Configurazione di un provider SAML come IdP del pool di identità - Amazon Cognito
Configurazione del pool di identità per un provider di identità SAMLConfigurazione di un provider di identità SAMLPersonalizzazione del ruolo utente con SAMLAutenticazione di utenti con un provider di identità SAML

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di un provider SAML come IdP del pool di identità

Con i pool di identità di Amazon Cognito, puoi autenticare gli utenti con provider di identità (IdPs) tramite SAML 2.0. Puoi utilizzare un provider di identità che supporti il linguaggio SAML con Amazon Cognito per garantire un flusso di onboarding semplice per i tuoi utenti. Il tuo provider di identità supportato da SAML specifica i ruoli IAM che gli utenti possono assumere. In questo modo, diversi utenti possono ricevere diversi set di autorizzazioni.

Configurazione del pool di identità per un provider di identità SAML

La procedura seguente descrive come configurare il pool di identità per l'utilizzo di un provider di identità basato su SAML.

Nota

Prima di configurare il pool di identità per supportare un provider SAML, è necessario configurare il provider di identità SAML nella console IAM. Per ulteriori informazioni, consulta Integrazione di provider di soluzioni SAML di terze parti con AWS nella Guida per l'utente di IAM.

Per aggiungere un gestore dell'identità digitale SAML

  1. Scegli Pool di identità dalla console di Amazon Cognito. Seleziona un pool di identità.

  2. Seleziona la scheda Accesso utente.

  3. Seleziona Aggiungi provider di identità.

  4. Scegli SAML.

  5. Scegli un provider di identità SAML dall'IAM del tuo. IdPs Account AWS Se desideri aggiungere un nuovo provider SAML, scegli Crea nuovo provider per accedere alla console IAM.

  6. Per impostare il ruolo richiesto da Amazon Cognito quando emette credenziali per gli utenti che hanno eseguito l'autenticazione con questo provider, configura Impostazioni ruolo.

    1. Puoi assegnare agli utenti di tale IdP il ruolo predefinito impostato quando hai configurato il ruolo autenticato oppure selezionare l'opzione Scegli ruolo con regole.

      1. Se scegli l'opzione Scegli ruolo con regole, inserisci la Richiesta dall'autenticazione dell'utente, l'Operatore con cui desideri confrontare la richiesta, il Valore che determina una corrispondenza a questa scelta di ruolo e il Ruolo che desideri assegnare quando l'Assegnazione del ruolo corrisponde. Seleziona Aggiungi un altro per creare una regola aggiuntiva basata su una condizione diversa.

      2. Scegli una Risoluzione del ruolo. Quando le richieste dell'utente non corrispondono alle regole, puoi negare le credenziali o emettere credenziali per il Ruolo autenticato.

  7. Per modificare i tag principali assegnati da Amazon Cognito quando emette credenziali per gli utenti che hanno eseguito l'autenticazione con questo provider, configura Attributi per il controllo degli accessi.

    1. Per non applicare alcun tag principale, scegli Inattivo.

    2. Per applicare i tag principali in base alle richieste sub e aud, scegli Utilizza mappature predefinite.

    3. Per creare un tuo schema personalizzato di attributi dei tag principali, scegli Utilizza mappature personalizzate. Quindi, inserisci una Chiave tag che deve essere originata da ciascuna Richiesta che desideri rappresentare in un tag.

  8. Seleziona Salva modifiche.

Configurazione di un provider di identità SAML

Una volta creato, configura il provider di identità SAML in modo da aggiungere una relazione di trust tra il provider di identità e AWS. Con molti IdPs, puoi specificare un URL che l'IdP può utilizzare per leggere le informazioni e i certificati del relying party da un documento XML. Infatti AWS, puoi usare https://signin.aws.amazon.com/static/ saml-metadata.xml. Il passaggio successivo consiste nel configurare la risposta all'asserzione SAML del tuo IdP per compilare le attestazioni necessarie. AWS Per maggiori dettagli sulla configurazione delle richieste, consulta l'articolo sulla configurazione di asserzioni SAML per la risposta di autenticazione.

Quando il tuo IdP SAML include più di un certificato di firma nei metadati SAML, al momento dell'accesso il tuo pool di identità determina che l'asserzione SAML è valida se corrisponde a qualsiasi certificato nei metadati SAML.

Personalizzazione del ruolo utente con SAML

L'utilizzo di SAML con Amazon Cognito Identity ti consente la personalizzazione del ruolo per l'utente finale. Amazon Cognito supporta solo il flusso avanzato con il provider di identità basato su SAML. Non è necessario specificare un ruolo autenticato o non autenticato per consentire al pool di identità di utilizzare un provider di identità basato su SAML. L'attributo https://aws.amazon.com/SAML/Attributes/Role di registrazione specifica una o più coppie composte da un ARN di provider e da un ruolo delimitato da virgole. Questi sono i ruoli che l'utente può assumere. Puoi configurare il provider di identità SAML per popolare gli attributi di ruolo in base alle informazioni di attributo utente disponibili dal provider di identità. Se nell'asserzione SAML vengono ricevuti più ruoli, il parametro customRoleArn opzionale deve essere popolato quando chiami getCredentialsForIdentity. L'utente assume questo customRoleArn se il ruolo corrisponde a uno dell'attestazione nell'asserzione SAML.

Autenticazione di utenti con un provider di identità SAML

Per eseguire la federazione con l'IdP basato su SAML, determina l'URL a cui l'utente avvia l'accesso. AWS la federazione utilizza l'accesso avviato da IDP. In AD FS 2.0, l'URL prende la forma di https://<fqdn>/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices.

Per aggiungere il supporto per il provider di identità SAML in Amazon Cognito, è necessario prima autenticare gli utenti con il provider di identità SAML dalla tua applicazione iOS o Android. Il codice utilizzato per integrare e autenticare con il provider di identità SAML è specifico dei provider SAML. Dopo aver autenticato l'utente, puoi utilizzare Amazon APIs Cognito per fornire l'asserzione SAML risultante ad Amazon Cognito Identity.

Non puoi ripetere o riprodurre un'asserzione SAML nella mappa Logins della tua richiesta API del pool di identità. Un'asserzione SAML riprodotta dispone di un ID asserzione che duplica l'ID di una richiesta API precedente. Le operazioni API che possono accettare un'asserzione SAML nella mappa includono,, e. Logins GetIdGetCredentialsForIdentityGetOpenIdTokenGetOpenIDTokenForDeveloperIdentity Puoi riprodurre un ID asserzione SAML una volta per richiesta API in un flusso di autenticazione del pool di identità. Ad esempio, puoi fornire la stessa asserzione SAML in una richiesta GetId e in una richiesta GetCredentialsForIdentity successiva, ma non in una seconda richiesta GetId.