本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 步骤 11:(可选)在 Amazon Cognito 中配置其他身份提供商
如果您在启动堆栈时选择了可选`true`的 “**允许在 Cognito 中配置其他身份提供商**” 参数,则可以在 Amazon Cognito IdPs 中设置其他身份提供商,以允许使用现有 SAML IdP 登录。设置外部 IdP 的过程因提供者而异。本节介绍了 Amazon Cognito 配置以及配置外部 IdP 的一般步骤。
执行以下步骤以从 Amazon Cognito 收集信息并提供给外部 IdP:
1. 导航到 [AWS CloudFormation 控制台](https://console.aws.amazon.com/cloudformation/home),然后选择 AW **S 堆栈上的云迁移工厂**。
1. 选择**输出**选项卡。
1. 在 “**密钥**” 列中,找到**UserPoolId**并记录该**值**,以便稍后在设置过程中使用。
1. 导航到 [Amazon Cognito 控制台](https://console.aws.amazon.com/cognito/home)。
1. 从解决方案堆栈输出中选择与用户池 ID 匹配的用户池。
1. 选择**应用程序集成**选项卡并记录 **Cognito 域**,以便稍后在设置过程中使用。
在现有 IdP 的管理界面中执行以下步骤:
**注意**
这些说明是通用的,具体细节因提供者而异。有关设置 SAML 应用程序的完整详细信息,请参阅您 IdP 的文档。
1. 导航到您的 IdP 的管理界面。
1. 选择添加应用程序或为应用程序设置 SAML 身份验证的选项,然后创建或添加新应用程序。
1. 在此 SAML 应用程序的设置中,系统将要求您输入以下值:
1. **标识符(实体 ID)**或类似内容。提供以下值:
```
urn:amazon:cognito:sp:
```
1. **回复 URL(断言使用者服务 URL)**或类似内容。提供以下值:
```
https:///saml2/idpresponse
```
1. **属性和声明**或类似内容。至少要确保配置了唯一标识符或主题,以及用于提供用户电子邮件地址的属性。
1. 此时将有一个**元数据 URL**,或存在下载**元数据 XML** 文件的功能。下载文件副本或记录所提供的 URL,以便稍后在设置过程中使用。
1. 在设置中,配置可以登录 CMF 应用程序的 IdP 用户的访问列表。IdP 中获得了应用程序访问权限的所有用户都将自动获得对 CMF 控制台的只读访问权限。
执行以下步骤,将新 IdP 添加到堆栈部署期间创建的 Amazon Cognito 用户池:
1. 导航到 [Amazon Cognito 控制台](https://console.aws.amazon.com/cognito/home)。
1. 从解决方案堆栈输出中选择与用户池 ID 匹配的用户池。
1. 选择**登录体验**选项卡。
1. 选择**添加身份提供商**,然后选择 **SAML** 作为第三方提供商。
1. 提供者的名称;该名称将在 CMF 登录屏幕上显示给用户。
1. 在**元数据文档源**部分,提供从 IDP SAML 设置捕获的**元数据 URL**,或上传**元数据 XML** 文件。
1. 在**映射属性**部分中,选择**添加其他属性**。
1. 为**用户池属性**值选择**电子邮件**。对于 **SAML 属性**,输入一个属性的名称,您的外部 IdP 将向该属性提供电子邮件地址。
1. 选择**添加身份提供者**以保存此配置。
1. 选择**应用程序集成**选项卡。
1. 在**应用程序客户端列表**部分中,通过单击相应名称选择 Migration Factory 应用程序客户端(应该只列出一个)。
1. 从**托管 UI**部分,选择**编辑**。
1. 通过选择您在步骤 5 中添加的新 IdP 名称并取消选择 **Cognito 用户池**来更新所选的**身份提供者**。
**注意**
Cognito 用户池不是必需的,因为它内置于 CMF 登录屏幕中,如果被选中,它将显示两次。
1. 选择**保存更改**。
配置现已完成。在 CMF 登录页面上,您将看到**使用您的企业 ID 登录**按钮。选择此选项将显示您之前配置的提供者。选择此选项的用户将被引导登录,然后在成功登录后返回 CMF 控制台。