Como desconectar usuários do SAML com logout único - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como desconectar usuários do SAML com logout único

O Amazon Cognito oferece suporte ao logout único (SLO) do SAML 2.0. Com o SLO, seu aplicativo pode desconectar usuários de seus provedores de identidade SAML (IdPs) quando eles se desconectam do seu grupo de usuários. Dessa forma, quando os usuários quiserem entrar na aplicação novamente, precisam fazer a autenticação com o IdP SAML. Caso contrário, eles podem ter cookies do navegador do IdP ou do grupo de usuários que os transmitem à aplicação sem a necessidade de inserir credenciais.

Quando você configura seu IdP SAML para aceitar o Fluxo de logout, o Amazon Cognito redireciona seu usuário com uma solicitação de logout de SAML assinada para seu IdP. O Amazon Cognito determina o local de redirecionamento a partir do URL SingleLogoutService nos metadados do seu IdP. O Amazon Cognito assina a solicitação de desconexão com seu certificado de assinatura do grupo de usuários.

Diagrama de fluxo de autenticação de logout do SAML do Amazon Cognito. O usuário solicita o logout e o Amazon Cognito o redireciona para seu provedor com uma solicitação de desconexão do SAML.

Quando você direciona um usuário com uma sessão de SAML para o endpoint /logout do grupo de usuários, o Amazon Cognito redireciona seu usuário do SAML com a seguinte solicitação para o endpoint de SLO especificado nos metadados do IdP.

https://[SingleLogoutService endpoint]?
SAMLRequest=[encoded SAML request]&
RelayState=[RelayState]&
SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256&
Signature=[User pool RSA signature]

Em seguida, seu usuário retorna ao seu endpoint saml2/logout com um LogoutResponse de seu IdP. Seu IdP deve enviar a LogoutResponse em uma solicitação HTTP POST. Em seguida, o Amazon Cognito faz o redirecionamento para o destino de redirecionamento a partir da solicitação inicial de desconexão.

Seu provedor de SAML pode enviar um LogoutResponse com mais de um AuthnStatement. O sessionIndex no primeiro AuthnStatement em uma resposta desse tipo deve corresponder ao sessionIndex na resposta SAML que autenticou originalmente o usuário. Se sessionIndex estiver em qualquer outro AuthnStatement, o Amazon Cognito não reconhecerá a sessão e seu usuário não será desconectado.

Console de gerenciamento da AWS
Para configurar a desconexão do SAML

  1. Crie um grupo de usuários, um cliente de aplicação e um IdP SAML.

  2. Ao criar ou editar seu provedor de identidades SAML, em Informações do provedor de identidades, marque a caixa com o título Adicionar fluxo de saída.

  3. No menu Provedores sociais e externos do seu grupo de usuários, escolha seu IdP e localize o certificado de assinatura.

  4. Escolha Baixar como .crt.

  5. Configure seu provedor SAML para oferecer suporte ao logout único e à assinatura de solicitações do SAML, além de carregar o certificado de assinatura do grupo de usuários. Seu IdP deve redirecionar para /saml2/logout no domínio do grupo de usuários.

API/CLI

Para configurar a desconexão do SAML

Configure o logout único com o IDPSignout parâmetro de uma solicitação de UpdateIdentityProviderAPI CreateIdentityProviderou. Veja a seguir um exemplo de ProviderDetails de um IdP compatível com o logout único do SAML.

"ProviderDetails": { 
      "MetadataURL" : "https://myidp.example.com/saml/metadata",
      "IDPSignout" : "true",,
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}