使用單一登出來登出 SAML 使用者 - Amazon Cognito

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用單一登出來登出 SAML 使用者

Amazon Cognito 支援 SAML 2.0 單一登出 (SLO。 透過 SLO,您的應用程式可以在使用者從使用者集區登出時,從其 SAML 身分提供者 (IdPs) 登出使用者。如此一來,當使用者想要再次登入您的應用程式時,他們必須使用其 SAML IdP 進行身分驗證。否則,他們可能已備妥 IdP 或使用者集區瀏覽器 Cookie,這些 Cookie 會傳遞到您的應用程式,而不需要他們提供登入資料。

當您將 SAML IdP 設定為支援登出流程時,Amazon Cognito 會使用已簽署的 SAML 登出請求將使用者重新導向至 IdP。Amazon Cognito 會從 IdP 中繼資料中的 SingleLogoutService URL 判斷重新導向位置。Amazon Cognito 使用您的使用者集區簽署憑證來簽署登出請求。

Amazon Cognito SAML 登出的身分驗證流程圖。使用者請求登出,Amazon Cognito 會使用 SAML 登出請求將其重新導向至其提供者。

當您將具有 SAML 工作階段的使用者導向您的使用者集區/logout端點時,Amazon Cognito 會使用下列請求將 SAML 使用者重新導向至 IdP 中繼資料中指定的 SLO 端點。

https://[SingleLogoutService endpoint]?
SAMLRequest=[encoded SAML request]&
RelayState=[RelayState]&
SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256&
Signature=[User pool RSA signature]

您的使用者接著LogoutResponse會從其 IdP 使用 返回您的saml2/logout端點。您的 IdP 必須在 HTTP POST請求LogoutResponse中傳送 。然後,Amazon Cognito 會從其初始登出請求將其重新導向至重新導向目的地。

您的 SAML 供應商可能會傳送AuthnStatement一個LogoutResponse以上的 。此類型的回應AuthnStatement中第一個 sessionIndex中的 必須符合最初驗證使用者的 SAML 回應sessionIndex中的 。如果 sessionIndex 位於任何其他 中AuthnStatement,Amazon Cognito 將無法辨識工作階段,也不會登出您的使用者。

AWS Management Console
設定 SAML 登出

  1. 建立使用者集區應用程式用戶端和 SAML IdP。

  2. 當您建立或編輯 SAML 身分提供者時,請在身分提供者資訊下,勾選標題為新增登出流程的方塊。

  3. 從使用者集區的社交和外部提供者選單中,選擇您的 IdP 並找到簽署憑證

  4. 選擇下載為 .crt

  5. 將 SAML 提供者設定為支援 SAML 單一登出和請求簽署,並上傳使用者集區簽署憑證。您的 IdP 必須重新導向至使用者集區網域/saml2/logout中的 。

API/CLI

設定 SAML 登出

使用 CreateIdentityProviderUpdateIdentityProvider API 請求的 IDPSignout 參數設定單一登出。以下是支援 SAML 單一登出ProviderDetails的 IdP 範例。

"ProviderDetails": { 
      "MetadataURL" : "https://myidp.example.com/saml/metadata",
      "IDPSignout" : "true",,
      "RequestSigningAlgorithm" : "rsa-sha256",
      "EncryptedResponses" : "true",
      "IDPInit" : "true"
}