Comment puis-je configurer Google en tant que fournisseur d'identité fédéré dans un groupe d'utilisateurs Amazon Cognito ?

Lecture de 6 minute(s)
0

Je souhaite utiliser Google en tant que fournisseur d'identité (IdP) fédéré dans un groupe d'utilisateurs Amazon Cognito.

Résolution

Création d'un groupe d'utilisateurs Amazon Cognito avec un client d'application et un nom de domaine

Procédez comme suit :

  1. Créez un groupe d’utilisateurs.
    Remarque : lorsque vous créez un groupe d’utilisateurs, l’attribut standard e-mail est sélectionné par défaut.
  2. Créez un client d’application dans le groupe d’utilisateurs.
  3. Ajoutez un nom de domaine pour le groupe d’utilisateurs.

Création d’un projet dans la console Google API

Procédez comme suit :

  1. Connectez-vous à la console Google API à l’aide de votre compte Google. Pour plus d’informations, reportez-vous à la page Manage APIs in the API console du site web d'aide de Google.
  2. Sur le tableau de bord (API et services), choisissez CRÉER.
  3. Sous Nouveau projet, saisissez un nom de projet.
  4. Pour Emplacement, choisissez PARCOURIR, puis sélectionnez un emplacement.
  5. Sélectionnez CRÉER.

Pour plus d’informations, consultez la documentation en ligne Se connecter avec Google pour le Web sur le site Web de Google Identity.

Configuration de l’écran de consentement OAuth

Procédez comme suit :

  1. Dans la console Google API, dans le volet de navigation de gauche, choisissez Écran de consentement OAuth.
  2. Remplissez les champs obligatoires suivants du formulaire de consentement :
    Dans le champ Nom de l’application, saisissez un nom.
    Dans le champ Domaines autorisés, saisissez amazoncognito.com.
    Important : vous devez saisir ce domaine pour pouvoir utiliser votre domaine Amazon Cognito lors de la création d’un ID client OAuth.
  3. Choisissez Enregistrer.

Pour plus d’informations, reportez-vous à Compléter l'écran de consentement OAuth sur le site Web de Google Workspace.

Obtention des informations d’identification du client OAuth 2.0

Procédez comme suit :

  1. Dans la console Google API, sur la page Informations d’identification, choisissez Créer des informations d’identification.
  2. Choisissez ID de client OAuth.
  3. Sur la page Créer l’ID de client OAuth, dans Type d’application, sélectionnez Application Web.
  4. Saisissez les informations suivantes :
    Dans nom, saisissez un nom pour votre ID de client OAuth.
    Pour Origines JavaScript autorisées, saisissez votre domaine Amazon Cognito, par exemple : https://yourDomainPrefix.auth.region.amazoncognito.com.
    Remarque : remplacez yourDomainPrefix et region par les valeurs de votre groupe d’utilisateurs. Pour trouver ces valeurs, ouvrez la console Amazon Cognito et accédez à la page Nom de domaine de votre groupe d’utilisateurs.
    Pour les URI de redirection autorisés, saisissez https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/idpresponse.
    Remarque : remplacez yourDomainPrefix et region par les valeurs de votre groupe d’utilisateurs.
  5. Dans la boîte de dialogue Client OAuth, notez l’ID et le code secret du client à utiliser ultérieurement.

Pour plus d’informations, reportez-vous à la page Utiliser OAuth 2.0 pour accéder aux API Google du site Web de Google Identity.

Configuration de Google en tant qu’IdP fédéré dans votre groupe d’utilisateurs

Procédez comme suit :

  1. Ouvrez la console Amazon Cognito, puis choisissez Groupe d’utilisateurs.
  2. Sélectionnez votre groupe d’utilisateurs.
  3. Choisissez l’onglet Expérience de connexion.
  4. Sous Connexion au fournisseur d’identité fédéré, choisissez Ajouter un fournisseur d’identité.
  5. Sélectionnez Google.
  6. Dans Configurer une fédération Google avec ce groupe d’utilisateurs, saisissez les informations suivantes :
    Dans le champ ID client, saisissez l’ID client que vous avez noté.
    Dans le champ Secret client, entrez le secret client indiqué.
    Dans Portées autorisées, saisissez l’adresse e-mail de profil OpenID.
  7. Sous Mapper les attributs entre Google et le groupe d’utilisateurs, associez l’attribut du groupe d’utilisateurs de l’adresse e-mail à l’attribut Google de l’adresse e-mail.
  8. Choisissez Ajouter un autre attribut, puis mappez l’attribut du Groupe d’utilisateurs du nom d’utilisateur à l’attribut Google du nom d’utilisateur.
  9. Choisissez Ajouter un fournisseur d’identité.

Modification des paramètres du client d'application pour votre groupe d'utilisateurs

Remarque : dans les paramètres du client d’application, les attributs du groupe d’utilisateurs mappés doivent être accessibles en écriture. Pour plus d’informations, reportez-vous à Spécification des mappages d’attributs de fournisseur d’identité pour un groupe d’utilisateurs.

Procédez comme suit :

  1. Ouvrez la console Amazon Cognito, puis choisissez votre groupe d’utilisateurs.
  2. Choisissez l’onglet Intégration d'application.
  3. Sous Liste des clients d’application, sélectionnez Créer un client d’application.
  4. Saisissez les informations suivantes :
    Dans Type d’application, choisissez Client public, puis entrez un nom pour votre client d’application.
    Pour Flux d'authentification, sélectionnez ALLOW_USER_PASSWORD_AUTH et ALLOW_REFRESH_TOKEN_AUTH.
    Dans le champ URL de rappel autorisées, saisissez l’URL vers laquelle vous souhaitez rediriger vos utilisateurs une fois connectés. Pour effectuer un test, entrez une URL valide, telle que https://www.exemple.com/.
    Dans le champ URL de déconnexion, saisissez l’URL vers laquelle vous souhaitez que vos utilisateurs soient redirigés une fois déconnectés. Pour effectuer un test, entrez une URL valide, telle que https://www.exemple.com/.
    Dans le champ Fournisseurs d’identité, sélectionnez Groupe d’utilisateurs Cognito et Google.
    Dans Type d’octroi OAuth 2.0, choisissez Octroi implicite.
    Dans le champ Portées OpenID Connect, sélectionnez adresse e-mail, openid et profil.
    Important : le flux d’octroi OAuth implicite est destiné à des fins de test uniquement. Pour les systèmes de production, il est recommandé d’utiliser le type d'octroi Code d’autorisation.
  5. Choisissez Créer un client d’application.

Pour plus d’informations, consultez les conditions générales du client d’application.

Création de l’URL de point de terminaison

Pour créer l’URL du point de connexion pour l’interface utilisateur Web hébergée par Amazon Cognito, utilisez les valeurs de votre groupe d’utilisateurs.

Exemple d’URL : https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl

Remarque : remplacez yourDomainPrefix et region par les valeurs de votre groupe d’utilisateurs. Pour trouver ces valeurs, ouvrez la console Amazon Cognito et accédez à la page Nom de domaine de votre groupe d’utilisateurs. Remplacez yourClientId par l’ID de votre client d’application Amazon Cognito et redirectUrl par l’URL de rappel de votre client d’application. Vous pouvez trouver ces valeurs sur la page Paramètres du client d’application de votre groupe d’utilisateurs.

Pour plus d’informations, reportez-vous à Comment puis-je configurer l’interface utilisateur Web hébergée pour Amazon Cognito ? et Point de terminaison de connexion.

Test de l'URL de point de terminaison

Procédez comme suit :

  1. Entrez l’URL du point de connexion dans votre navigateur Web.
  2. Sur la page web du point de connexion, sélectionnez Continuer avec Google.
    Remarque : si vous êtes redirigé vers l’URL de rappel du client d’application Amazon Cognito, vous êtes déjà connecté à votre compte Google dans votre navigateur. Les jetons du groupe d’utilisateurs apparaissent dans l’URL de la barre d’adresse de votre navigateur web.
  3. Sous Se connecter avec Google, sélectionnez votre compte Google et connectez-vous.

Une fois authentifié, vous êtes redirigé vers l’URL de rappel de votre client d’application Amazon Cognito. Les jetons web JSON (JWT) émis par le groupe d’utilisateurs apparaissent dans l’URL de la barre d’adresse de votre navigateur web.

Remarque : un SDK JavaScript génère l’URL du point de terminaison de connexion. De plus, le SDK analyse les jetons JWT dans l’URL.

Informations connexes

Utilisation de fournisseurs d’identité sociale avec un groupe d’utilisateurs

Ajout de la connexion du groupe d’utilisateurs via un tiers

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 8 mois