Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen

Wie richte ich AD FS als SAML-Identitätsanbieter mit einem Amazon Cognito-Benutzerpool ein?

Lesedauer: 4 Minute
0

Ich möchte Active Directory Verbund Services (AD FS) als Security Assertion Markup Language 2.0 (SAML 2.0) Identitätsanbieter (IDP) mit einem Amazon Cognito-Benutzerpool verwenden. Wie richte ich das alles ein?

Kurzbeschreibung

Amazon Cognito-Benutzerpools ermöglichen die Anmeldung über einen Drittanbieter (Verband), einschließlich über einen SAML-IdP wie AD FS. Weitere Informationen finden Sie unter Hinzufügen einer Benutzerpool-Anmeldung über einen Drittanbieter und Hinzufügen von SAML-Identitätsanbietern zu einem Benutzerpool.

Sie können einen AD FS-Server und einen Domänencontroller auf einer Amazon Elastic Compute Cloud (Amazon EC2) Windows-Instance einrichten und dann Ihr Setup mithilfe der gehosteten Web-Benutzeroberfläche von Amazon Cognito in Ihren Benutzerpool integrieren.

Wichtig: Für diese Lösung benötigen Sie einen Domainnamen, den Sie besitzen. Wenn Sie keine Domain besitzen, können Sie ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html)eine neue Domain bei Amazon Route 53 oder einem anderen Domain Name System (DNS) registrieren[.

Behebung

Erstellen Sie einen Amazon Cognito-Benutzerpool mit einem App-Client

Weitere Informationen finden Sie unter Tutorial: Einen Benutzerpool erstellen und die gehostete Benutzeroberfläche mit der Amazon Cognito-Konsole einrichten.

Hinweis: Beim Erstellen eines Benutzerpools wird standardmäßig das Standardattribut E-Mail ausgewählt. Weitere Informationen zu Benutzerpool-Attributen finden Sie unter Konfiguration von Benutzerpool-Attributen.

Eine EC2-Windows-Instance einrichten

Konfigurieren und starten Sie eine EC2-Windows-Instance und richten Sie dann einen AD FS-Server und einen Domain-Controller darauf ein. Weitere Informationen finden Sie unter Wie richte ich AD FS auf einer Amazon EC2-Windows-Instance ein, um mit einem Verbund für einen Amazon Cognito-Benutzerpool zu arbeiten?

Konfigurieren Sie Ihren AD FS-Server als SAML-IdP in Amazon Cognito

Weitere Informationen finden Sie unter Erstellen und Verwalten eines SAML-Identitätsanbieters für einen Benutzerpool (AWS Management Console). Folgen Sie den Anweisungen unter So konfigurieren Sie einen SAML 2.0-Identitätsanbieter in Ihrem Benutzerpool.

Fügen Sie beim Erstellen des SAML-IdP für das Metadatendokument entweder die Endpunkt-URL des Metadatendokuments ein oder laden Sie die XML-Metadatendatei hoch.

E-Mail-Adresse vom IdP-Attribut zum Benutzerpool-Attribut zuordnen

Weitere Informationen finden Sie unter Angeben von Identitätsanbieter-Attributzuordnungen für Ihren Benutzerpool. Folgen Sie den Anweisungen unter So geben Sie eine SAML-Anbieter-Attributzuordnung an.

Wenn Sie ein SAML-Attribut hinzufügen, geben Sie für SAML-Attribut http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Wählen Sie für das Benutzerpool-Attribut die Option E-Mail aus der Liste.

Ändern Sie die App-Client-Einstellungen in Amazon Cognito

  1. Wählen Sie auf der Verwaltungsseite der Amazon Cognito-Konsole für Ihren Benutzerpool unter App-Integration die Option App-Client-Einstellungen. Gehen Sie dann wie folgt vor:
    Aktivieren Sie unter Aktivierte Identitätsanbieter das Kontrollkästchen für den SAML-IdP, den Sie konfiguriert haben. Zum Beispiel ADFS.
    Geben Sie für Rückruf-URL(s) eine URL ein, zu der Ihre Benutzer nach der Anmeldung weitergeleitet werden sollen.
    Geben Sie unter Abmelde-URL(s) eine URL ein, zu der Ihre Benutzer nach dem Abmelden weitergeleitet werden sollen.
    Aktivieren Sie unter Zulässige OAuth-Flows die Kontrollkästchen Authorization code grant und Implicit Grant.
    Aktivieren Sie unter Zulässige OAuth-Bereiche alle Kontrollkästchen.
  2. Wählen Sie Änderungen speichern. Weitere Informationen finden Sie unter Terminologie zu App-Client-Einstellungen.

Testen Sie Ihr Setup mithilfe der von Amazon Cognito gehosteten Web-Benutzeroberfläche

  1. Geben Sie diese URL in Ihren Webbrowser ein: https://domainNamePrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=appClientId&redirect_uri=https://www.example.com Hinweis: Verwenden Sie für die URL Werte aus Ihrem Benutzerpool und App-Client. Suchen Sie die Domain (einschließlich Domainnamen-Präfix und AWS-Region) für Ihren Benutzerpool in der Amazon Cognito-Konsole auf der Seite zur App-Integration. Suchen Sie die App-Client-ID in den App-Client-Einstellungen. Ersetzen Sie https://www.example.com durch die Callback-URL für Ihren SAML-IdP.
  2. Wählen Sie den Namen des SAML-IdP, den Sie konfiguriert haben. Sie werden zur AD FS-Authentifizierungsseite weitergeleitet.
  3. Geben Sie unter Mit Ihrem Organisationskonto anmelden den Benutzernamen und das Passwort für Ihren Active Directory-Benutzer ein.
  4. Wählen Sie Anmelden. Wenn die Anmeldung erfolgreich ist, gibt Amazon Cognito Benutzerpool-Token und eine erfolgreiche SAML-Antwort zurück. Weitere Informationen zur Anzeige der SAML-Antwort finden Sie zur Problembehandlung unter So zeigen Sie eine SAML-Antwort in Ihrem Browser an. Hinweis: Nach der Dekodierung sollte die SAML-Antwort das erforderliche Attribut nameID enthalten.

Weitere Informationen

Aufbau einer ADFS-Föderation für Ihre Web-App mithilfe von Amazon Cognito-Benutzerpools

Integration von SAML-Identitätsanbietern von Drittanbietern in Amazon Cognito-Benutzerpools

IDP-Authentifizierungsablauf für SAML-Benutzerpools

Wie richte ich einen SAML-Identitätsanbieter eines Drittanbieters mit einem Amazon Cognito-Benutzerpool ein?

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 3 Jahren