Wie richte ich AD FS als SAML-Identitätsanbieter mit einem Amazon Cognito-Benutzerpool ein?
Ich möchte Active Directory Verbund Services (AD FS) als Security Assertion Markup Language 2.0 (SAML 2.0) Identitätsanbieter (IDP) mit einem Amazon Cognito-Benutzerpool verwenden. Wie richte ich das alles ein?
Kurzbeschreibung
Amazon Cognito-Benutzerpools ermöglichen die Anmeldung über einen Drittanbieter (Verband), einschließlich über einen SAML-IdP wie AD FS. Weitere Informationen finden Sie unter Hinzufügen einer Benutzerpool-Anmeldung über einen Drittanbieter und Hinzufügen von SAML-Identitätsanbietern zu einem Benutzerpool.
Sie können einen AD FS-Server und einen Domänencontroller auf einer Amazon Elastic Compute Cloud (Amazon EC2) Windows-Instance einrichten und dann Ihr Setup mithilfe der gehosteten Web-Benutzeroberfläche von Amazon Cognito in Ihren Benutzerpool integrieren.
Wichtig: Für diese Lösung benötigen Sie einen Domainnamen, den Sie besitzen. Wenn Sie keine Domain besitzen, können Sie ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html)eine neue Domain bei Amazon Route 53 oder einem anderen Domain Name System (DNS) registrieren[.
Behebung
Erstellen Sie einen Amazon Cognito-Benutzerpool mit einem App-Client
Weitere Informationen finden Sie unter Tutorial: Einen Benutzerpool erstellen und die gehostete Benutzeroberfläche mit der Amazon Cognito-Konsole einrichten.
Hinweis: Beim Erstellen eines Benutzerpools wird standardmäßig das Standardattribut E-Mail ausgewählt. Weitere Informationen zu Benutzerpool-Attributen finden Sie unter Konfiguration von Benutzerpool-Attributen.
Eine EC2-Windows-Instance einrichten
Konfigurieren und starten Sie eine EC2-Windows-Instance und richten Sie dann einen AD FS-Server und einen Domain-Controller darauf ein. Weitere Informationen finden Sie unter Wie richte ich AD FS auf einer Amazon EC2-Windows-Instance ein, um mit einem Verbund für einen Amazon Cognito-Benutzerpool zu arbeiten?
Konfigurieren Sie Ihren AD FS-Server als SAML-IdP in Amazon Cognito
Weitere Informationen finden Sie unter Erstellen und Verwalten eines SAML-Identitätsanbieters für einen Benutzerpool (AWS Management Console). Folgen Sie den Anweisungen unter So konfigurieren Sie einen SAML 2.0-Identitätsanbieter in Ihrem Benutzerpool.
Fügen Sie beim Erstellen des SAML-IdP für das Metadatendokument entweder die Endpunkt-URL des Metadatendokuments ein oder laden Sie die XML-Metadatendatei hoch.
E-Mail-Adresse vom IdP-Attribut zum Benutzerpool-Attribut zuordnen
Weitere Informationen finden Sie unter Angeben von Identitätsanbieter-Attributzuordnungen für Ihren Benutzerpool. Folgen Sie den Anweisungen unter So geben Sie eine SAML-Anbieter-Attributzuordnung an.
Wenn Sie ein SAML-Attribut hinzufügen, geben Sie für SAML-Attribut http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Wählen Sie für das Benutzerpool-Attribut die Option E-Mail aus der Liste.
Ändern Sie die App-Client-Einstellungen in Amazon Cognito
- Wählen Sie auf der Verwaltungsseite der Amazon Cognito-Konsole für Ihren Benutzerpool unter App-Integration die Option App-Client-Einstellungen. Gehen Sie dann wie folgt vor:
Aktivieren Sie unter Aktivierte Identitätsanbieter das Kontrollkästchen für den SAML-IdP, den Sie konfiguriert haben. Zum Beispiel ADFS.
Geben Sie für Rückruf-URL(s) eine URL ein, zu der Ihre Benutzer nach der Anmeldung weitergeleitet werden sollen.
Geben Sie unter Abmelde-URL(s) eine URL ein, zu der Ihre Benutzer nach dem Abmelden weitergeleitet werden sollen.
Aktivieren Sie unter Zulässige OAuth-Flows die Kontrollkästchen Authorization code grant und Implicit Grant.
Aktivieren Sie unter Zulässige OAuth-Bereiche alle Kontrollkästchen. - Wählen Sie Änderungen speichern. Weitere Informationen finden Sie unter Terminologie zu App-Client-Einstellungen.
Testen Sie Ihr Setup mithilfe der von Amazon Cognito gehosteten Web-Benutzeroberfläche
- Geben Sie diese URL in Ihren Webbrowser ein: https://domainNamePrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=appClientId&redirect_uri=https://www.example.com Hinweis: Verwenden Sie für die URL Werte aus Ihrem Benutzerpool und App-Client. Suchen Sie die Domain (einschließlich Domainnamen-Präfix und AWS-Region) für Ihren Benutzerpool in der Amazon Cognito-Konsole auf der Seite zur App-Integration. Suchen Sie die App-Client-ID in den App-Client-Einstellungen. Ersetzen Sie https://www.example.com durch die Callback-URL für Ihren SAML-IdP.
- Wählen Sie den Namen des SAML-IdP, den Sie konfiguriert haben. Sie werden zur AD FS-Authentifizierungsseite weitergeleitet.
- Geben Sie unter Mit Ihrem Organisationskonto anmelden den Benutzernamen und das Passwort für Ihren Active Directory-Benutzer ein.
- Wählen Sie Anmelden. Wenn die Anmeldung erfolgreich ist, gibt Amazon Cognito Benutzerpool-Token und eine erfolgreiche SAML-Antwort zurück. Weitere Informationen zur Anzeige der SAML-Antwort finden Sie zur Problembehandlung unter So zeigen Sie eine SAML-Antwort in Ihrem Browser an. Hinweis: Nach der Dekodierung sollte die SAML-Antwort das erforderliche Attribut nameID enthalten.
Weitere Informationen
Aufbau einer ADFS-Föderation für Ihre Web-App mithilfe von Amazon Cognito-Benutzerpools
Integration von SAML-Identitätsanbietern von Drittanbietern in Amazon Cognito-Benutzerpools
Ähnliche Videos
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Monat
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr