Wie verwende ich einen Drittanbieter-IdP, um IAM Identity Center für meinen Amazon Cognito-Benutzerpool zu konfigurieren?

Lösung

Verwende einen App-Client und einem Domainnamen verwenden, um einen Amazon-Cognito-Benutzerpool zu erstellen

Hinweis: Wenn du einen Benutzerpool mit einem App-Client hast, fahre mit dem Abschnitt IAM Identity Center aktivieren und einen Benutzerbereich hinzufügen fort.

Führe die folgenden Schritte aus:

1. Erstelle eine neue Anwendung.
2. Erstelle eine Amazon Cognito-Präfix-Domain im Format: https://cognitoexample.auth.region.amazoncognito.com. Oder erstelle eine benutzerdefinierte Domain. Weitere Informationen findest du unter Konfiguration eines Benutzerpool-Domain.
3. (Optional) Branding auf verwaltete Anmeldeseiten anwenden.

IAM Identity Center aktivieren und feinen Benutzer hinzufügen

Hinweis: Wenn du über eine funktionierende IAM Identity Center-Umgebung verfügen, fahre mit dem Abschnitt SAML-Anwendung konfigurieren fort.

Führe die folgenden Schritte aus:

1. Lese die Voraussetzungen und Überlegungen zu IAM Identity Center.
2. Aktiviere IAM Identity Center. 
   Hinweis: Für den Instance-Typ musst du eine Organisations-Instance von IAM Identity Center wählen, die du im Verwaltungskonto von AWS Organizations erstellst.
3. Bestätige die Identitätsquelle und erstelle dann einen Benutzer.

Eine SAML-Anwendung konfigurieren

Führe die folgenden Schritte aus:

1. Öffne die IAM Identity Center-Konsole.
2. Wähle im Navigationsbereich Anwendungen aus.
3. Wähle Anwendung hinzufügen und dann unter Einrichtungseinstellungen die Option Ich habe eine Anwendung, die ich einrichten möchte aus.
4. Wähle als Anwendungstyp SAML 2.0 aus und klicke dann auf Weiter.
5. Gib auf der Seite Anwendung konfigurieren einen Anzeigenamen und eine Beschreibung ein.
6. Notiere dir die URL der SAML-Metadatendatei von IAM Identity Center oder wähle den Hyperlink Herunterladen, um die Datei herunterzuladen. 
7. Wähle unter Anwendungsmetadaten die Option Manuelles Eingeben der Metadatenwerte aus. Gib die folgenden Werte ein:
   Gib für URL des Application Assertion Consumer Service (ACS) https://domain-prefix.auth.region.amazoncognito.com/saml2/idpresponse ein.
   Gib für SAML-Anwendungszielgruppe urn:amazon:cognito:sp:userpool-id ein.
   Hinweis: Ersetze domain-prefix durch die Domain-Präfix, Region durch die AWS-Region und userpool-id durch die Benutzerpool-ID.
8. Wähle Absenden aus.
9. Wähle auf der Seite Details für die Anwendung die Drop-down-Liste Aktionen aus.
10. Wähle Attributzuordnungen bearbeiten aus und gib dann die folgenden Attribute ein:
    Behalte für das Benutzerattribut in der Anwendung den Standard Betreff.
    Für Ordnet diesem Zeichenfolgenwert oder Benutzerattribut in IAM Identity Center zu,gib ${user:subject} ein.
    Gib für Format den Wert Persistent ein.
    Für Benutzerattribut in der Anwendung gib E-Mail ein.
    Für Ordnet diesem Zeichenkettenwert oder Benutzerattribut in IAM Identity Center zu,gib ${user:email} ein.
    Gib für Format Einfach ein.
    Hinweis: IAM Identity Center sendet die Attributzuordnungen an Amazon Cognito, wenn du dich anmeldest. Stelle sicher, dass du alle erforderlichen Attribute des Benutzerpools zuordnen. Weitere Informationen zu verfügbaren Zuordnungsattributen findest du unter Unterstützte externe Identitätsanbieter-Attribute.
11. Wähle Absenden aus.
12. Wähle im Abschnitt Zugewiesene Benutzer und Gruppen die Option Benutzer und Gruppen zuweisen aus.
13. Suche den Benutzer und wähle dann Zuweisen.

Konfigurieren von IAM Identity Center als SAML IdP im Benutzerpool

Informationen zum Konfigurieren eines SAML-IdP im Benutzerpool findest du unter Hinzufügen und Verwalten von SAML-Identitätsanbietern in einem Benutzerpool. Wenn du eine SAML-Provider-Attributzuordnung angibst, gib eine gültige E-Mail in das SAML-Attributfeld ein. Wähle für Benutzerpool-Attribut E-Mail aus.

Informationen zu Anbieternamen und Identifikatoren findest du unter Namen und Identifikatoren von SAML-Identitätsanbietern.

Den Benutzerpool-App-Client verwenden, um den Identitätsanbieter zu integrieren

Führe die folgenden Schritte aus:

1. Öffne die Amazon-Cognito-Konsole.
2. Wähle im Navigationsbereich Benutzerpools aus.
3. Wähle unter Anwendungen die Option App-Clients aus.
4. Wähle einen App-Client aus.
5. Wähle im Abschnitt Anmeldeseiten die Option Bearbeiten aus.
6. Wähle im Abschnitt Identitätsanbieter den IdP aus.
7. Wähle Änderungen speichern aus.

Testen des Setups

Gehe wie folgt vor, um eine vom Serviceanbieter (SP) initiierte Anmeldung zu testen:

1. Öffne die Amazon Cognito-Konsole und wähle dann auf der Registerkarte Anmeldeseiten der App-Clients Anmeldeseite anzeigen. Oder erstelle die URL des Anmeldeendpunkts. Verwende das folgende Beispielbenennungsmuster und ersetze die Beispielwerte durch deine Werte:
   https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com
   Wähle für den OAuth 2.0-Erteilungdtypen die Option Implizite Gewährung aus. Setze dann response_type in der Anfrage-URL auf Token.
2. Wähle auf der Registerkarte Anmeldeseiten den IAM Identity Center-IdP aus.
   Wenn der Browser dich zur Callback-URL des App-Clients weiterleitet, hast du dich erfolgreich als Benutzer angemeldet. Die Benutzerpool-Token werden in der URL der Adressleiste des Webbrowsers angezeigt.
   Hinweis: Um diesen Schritt zu überspringen, erstelle eine Endpunkt-URL autorisieren, die das folgende Benennungsmuster hat:
   https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes
3. Gib die Benutzeranmeldeinformationen ein und wähle Anmelden aus.

Wenn Amazon Cognito dich mit einem Code oder Token zur Callback-URL weiterleitet, ist die Einrichtung abgeschlossen.

Gehe wie folgt vor, um zu testen, ob eine vom Identitätsanbieter (IdP) initiierte Anmeldung vorliegt:

1. Öffne die Amazon-Cognito-Konsole.
2. Wähle im Navigationsbereich Benutzerpools und dann wähle deinen Benutzerpool aus.
3. Wähle im Navigationsbereich Soziale und externe Anbieter aus.
4. Wähle den IdP aus und wähle dann im Abschnitt Informationen zum Identitätsanbieter die Option Bearbeiten aus.
5. Wähle im Abschnitt Vom IDP initiierte SAML-Anmeldung die Option Von SP und IDP initiierte SAML-Aussagen akzeptieren aus.
   Hinweis: Du kannst einem App-Client, der einen SAML-Anbieter mit IDP-initiierter Anmeldung akzeptiert, weitere SAML-Anbieter hinzufügen. Entferne andere soziale oder OpenID Connect (OIDC)-Anbieter oder Cognito-Benutzerpoolverzeichnisse aus dem App-Client.
6. Wähle Änderungen speichern aus.
7. Öffne die IAM Identity Center-Konsole und wähle dann die SAML 2.0-Anwendung aus.
8. Wähle das Drop-down-Menü Aktionen und dann Konfiguration bearbeiten aus.
9. Füge unter Anwendungseigenschaften den folgenden Wert Relais-Status hinzu:
   identity_provider=identity-provider-name&client_id=app-client-id&redirect_uri=callback-url&response_type=token&scope=openid+email
   Hinweis: Ersetze die Beispielwerte durch deine Werte.
10. Wähle Absenden aus.
11. Wähle im Navigationsbereich Einstellungen aus.
12. Kopiere im Abschnitt Identitätsquelle die URL des AWS-Zugriffsportals und öffne sie im Browser.
13. Gib die Benutzeranmeldeinformationen ein und wähle Anmelden aus.
14. Wähle die Cognito-Anwendung aus.

Wenn Amazon Cognito dich mit einem Code oder Token zur Callback-URL weiterleitet, ist die Einrichtung abgeschlossen.

Ähnliche Informationen

So funktioniert die Verbundanmeldung in Amazon Cognito-Benutzerpools

JSON-Web-Token (JWTs) für Benutzerpools verstehen