redirect\$1uri**. Il s'agit de l'URL de la page vers laquelle l'utilisateur est redirigé après une authentification réussie.

**Note**  
Amazon Cognito annule les demandes d'authentification qui ne sont pas traitées dans les 5 minutes et redirige l'utilisateur vers une connexion gérée. La page affiche un message d'erreur `Something went wrong`.

# Ajouter un fournisseur d'identité SAML 2.0
<a name="tutorial-create-user-pool-saml-idp"></a>

Les utilisateurs de votre application peuvent se connecter avec un fournisseur d'identité (IdP) SAML 2.0. Vous pouvez choisir SAML 2.0 IdPs plutôt que les réseaux sociaux IdPs lorsque vos clients sont des clients internes ou des entreprises liées à votre organisation. Lorsqu'un IdP social permet à tous les utilisateurs de créer un compte, un IdP SAML est plus susceptible d'être associé à un annuaire d'utilisateurs contrôlé par votre organisation. Que vos utilisateurs se connectent directement ou via un tiers, ils ont tous un profil dans le groupe d'utilisateurs. Ignorez cette étape si vous ne souhaitez pas ajouter la connexion via un fournisseur d'identité SAML. 

Pour de plus amples informations, veuillez consulter [Utilisation de fournisseurs d'identité SAML avec un groupe d'utilisateurs](cognito-user-pools-saml-idp.md).

Vous devez mettre à jour votre fournisseur d'identité SAML et configurer votre groupe d'utilisateurs. Pour plus d'informations sur la façon d'ajouter votre groupe d'utilisateurs en tant que partie de confiance ou application pour votre fournisseur d'identité SAML 2.0, consultez la documentation de votre fournisseur d'identité SAML.

Vous devez également fournir un point de terminaison ACS (Assertion Consumer Service) à votre fournisseur d'identité SAML. Configurez le point de terminaison suivant dans le domaine de votre groupe d'utilisateurs pour la liaison POST SAML 2.0 dans votre fournisseur d'identité SAML. Pour plus d'informations sur les domaines du groupe d'utilisateurs, consultez[Configuration d'un domaine de groupe d'utilisateurs](cognito-user-pools-assign-domain.md).

```
https://Your user pool domain/saml2/idpresponse
With an Amazon Cognito domain:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
With a custom domain:
https://Your custom domain/saml2/idpresponse
```

Vous trouverez le préfixe de votre domaine et la valeur de région pour votre groupe d'utilisateurs dans le menu **Domaine** de la console [Amazon Cognito](https://console.aws.amazon.com/cognito/home).

Pour certains fournisseurs d'identité SAML, vous devez également fournir le fournisseur de services (SP)`urn`, également appelé URI d'audience ou ID d'entité SP, au format suivant :

```
urn:amazon:cognito:sp:<yourUserPoolID>
```

Vous pouvez trouver l'identifiant de votre groupe d'utilisateurs dans le tableau de bord de **présentation** de votre groupe d'utilisateurs dans la [console Amazon Cognito](https://console.aws.amazon.com/cognito/home).

Vous devez également configurer votre fournisseur d'identité SAML afin qu'il fournisse des valeurs d'attributs pour tous les attributs requis dans votre groupe d'utilisateurs. Généralement, `email` est un attribut requis pour les groupes d'utilisateurs. Dans ce cas, le fournisseur d'identité SAML doit fournir une valeur `email` (revendication) dans l'assertion SAML.

Les groupes d'utilisateurs Amazon Cognito prennent en charge la fédération SAML 2.0 avec points de terminaison de liaison postérieure. Votre application n'a donc plus besoin de récupérer ou d'analyser les réponses aux assertions SAML, car le groupe d'utilisateurs reçoit directement la réponse SAML de votre fournisseur d'identité via un agent utilisateur.

**Pour configurer un fournisseur d'identité SAML 2.0 dans votre groupe d'utilisateurs**

1. Accédez à la [console Amazon Cognito](https://console.aws.amazon.com/cognito/home). Si vous y êtes invité, entrez vos AWS informations d'identification.

1. Choisissez **Groupes d’utilisateurs**.

1. Choisissez un groupe d’utilisateurs existant dans la liste ou [créez-en un](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Choisissez le menu **Fournisseurs sociaux et externes**. Localisez la **Session fédérée**et sélectionnez **Ajouter un fournisseur d'identité**.

1. Choisissez un **SAML** fournisseur d'identité social.

1. Saisissez **Identifiants** séparés par des virgules. Un identifiant indique à Amazon Cognito qu'il doit vérifier l'adresse e-mail saisie par un utilisateur lorsqu'il se connecte. Il les dirige ensuite vers le fournisseur correspondant à leur domaine.

1. Choisissez **Ajouter un flux de déconnexion** si vous souhaitez qu'Amazon Cognito envoie des demandes de déconnexion signées à votre fournisseur lorsqu'un utilisateur se déconnecte. Vous devez configurer votre fournisseur d'identité SAML 2.0 pour envoyer des réponses de déconnexion au `https://<your Amazon Cognito domain>/saml2/logout` point de terminaison créé lorsque vous configurez la connexion gérée. Le `saml2/logout` point de terminaison utilise la liaison POST.
**Note**  
Si cette option est sélectionnée et que votre fournisseur d'identité SAML attend une demande de déconnexion signée, vous devrez également configurer le certificat de signature fourni par Amazon Cognito avec votre IdP SAML.   
L'IdP SAML traitera la demande de déconnexion signée et déconnectera votre utilisateur de la session Amazon Cognito.

1. Choisissez une **Source du document de métadonnées**. Si votre fournisseur d'identité propose des métadonnées SAML à une URL publique, vous pouvez choisir **Metadata document URL** (URL du document de métadonnées) et saisir cette URL publique. Sinon, choisissez **Upload metadata documen (Charger un document de métadonnées)** et sélectionnez un fichier de métadonnées que vous avez téléchargé depuis votre fournisseur précédemment.
**Note**  
Nous vous recommandons de saisir l'URL d'un document de métadonnées si votre fournisseur dispose d'un point de terminaison public, plutôt que de télécharger un fichier. Cela permet à Amazon Cognito d'actualiser automatiquement les métadonnées. En règle générale, l'actualisation des métadonnées a lieu toutes les 6 heures ou avant l'expiration des métadonnées, selon la première éventualité.

1. Sélectionnez **Mappage des attributs entre votre fournisseur SAML et votre application** pour mapper les attributs du fournisseur SAML au profil utilisateur de votre groupe d'utilisateurs. Incluez les attributs requis de votre groupe d'utilisateurs dans votre carte attributaire. 

   Par exemple, lorsque vous choisissez le champ **groupe d'utilisateurs** `email`, saisissez le nom de l'attribut SAML tel qu'il apparaît dans l'assertion SAML de votre fournisseur d'identité. Votre fournisseur d'identité peut proposer des exemples d'assertions SAML à titre de référence. Certains fournisseurs d'identité utilisent des noms simples, comme `email`, tandis que d'autres utilisent des noms d'attributs au format URL, tels que l'exemple suivant :

   ```
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   ```

1. Choisissez **Créer**.