Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso

¿Cómo configuro Auth0 como un proveedor de identidad SAML con un grupo de usuarios de Amazon Cognito?

8 minutos de lectura
0

Quiero utilizar Auth0 como proveedor de identidades (IdP) Security Assertion Markup Language 2.0 (SAML 2.0) con un grupo de usuarios de Amazon Cognito. ¿Cómo lo puedo configurar?

Descripción breve

Los grupos de usuarios de Amazon Cognito permiten iniciar sesión a través de un tercero (federación), incluso a través de un IdP SAML, como Auth0. Para obtener más información, consulte Agregar inicio de sesión de grupo de usuarios a través de un tercero y Agregar proveedores de identidad SAML a un grupo de usuarios.

Un grupo de usuarios integrado con Auth0 permite a los usuarios de su aplicación Auth0 obtener los tokens del grupo de usuarios de Amazon Cognito. Para obtener más información, consulte Uso de tokens con grupos de usuarios.

Para configurar Auth0 como IdP SAML, necesita un grupo de usuarios de Amazon Cognito con un cliente de aplicación y un nombre de dominio y una cuenta de Auth0 con una aplicación Auth0.

Resolución

Creación de un grupo de usuarios de Amazon Cognito con un cliente de aplicación y un nombre de dominio

Para obtener más información, consulte los siguientes artículos:

Registrarse para obtener una cuenta de Auth0

Para empezar, introduzca su dirección de correo electrónico y una contraseña en la página de registro de Auth0. Si ya tiene una cuenta, inicie sesión.

Creación de una aplicación Auth0

  1. En el panel del sitio web de Auth0, elija Aplicaciones y, a continuación, elija Crear aplicación.
  2. En el cuadro de diálogo Crear aplicación, introduzca un nombre para la aplicación. Por ejemplo, Mi aplicación.
  3. En Elegir un tipo de aplicación, elija Aplicaciones web de una sola página.
  4. Elija Crear.

Creación de un usuario de prueba para la aplicación Auth0

  1. En la barra de navegación de la izquierda, elija Administración de usuarios y, a continuación, Usuarios.
  2. Seleccione Crear el primer usuario. Si este no es su primer usuario, seleccione Crear usuario.
  3. En el cuadro de diálogo Crear usuario, introduzca una dirección de correo electrónico y una contraseña para el usuario.
  4. Elija Guardar.

Configuración de los ajustes de SAML para su aplicación

  1. En la barra de navegación de la izquierda, seleccione Aplicaciones.
  2. Elija el nombre de la aplicación que creó.
  3. En la pestaña Complementos, active Aplicación web SAML2.
  4. En el cuadro de diálogo Complemento: Aplicación web SAML2, en la pestaña Configuración que encontrará en URL de devolución de llamada de la aplicación, escriba: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
    Nota: Sustituya yourDomainPrefix y region por los valores de su grupo de usuarios. Los encontrará en la consola de Amazon Cognito, en la pestaña Nombre de dominio de la página de administración de su grupo de usuarios.
    O bien:
    Introduzca una URL de devolución de llamada de dominio personalizado similar a la siguiente: https//yourCustomDomain/saml2/idpresponse. Para obtener más información, consulte Añadir dominio personalizado a un grupo de usuarios.
  5. En Configuración, haga lo siguiente:
    En audiencia, elimine el delimitador de comentarios (//) y reemplace el valor predeterminado (urn:foo) por urn:amazon:cognito:sp:yourUserPoolId.
    Nota: Sustituya yourUserPoolId por el ID de su grupo de usuarios de Amazon Cognito. Encontrará el ID en la consola de Amazon Cognito, en la pestaña Configuración general de la página de administración de su grupo de usuarios.
    En mappings y email, elimine los delimitadores de comentarios (//). Haga lo mismo con cualquier otro atributo que requiera su grupo de usuarios de Amazon Cognito. Para obtener más información, consulte Atributos del grupo de usuarios.
    En nameIdentifierFormat, elimine los delimitadores de comentarios (//). Sustituya el valor predeterminado (urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified) por urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
  6. (Opcional) Seleccione Depurar y, a continuación, inicie sesión como el usuario de prueba que creó para confirmar que la configuración funciona.
  7. Elija Habilitar y, a continuación, seleccione Guardar.

Obtener los metadatos del IdP para la aplicación Auth0

En el cuadro de diálogo Complemento: aplicación web SAML2, en la pestaña Uso, busque Metadatos del proveedor de identidad. A continuación, realice una de las siguientes acciones:

  • Haga clic con el botón secundario en Descargar y, a continuación, copie la URL.
  • Elija Descargar para descargar el archivo de metadatos .xml.

Configuración de Auth0 como IdP SAML en Amazon Cognito

Para obtener más información, consulte Creación y administración de un proveedor de identidad SAML para un grupo de usuarios. Siga las instrucciones que aparecen en Para configurar un IdP SAML 2.0 en su grupo de usuarios.

Al crear el IdP SAML, en Documento de metadatos, pegue la URL de los metadatos del proveedor de identidad o cargue el archivo de metadatos .xml.

Asignar una dirección de correo electrónico del atributo IdP al atributo del grupo de usuarios

Para obtener más información, consulte Especificación de asignaciones de atributos del proveedor de identidad para su grupo de usuarios y siga las instrucciones que se indican en Para especificar un mapeo de atributo de proveedor SAML.

Al añadir un atributo SAML, en Atributo SAML, introduzca http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. En el atributo Grupo de usuarios, seleccione Correo electrónico en la lista.

Cambio de configuración del cliente de la aplicación en Amazon Cognito

  1. En la página de administración de la consola de Amazon Cognito de su grupo de usuarios, en Integración de aplicaciones, seleccione Configuración del cliente de aplicación. A continuación, haga lo siguiente:
    En Proveedores de identidad habilitados, active las casillas Auth0 y Grupo de usuarios de Cognito.
    En Direcciones URL de devolución de llamada, introduzca la URL a la que quiera que se redirijan los usuarios después de iniciar sesión. Para realizar pruebas, puede introducir cualquier URL válida, como https://www.amazon.com.
    En URL de cierre de sesión, introduzca la URL a la que quiera que se redirijan los usuarios después de cerrar sesión. Para realizar pruebas, puede introducir cualquier URL válida, como https://www.amazon.com.
    En Flujos de OAuth permitidos, marque por lo menos la casilla de verificación Concesión implícita.
    En Ámbitos de OAuth permitidos, marque por lo menos las casillas de verificación email y openid.
  2. Seleccione Guardar cambios.

Para obtener más información, consulte Terminología de la configuración del cliente de la aplicación.

Pruebe del punto de conexión Login

  1. Introduzca esta URL en su navegador web: https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/login?response_type=token&client_id=<yourClientId>&redirect_uri=<redirectUrl>
    Nota: Sustituya yourDomainPrefix y region por los valores de su grupo de usuarios. Los encontrará en la consola de Amazon Cognito, en la pestaña Nombre de dominio de la página de administración de su grupo de usuarios.
    Reemplace yourClientId por el ID de su cliente de aplicación y reemplace redirectUrl por la URL de devolución de llamada del cliente de aplicación. Encontrará el ID en la consola de Amazon Cognito, en la pestaña Configuración del cliente de aplicación de la página de administración de su grupo de usuarios.
    Para obtener más información, consulte ¿Cómo configuro la interfaz de usuario web alojada para Amazon Cognito? y Punto de conexión Login.
  2. Elija Auth0.
    Nota: Si se le redirige a la URL de devolución de llamada del cliente de aplicación, ya ha iniciado sesión en la cuenta de Auth0 en el navegador. Los tokens del grupo de usuarios aparecen en la URL en la barra de direcciones del navegador web.
  3. En la página de inicio de sesión de su aplicación Auth0, introduzca el correo electrónico y la contraseña para el usuario de prueba que creó.
  4. Seleccione Iniciar sesión.

Tras iniciar sesión, se le redirigirá a la URL de devolución de llamada del cliente de aplicación. Los tokens del grupo de usuarios aparecen en la URL en la barra de direcciones del navegador web.


Información relacionada

Integración de proveedores de identidad SAML de terceros con grupos de usuarios de Amazon Cognito

Flujo de autenticación de proveedores de identidad (IdP) de grupos de usuarios de SAML

¿Cómo configuro un proveedor de identidades SAML externo con un grupo de usuarios de Amazon Cognito?

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años