Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione di un provider SAML come IdP del pool di identità
<a name="saml-identity-provider"></a>

Con i pool di identità di Amazon Cognito, puoi autenticare gli utenti con provider di identità (IdPs) tramite SAML 2.0. Puoi utilizzare un provider di identità che supporti il linguaggio SAML con Amazon Cognito per garantire un flusso di onboarding semplice per i tuoi utenti. Il tuo provider di identità supportato da SAML specifica i ruoli IAM che gli utenti possono assumere. In questo modo, diversi utenti possono ricevere diversi set di autorizzazioni.

## Configurazione del pool di identità per un provider di identità SAML
<a name="configure-identity-pool-saml-provider"></a>

La procedura seguente descrive come configurare il pool di identità per l'utilizzo di un provider di identità basato su SAML.

**Nota**  
Prima di configurare il pool di identità per supportare un provider SAML, è necessario configurare il provider di identità SAML nella [console IAM](https://console.aws.amazon.com/iam). Per ulteriori informazioni, consulta [Integrazione di provider di soluzioni SAML di terze parti con AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html) nella *Guida per l'utente di IAM*.

**Per aggiungere un gestore dell'identità digitale SAML**

1. Scegli **Pool di identità** dalla [console di Amazon Cognito](https://console.aws.amazon.com/cognito/home). Seleziona un pool di identità.

1. Seleziona la scheda **Accesso utente**.

1. Seleziona **Aggiungi provider di identità**.

1. Scegli **SAML**.

1. Scegli un **provider di identità SAML** dall'IAM del tuo. IdPs Account AWS Se desideri aggiungere un nuovo provider SAML, scegli **Crea nuovo provider** per accedere alla console IAM.

1. Per impostare il ruolo richiesto da Amazon Cognito quando emette credenziali per gli utenti che hanno eseguito l'autenticazione con questo provider, configura **Impostazioni ruolo**.

   1. Puoi assegnare agli utenti di tale IdP il **ruolo predefinito** impostato quando hai configurato il **ruolo autenticato** oppure selezionare l'opzione **Scegli ruolo con regole**.

     1. Se scegli l'opzione **Scegli ruolo con regole**, inserisci la **Richiesta** dall'autenticazione dell'utente, l'**Operatore** con cui desideri confrontare la richiesta, il **Valore** che determina una corrispondenza a questa scelta di ruolo e il **Ruolo** che desideri assegnare quando l'**Assegnazione del ruolo** corrisponde. Seleziona **Aggiungi un altro** per creare una regola aggiuntiva basata su una condizione diversa.

     1. Scegli una **Risoluzione del ruolo**. Quando le richieste dell'utente non corrispondono alle regole, puoi negare le credenziali o emettere credenziali per il **Ruolo autenticato**.

1. Per modificare i tag principali assegnati da Amazon Cognito quando emette credenziali per gli utenti che hanno eseguito l'autenticazione con questo provider, configura **Attributi per il controllo degli accessi**.

   1. Per non applicare alcun tag principale, scegli **Inattivo**.

   1. Per applicare i tag principali in base alle richieste `sub` e `aud`, scegli **Utilizza mappature predefinite**.

   1. Per creare un tuo schema personalizzato di attributi dei tag principali, scegli **Utilizza mappature personalizzate**. Quindi, inserisci una **Chiave tag** che deve essere originata da ciascuna **Richiesta** che desideri rappresentare in un tag.

1. Seleziona **Salva modifiche**.

## Configurazione di un provider di identità SAML
<a name="configure-your-saml-identity-provider"></a>

Una volta creato, configura il provider di identità SAML in modo da aggiungere una relazione di trust tra il provider di identità e AWS. Con molti IdPs, puoi specificare un URL che l'IdP può utilizzare per leggere le informazioni e i certificati del relying party da un documento XML. [Infatti AWS, puoi usare https://signin.aws.amazon.com/static/ saml-metadata.xml.](https://signin.aws.amazon.com/static/saml-metadata.xml) Il passaggio successivo consiste nel configurare la risposta all'asserzione SAML del tuo IdP per compilare le attestazioni necessarie. AWS Per maggiori dettagli sulla configurazione delle richieste, consulta l'articolo sulla [configurazione di asserzioni SAML per la risposta di autenticazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html).

Quando il tuo IdP SAML include più di un certificato di firma nei metadati SAML, al momento dell'accesso il tuo pool di identità determina che l'asserzione SAML è valida se corrisponde a qualsiasi certificato nei metadati SAML.

## Personalizzazione del ruolo utente con SAML
<a name="role-customization-saml"></a>

L'utilizzo di SAML con Amazon Cognito Identity ti consente la personalizzazione del ruolo per l'utente finale. Amazon Cognito supporta solo il [flusso avanzato](authentication-flow.md) con il provider di identità basato su SAML. Non è necessario specificare un ruolo autenticato o non autenticato per consentire al pool di identità di utilizzare un provider di identità basato su SAML. L'attributo `https://aws.amazon.com/SAML/Attributes/Role` di registrazione specifica una o più coppie composte da un ARN di provider e da un ruolo delimitato da virgole. Questi sono i ruoli che l'utente può assumere. Puoi configurare il provider di identità SAML per popolare gli attributi di ruolo in base alle informazioni di attributo utente disponibili dal provider di identità. Se nell'asserzione SAML vengono ricevuti più ruoli, il parametro `customRoleArn` opzionale deve essere popolato quando chiami `getCredentialsForIdentity`. L'utente assume questo `customRoleArn` se il ruolo corrisponde a uno dell'attestazione nell'asserzione SAML.

## Autenticazione di utenti con un provider di identità SAML
<a name="authenticate-user-with-saml"></a>

Per eseguire la federazione con l'IdP basato su SAML, determina l'URL a cui l'utente avvia l'accesso. AWS la federazione utilizza l'accesso avviato da IDP. In AD FS 2.0, l'URL prende la forma di `https://{{<fqdn>}}/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices`.

Per aggiungere il supporto per il provider di identità SAML in Amazon Cognito, è necessario prima autenticare gli utenti con il provider di identità SAML dalla tua applicazione iOS o Android. Il codice utilizzato per integrare e autenticare con il provider di identità SAML è specifico dei provider SAML. Dopo aver autenticato l'utente, puoi utilizzare Amazon APIs Cognito per fornire l'asserzione SAML risultante ad Amazon Cognito Identity.

Non puoi ripetere o *riprodurre* un'asserzione SAML nella mappa `Logins` della tua richiesta API del pool di identità. Un'asserzione SAML riprodotta dispone di un ID asserzione che duplica l'ID di una richiesta API precedente. Le operazioni API che possono accettare un'asserzione SAML nella mappa includono,, e. `Logins` [GetId[GetCredentialsForIdentity[GetOpenIdToken[GetOpenIDTokenForDeveloperIdentity](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdTokenForDeveloperIdentity.html)](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html)](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html)](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetId.html) Puoi riprodurre un ID asserzione SAML una volta per richiesta API in un flusso di autenticazione del pool di identità. Ad esempio, puoi fornire la stessa asserzione SAML in una richiesta `GetId` e in una richiesta `GetCredentialsForIdentity` successiva, ma non in una seconda richiesta `GetId`.