Keluar dari pengguna SAMP dengan single sign-out - Amazon Cognito

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keluar dari pengguna SAMP dengan single sign-out

Amazon Cognito mendukung logout tunggal SAMP 2.0 (SLO. Dengan SLO, aplikasi Anda dapat mengeluarkan pengguna dari penyedia identitas SAMP (IdPs) mereka saat mereka keluar dari kumpulan pengguna Anda. Dengan cara ini, ketika pengguna ingin masuk ke aplikasi Anda lagi, mereka harus mengautentikasi dengan SAMP iDP mereka. Jika tidak, mereka mungkin memiliki cookie browser IDP atau kumpulan pengguna di tempat yang meneruskannya ke aplikasi Anda tanpa persyaratan bahwa mereka memberikan kredensyal.

Saat Anda mengonfigurasi IDP SAMP untuk mendukung alur Keluar, Amazon Cognito mengalihkan pengguna Anda dengan permintaan logout SAMP yang ditandatangani ke iDP Anda. Amazon Cognito menentukan lokasi pengalihan dari SingleLogoutService URL di metadata iDP Anda. Amazon Cognito menandatangani permintaan keluar dengan sertifikat penandatanganan kumpulan pengguna Anda.

Diagram alir otentikasi dari Amazon Cognito SAMP sign-out. Pengguna meminta keluar dan Amazon Cognito mengalihkan mereka ke penyedia mereka dengan permintaan keluar SAMP.

Saat Anda mengarahkan pengguna dengan sesi SAMP ke /logout titik akhir kumpulan pengguna, Amazon Cognito mengalihkan pengguna SAMP Anda dengan permintaan berikut ke titik akhir SLO yang ditentukan dalam metadata iDP.

https://[SingleLogoutService endpoint]?
SAMLRequest=[encoded SAML request]&
RelayState=[RelayState]&
SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256&
Signature=[User pool RSA signature]

Pengguna Anda kemudian kembali ke saml2/logout titik akhir Anda dengan a LogoutResponse dari iDP mereka. IDP Anda harus mengirimkan LogoutResponse permintaan. HTTP POST Amazon Cognito kemudian mengarahkan mereka ke tujuan pengalihan dari permintaan keluar awal mereka.

Penyedia SAFL Anda mungkin mengirim LogoutResponse dengan lebih dari satu AuthnStatement di dalamnya. Yang pertama sessionIndex AuthnStatement dalam respons jenis ini harus cocok dengan respons SAMP sessionIndex yang awalnya mengautentikasi pengguna. Jika sessionIndex ada di tempat lainAuthnStatement, Amazon Cognito tidak akan mengenali sesi tersebut dan pengguna Anda tidak akan keluar.

Konsol Manajemen AWS
Untuk mengonfigurasi keluar SAMP

  1. Buat kumpulan pengguna, klien aplikasi, dan SAMP iDP.

  2. Saat Anda membuat atau mengedit penyedia identitas SAMP Anda, di bawah Informasi penyedia identitas, centang kotak dengan judul Tambahkan alur keluar.

  3. Dari menu Penyedia sosial dan eksternal dari kumpulan pengguna Anda, pilih IDP Anda dan temukan sertifikat Penandatanganan.

  4. Pilih Unduh sebagai.crt.

  5. Konfigurasikan penyedia SAMP Anda untuk mendukung logout tunggal SAMP dan penandatanganan permintaan, dan unggah sertifikat penandatanganan kumpulan pengguna. IDP Anda harus mengarahkan ulang ke domain kumpulan /saml2/logout pengguna Anda.

API/CLI

Untuk mengonfigurasi keluar SAMP

Konfigurasikan logout tunggal dengan IDPSignout parameter permintaan CreateIdentityProvideratau UpdateIdentityProviderAPI. Berikut ini adalah contoh ProviderDetails dari iDP yang mendukung SAMP single logout.

"ProviderDetails": { 
      "MetadataURL" : "https://myidp.example.com/saml/metadata",
      "IDPSignout" : "true",,
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}