Direkt zum Inhalt

Ongoing service disruptions

For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?

Wie richte ich Okta als SAML-Identitätsanbieter in einem Amazon Cognito-Benutzerpool ein?

Lesedauer: 6 Minute

0

Ich möchte Okta als SAML 2.0-Identitätsanbieter (IDP) in meinem Benutzerpool konfigurieren, damit meine App-Benutzer Token von Amazon Cognito erhalten.

Kurzbeschreibung

Die Okta SAML IdP-Integration mit Amazon Cognito erfordert eine Konfiguration auf beiden Plattformen. Erstelle und konfiguriere zunächst eine SAML-App-Integration in Okta. Füge anschließend Okta als IdP zu deinem Amazon Cognito-Benutzerpool hinzu und konfiguriere deine App-Client-Einstellungen, um die Okta-Authentifizierung zu ermöglichen. Nach der Einrichtung empfiehlt es sich, den Authentifizierungsablauf zu testen, um sicherzustellen, dass Benutzer Tokens von Amazon Cognito erhalten, nachdem sie sich über Okta angemeldet haben.

Lösung

Bevor du Okta als SAML-IdP konfigurierst, gehe wie folgt vor:

(Optional) Okta-Entwicklerkonto eröffnen

Hinweis: Wenn du bereits ein Okta-Entwicklerkonto hast, melde dich an.

Führe die folgenden Schritte aus:

Öffne die Okta Developer-Anmeldeseite auf der Okta Developer-Website.
Gib die erforderlichen Informationen ein und wähle dann Registrieren aus. Okta sendet eine Bestätigungs-E-Mail an die von dir angegebene E-Mail-Adresse.
In der Bestätigungs-E-Mail findest du die Anmeldeinformationen für dein Konto.
Wähle Konto aktivieren aus und melde dich dann an, um die Kontoerstellung abzuschließen.

SAML-App erstellen und SAML-Integration für deine Okta-App konfigurieren

Führe die folgenden Schritte aus:

Öffne die Okta Developer-Konsole.
Erweitere im Navigationsbereich Anwendungen und wähle dann Anwendungen aus.
Wähle App-Integration erstellen aus.
Wähle im Menü Neue App-Integration erstellen als ** Anmeldemethod** die Option SAML 2.0 aus.
Wähle Weiter aus.
Gib auf der Seite SAML-Integration erstellen unter Allgemeine Einstellungen einen Namen für die App ein.
(Optional) Lade ein Logo hoch und wähle Sichtbarkeitseinstellungen für deine App aus.
Wähle Weiter aus.
Gib unter SAML-Einstellungen für Single-Sign-On-URL https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse ein.
Hinweis: Ersetze yourDomainPrefix und region durch die Werte deines Benutzerpools. Um diese Werte zu finden, öffne die Amazon Cognito-Konsole und wähle dann Domain aus dem Branding-Abschnitt aus.
Gib als Zielgruppen-URI (SP-Entitäts-ID) urn:amazon:cognito:sp:yourUserPoolId ein.
Hinweis: Ersetze yourUserPoolId durch die Benutzerpool-ID. Die Benutzerpool-ID findest du im Abschnitt Übersicht auf der Amazon Cognito-Konsole.
Füge unter Attributanweisungen (optional) eine Anweisung hinzu und verwende die folgenden Informationen:
Gib als Name den SAML-Attributnamen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ein.
Gib als Wert user.email ein.
Verwende für andere Einstellungen auf der Seite die Standardwerte oder passe sie an deine Anforderungen an.
Wähle Weiter aus.
Wenn du dazu aufgefordert wirst, wähle eine Feedback-Antwort zur Einrichtung der App aus.
Hinweis: Dies ist Teil des Standardanwendungserstellungsprozesses von Okta, um Feedback zur Benutzererfahrung zu sammeln.
Wähle Fertigstellen aus.

Der Okta-Anwendung einen Benutzer zuweisen

Führe die folgenden Schritte aus:

Wähle in der Okta-App auf der Registerkarte Zuweisungen unter Zuweisen die Option Personen zuweisen aus.
Wähle neben dem Benutzer, den du zuweisen möchtest, die Option Zuweisen aus.
Hinweis: Wenn es sich um ein neues Konto handelt, kannst du nur dich selbst als Benutzer auswählen.
(Optional) Gib für Benutzername einen benutzerdefinierten Benutzernamen ein. Okta verwendet die E-Mail-Adresse des Benutzers als Benutzernamen, wenn du keinen angibst.
Wähle Speichern und Zurück aus, um die Benutzerzuweisung abzuschließen.
Wähle Fertig aus.

IdP-Metadaten für die Okta-Anwendung abrufen

Kopiere im Tab Anmelden für deine Okta-App unter Metadatendetails die Metadaten-URL.

Okta als SAML-IdP in den Benutzerpool konfigurieren

Führe die folgenden Schritte aus:

Öffne die Amazon Cognito-Konsole.
Wähle den Benutzerpool.
Wähle im Navigationsbereich unter Authentifizierung die Option Soziale und externe Anbieter aus.
Wähle Identitätsanbieter hinzufügen und dann SAML aus.
Gib unter App bei deinem SAML-Anbieter registrieren als Anbietername Okta ein.
(Optional) Füge SAML-Identifikatoren hinzu, um Anmelde- und Abmeldeanfragen an Okta weiterzuleiten.
(Optional) Aktiviere den Single Logout, um Benutzer von Okta abzumelden, wenn sie sich von deinem Benutzerpool abmelden.
Wähle unter Metadaten-Dokumentquelle die Option URL des Metadaten-Dokumentendpunkts eingeben aus und füge dann die Metadaten-URL ein, die du von der Registerkarte Anmelden in Okta kopiert hast.
Gib unter Attribute zwischen deinem SAML-Anbieter und deinem Benutzerpool zuordnen die E-Mail-Adresse für das SAML-Attribut an.
Wähle Identitätsanbieter hinzufügen aus.

Weitere Informationen findest unter Hinzufügen und Verwalten von SAML-Identitätsanbietern in den / im Benutzerpool.

Ändern der App-Client-Einstellungen für den Benutzerpool

Führe die folgenden Schritte aus:

Wähle in der Amazon Cognito-Konsole unter App-Clients deinen Benutzerpool aus.
Wähle im Navigationsbereich unter Anwendungen die Option App-Clients aus.
Navigiere auf der App-Client-Seite zum Abschnitt Anmeldeseiten. Wähle dann unter Konfiguration der verwalteten Anmeldeseiten die Option Bearbeiten aus.
Wähle in der Dropdownliste Identitätsanbieter die Optionen Okta und Cognito-Benutzerpool aus.
Gib für Callback-URL(s) die Ziel-URL für deine Benutzer nach erfolgreicher Anmeldung an.
Gib für Abmelde-URL(s) die Ziel-URL für deine Benutzer nach dem Abmelden an.
Hinweis: Wenn du die Integration testen möchtest, verwende eine Platzhalter-URL wie https://www.beispiel.com/. Du kannst diesen Platzhalter später mit der URL deiner Anwendung aktualisieren.
Wähle unter Zulässige OAuth-Abläufe die Option Implizite Erteilung aus.
Wähle unter Zulässige OAuth-Bereiche die Optionen email und openid aus.
Wähle Änderungen speichern aus.

Weitere Informationen findest du unter Nutzungsbedingungen für App-Clients.

Auf die Anmeldeseite zugreifen, um den SAML-Authentifizierungsablauf zu testen

Du kannst über die Amazon Cognito-Konsole auf die Anmeldeseite zugreifen oder eine URL für den Anmeldeendpunkt erstellen.

Wähle in der Amazon Cognito-Konsole unter App-Clients deinen Benutzerpool aus.
Wähle die Registerkarte Anmeldeseiten und dann Anmeldeseite anzeigen aus.
-oder-
Erstelle die URL des Anmeldeendpunkts. Verwende das folgende Benennungsmuster, um den Anmeldeendpunkt zu erstellen:
https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl
Hinweis: Ersetze yourDomainPrefix und region durch die Werte deines Benutzerpools. Um diese Werte in der Amazon Cognito-Konsole zu finden, wähle die Seite Domainnamen aus.
Wähle auf der Webseite für den Anmeldeendpunkt Okta aus.
Hinweis: Wenn das System dich zur Callback-URL deines App-Clients weiterleitet, bist du bereits in deinem Okta-Konto angemeldet. Fahre mit Schritt 5 fort.
Gib auf der Okta-Anmeldeseite den Benutzernamen und das Passwort für den Benutzer ein, den du deiner App zugewiesen hast.
Wähle Anmelden.
Suche in der Adressleiste deines Browsers nach den Benutzerpool-Token.

(Optional) Von Amazon Cognito gehostete Benutzeroberfläche umgehen

Um die von Amazon Cognito gehostete Weboberfläche zu umgehen und Benutzer zur Anmeldung direkt an Okta weiterzuleiten, verwende die folgende /oauth2/authorize-Endpunkt-URL:

https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

Hinweis: Ersetze yourDomainPrefix, region, samlProviderName, yourClientId, redirectUrl und allowedOauthScopes durch deine Werte. Um yourDomainPrefix und region zu finden, wähle in der Amazon Cognito-Konsole im Bereich Branding die Option Domain aus. Wähle für yourClientId und redirectUrl die Seite mit den ** App-Client**-Einstellungen in der Amazon Cognito-Konsole aus.

(Optional) Wenn du eine SAML-ID hinzugefügt hast, ersetze den Platzhalter identity_provider=samlProviderName durch idp_identifier=idpIdentifier. Ersetze idpIdentifier durch deine benutzerdefinierte Identifikationszeichenfolge.

Ähnliche Informationen

SAML-Sitzungsinitiierung in Amazon Cognito-Benutzerpools

Wie richte ich einen externen SAML-Identitätsanbieter mit einem Amazon Cognito-Benutzerpool ein?

Wie richte ich Okta als OpenID-Connect-Identitätsanbieter in einem Amazon Cognito-Benutzerpool ein?

Benutzerpool-Anmeldung bei externen Identitätsanbietern

Themen: Security, Identity, & Compliance
Tags: Amazon Cognito
Sprache: Deutsch

AWS OFFICIALAktualisiert vor 5 Monaten

Relevanter Inhalt

Wie behebe ich einen Fehler „ungültige SAML-Antwort“ für den Okta- und AWS IAM-Verbund?
AWS OFFICIALAktualisiert vor 4 Jahren
Wie kann ich Okta mit meinem AWS Managed Microsoft AD verwenden, um Endbenutzern, die eine Verbindung zu einem AWS-Client-VPN-Endpunkt herstellen, eine Multi-Faktor-Authentifizierung bereitzustellen?
AWS OFFICIALAktualisiert vor 4 Jahren
Wie richte ich einen externen SAML-Identitätsanbieter mit einem Amazon Cognito-Benutzerpool ein?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie richte ich Auth0 als OIDC-Anbieter in einem Amazon-Cognito-Benutzerpool ein?
AWS OFFICIALAktualisiert vor einem Jahr