Passer au contenu
En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post
À propos de re:Post

Comment utiliser un IdP tiers pour configurer IAM Identity Center pour mon groupe d'utilisateurs Amazon Cognito ?

Lecture de 6 minute(s)
0

Je souhaite utiliser un fournisseur d'identité (IdP) tiers pour configurer AWS IAM Identity Center pour mon groupe d'utilisateurs Amazon Cognito.

Résolution

Utiliser un client d’application et un nom de domaine pour créer un groupe d'utilisateurs Amazon Cognito

Remarque : Si vous disposez d'un groupe d'utilisateurs incluant un client d'application, accédez à la section Activer IAM Identity Center et ajouter un utilisateur.

Procédez comme suit :

  1. Créez une nouvelle application.
  2. Créez un domaine de préfixe Amazon Cognito au format suivant : https://cognitoexample.auth.region.amazoncognito.com. Vous pouvez également créer un domaine personnalisé. Pour plus d’informations, consultez la section Configuration d’un domaine de groupe d’utilisateurs.
  3. (Facultatif) Appliquez une marque aux pages de connexion gérées.

Activer IAM Identity Center et ajouter un utilisateur

Remarque : Si vous disposez d'un environnement IAM Identity Center opérationnel, passez à la section Configurer une application SAML.

Procédez comme suit :

  1. Examinez les prérequis et les considérations relatives à IAM Identity Center.
  2. Activez IAM Identity Center
    Remarque : Pour le type d'instance, vous devez choisir une instance d’organisation d'IAM Identity Center que vous créez dans le compte de gestion AWS Organizations.
  3. Confirmez votre source d'identité, puis créez un utilisateur.

Configurer une application SAML

Procédez comme suit :

  1. Ouvrez la console IAM Identity Center.
  2. Dans le volet de navigation, choisissez Applications.
  3. Sélectionnez Ajouter une application, puis sélectionnez J'ai une application que je souhaite configurer sous Préférence de configuration.
  4. Dans Type d'application, sélectionnez SAML 2.0, puis choisissez Suivant.
  5. Sur la page Configurer l'application, saisissez un nom d'affichage et une description.
  6. Copiez l'URL du fichier de métadonnées SAML de IAM Identity Center ou choisissez le lien hypertexte Télécharger pour télécharger le fichier.
  7. Sous Métadonnées d’application, sélectionnez Saisissez manuellement vos valeurs de métadonnées. Puis, renseignez les valeurs suivantes :
    Dans URL du service ACS (Application Assertion Consumer Service), saisissez https://domain-prefix.auth.region.amazoncognito.com/saml2/idpresponse.
    Dans Audience SAML de l'application, saisissez urn:amazon:cognito:sp:userpool-id.
    Remarque : Remplacez domain-prefix par votre préfixe de domaine, region par votre région AWS et userpool-id par votre ID de groupe d'utilisateurs.
  8. Sélectionnez Soumettre.
  9. Sur la page Détails de votre application, choisissez la liste déroulante Actions.
  10. Choisissez Modifier les mappages d'attributs, puis saisissez les attributs suivants :
    Dans Attribut utilisateur dans l'application, conservez l'objet par défaut.
    Dans Mappages à cette valeur de chaîne ou à cet attribut utilisateur dans IAM Identity Center, saisissez ${user:subject}.
    Dans Format, saisissez Persistant.
    Dans Attribut utilisateur dans l'application, saisissez e-mail.
    Dans Mappages à cette valeur de chaîne ou à cet attribut utilisateur dans IAM Identity Center, saisissez ${user:email}.
    Dans Format, saisissez Basique.
    Remarque : IAM Identity Center envoie les mappages d'attributs à Amazon Cognito lorsque vous vous connectez. Assurez-vous de mapper tous les attributs obligatoires de votre groupe d'utilisateurs. Pour plus d'informations sur les attributs de mappage disponibles, consultez la section Attributs de fournisseur d'identité externe pris en charge.
  11. Sélectionnez Soumettre.
  12. Dans la section Utilisateurs et groupes assignés, choisissez Attribuer des utilisateurs et des groupes.
  13. Trouvez votre utilisateur, puis choisissez Attribuer.

Configurer IAM Identity Center en tant qu'IdP SAML dans votre groupe d'utilisateurs

Pour configurer un IdP SAML dans votre groupe d'utilisateurs, consultez la section Ajout et gestion de fournisseurs d'identité SAML dans un groupe d'utilisateurs. Lorsque vous spécifiez un mappage d'attributs de fournisseur SAML, saisissez une adresse e-mail valide dans le champ Attribut SAML. Dans Attribut du groupe d'utilisateurs, sélectionnez e-mail.

Pour plus d'informations sur les noms et les identifiants des fournisseurs, consultez la section Noms et identifiants des fournisseurs d'identité SAML.

Utiliser le client d'application pour groupe d'utilisateurs afin d’intégrer le fournisseur d'identité

Procédez comme suit :

  1. Ouvrez la console Amazon Cognito.
  2. Dans le volet de navigation, choisissez Groupes d'utilisateurs.
  3. Sous Applications, choisissez Clients d’application.
  4. Sélectionnez un client d'application.
  5. Dans la section Pages de connexion, choisissez Modifier.
  6. Dans la section Fournisseurs d’identité, sélectionnez votre IdP.
  7. Sélectionnez Enregistrer les modifications.

Tester la configuration

Pour tester la connexion initiée par un fournisseur de services (SP), procédez comme suit :

  1. Ouvrez la console Amazon Cognito, puis choisissez Afficher la page de connexion dans l'onglet Pages de connexion de votre client d’application. Vous pouvez également créer l'URL du point de terminaison de connexion.Utilisez l'exemple de modèle de dénomination suivant et remplacez les exemples de valeurs par les vôtres :
    https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com
    Dans Types d’octrois OAuth 2.0, sélectionnez Octroi implicite. Puis, définissez response_type sur jeton dans l'URL de votre requête.
  2. Dans l'onglet Pages de connexion, sélectionnez l'IdP IAM Identity Center.
    Si votre navigateur vous redirige vers l'URL de rappel de votre client d’application, cela signifie que vous vous êtes connecté en tant qu'utilisateur. Les jetons du groupe d'utilisateurs apparaissent dans l'URL de la barre d'adresse du navigateur Web.
    Remarque : Pour éviter cette étape, créez une URL de point de terminaison d'autorisation utilisant le modèle de dénomination suivant :
    https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes
  3. Saisissez les informations d'identification de l'utilisateur, puis sélectionnez Connexion.

Lorsqu'Amazon Cognito vous redirige vers l'URL de rappel à l'aide d'un code ou d'un jeton, la configuration est terminée.

Pour tester la connexion initiée par le fournisseur d'identité (IdP), procédez comme suit :

  1. Ouvrez la console Amazon Cognito.
  2. Dans le volet de navigation, choisissez Groupes d'utilisateurs, puis sélectionnez votre groupe d'utilisateurs.
  3. Dans le volet de navigation, choisissez Réseau social et fournisseur externe.
  4. Sélectionnez votre IdP, puis choisissez Modifier dans la section Informations sur le fournisseur d'identité.
  5. Dans la section Connexion SAML initiée par l'IdP, sélectionnez Accepter les assertions SAML initiées par le SP et initiées par l'IdP.
    Remarque : Vous pouvez ajouter d'autres fournisseurs SAML à un client d'application qui accepte un fournisseur SAML avec une connexion initiée par l'IdP. Supprimez d’autres réseaux sociaux ou fournisseurs OpenID Connect (OIDC) ou répertoires de groupe d'utilisateurs Cognito du client d'application.
  6. Sélectionnez Enregistrer les modifications.
  7. Ouvrez la console IAM Identity Center, puis sélectionnez votre application SAML 2.0.
  8. Choisissez la liste déroulante Actions, puis sélectionnez Modifier la configuration.
  9. Dans Propriétés de l'application, ajoutez la valeur d’état de relais suivante :
    identity_provider=identity-provider-name&client_id=app-client-id&redirect_uri=callback-url&response_type=token&scope=openid+email
    Remarque : Remplacez les exemples de valeurs par vos valeurs.
  10. Sélectionnez Soumettre.
  11. Dans le volet de navigation, choisissez Paramètres.
  12. Dans la section Source d’identité, copiez l'URL du portail d'accès AWS et ouvrez-la dans votre navigateur.
  13. Saisissez les informations d'identification utilisateur, puis sélectionnez Connexion.
  14. Sélectionnez l'application Cognito.

Si Amazon Cognito vous redirige vers l'URL de rappel à l'aide d'un code ou d'un jeton, la configuration est terminée.

Informations connexes

Comment fonctionne la connexion fédérée dans les groupes d'utilisateurs Amazon Cognito

Comprendre les jetons Web JSON (JWT) du groupe d'utilisateurs

Sujets
Security, Identity, & Compliance
Balises
Amazon Cognito
Langue
Français

Vidéos associées

Regarder la vidéo de Gupta pour en savoir plus (9:45)
Regarder la vidéo de Gupta pour en savoir plus (9:45)
AWS OFFICIELA mis à jour il y a 8 mois
Aucun commentaire

Contenus pertinents