Salta al contenuto
Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post
Informazioni su re:Post

Come posso configurare AD FS come gestore dell'identità digitale SAML con un pool di utenti Amazon Cognito?

4 minuti di lettura
0

Desidero utilizzare Active Directory Federation Services (ADFS) come gestore dell'identità digitale SAML 2.0 con un pool di utenti Amazon Cognito.

Risoluzione

Prerequisito: devi avere un dominio per configurare un AD FS con un pool di utenti Amazon Cognito. Se non hai un dominio, puoi registrare un nuovo dominio con Amazon Route 53 o un altro servizio DNS.

Crea un pool di utenti Amazon Cognito con accesso gestito

Crea un pool di utenti Amazon Cognito, quindi configura l'accesso gestito.

Configura un'istanza Amazon EC2 per Windows

Completa i seguenti passaggi:

  1. Avvia un'istanza Amazon Elastic Compute Cloud (Amazon EC2) Windows.
  2. Configura un server AD FS e un controller di dominio sull'istanza Amazon EC2 Windows.

Per istruzioni, consulta Come faccio a configurare AD FS in un'istanza Amazon EC2 per Windows per federare un pool di utenti Amazon Cognito?

Configura AD FS come gestore dell'identità digitale SAML in Amazon Cognito

Completa i seguenti passaggi:

  1. Configura un gestore dell'identità digitale SAML 2.0 nel pool di utenti. Puoi incollare l'URL dell'endpoint del documento di metadati o caricare il file di metadati .xml.
  2. Associa gli attributi del gestore dell'identità digitale SAML al profilo utente nel pool di utenti. Assicurati di includere tutti gli attributi obbligatori nella mappa degli attributi.

Modifica le impostazioni del client dell'app

Completa i seguenti passaggi:

  1. Apri la console Amazon Cognito.
  2. In Applicazioni, scegli Client dell'app. Quindi, dall'elenco, scegli il client dell'app generato dal processo di configurazione del pool di utenti.
  3. Vai alla scheda Pagine di accesso, scegli Modifica, quindi seleziona le seguenti opzioni:
    In Callback URLs (URL di callback), inserisci un URL verso il quale desideri che gli utenti vengano reindirizzati dopo l'accesso.
    In Sign out URLs (URL di disconnessione), inserisci un URL verso il quale desideri che gli utenti vengano reindirizzati dopo la disconnessione.
    Per Provider di identità, scegli il gestore dell'identità digitale SAML dall'elenco a discesa.
    Per OAuth 2.0 grant types (Tipi di concessione OAuth 2.0), seleziona le caselle di controllo Concessione del codice di autorizzazione e Concessione implicita.
    Per Ambiti OpenID Connect, scegli tutti gli ambiti OIDC dall'elenco a discesa.
    Per Ambiti personalizzati, seleziona gli ambiti personalizzati che hai configurato.
  4. Scegli Salva le modifiche.

Per informazioni sulla terminologia dell'app client, consulta Termini del client dell'app.

Testa la configurazione

Completa i seguenti passaggi:

  1. Inserisci il seguente URL nel browser web: https://domainNamePrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=appClientId&redirect_uri=https://www.esempio.com
  2. Apri la console Amazon Cognito.
  3. Nel pannello di navigazione, scegli Branding, quindi scegli il dominio.
  4. Copia l'URL del dominio.
    Nota: sostituisci domainNamePrefix.auth.region.amazoncognito.com con l'URL del tuo dominio.
  5. Nel pannello di navigazione, in Applicazioni, scegli Client dell'app. Quindi copia l'ID del client dell'app.
    Nota: sostituisci appClientId con l'ID del tuo client dell'app.
  6. Seleziona il client dell'app, quindi la scheda Pagine di accesso.
  7. Copia l'URL di callback visualizzato nella scheda Pagine di accesso.
    Nota: sostituisci https://www.esempio.com con l'URL di callback.
  8. Inserisci l'URL modificato nel browser. Amazon Cognito ti reindirizza alla pagina di autenticazione di Cognito.
  9. Nella pagina di accesso, scegli il gestore dell'identità digitale SAML.
  10. In Sign in with your organizational account (Accedi con l’account dell'organizzazione), inserisci il nome utente e la password di Active Directory.
  11. Seleziona Accedi.

Nota: una volta effettuato l'accesso, AD FS invia una risposta SAML ad Amazon Cognito. Amazon Cognito convalida la risposta SAML. Se la risposta SAML è valida, Amazon Cognito ti reindirizza alla pagina dell'applicazione con i token. Se la risposta SAML non è valida, Amazon Cognito ti reindirizza alla pagina dell'applicazione con un messaggio di errore nell'URL. La risposta SAML deve includere l'attributo NameID. Se la risposta SAML non include questo attributo, la federazione ha esito negativo. Per informazioni sulle risposte SAML, consulta Visualizzare una risposta SAML nel browser.

Informazioni correlate

Building ADFS federation for your web app using Amazon Cognito user pools (Creazione di una federazione ADFS per un'applicazione web utilizzando pool di utenti Amazon Cognito)

Configurazione del tuo gestore dell'identità digitale AML di terze parti

Avvio della sessione SAML nei pool di utenti Amazon Cognito

Come posso configurare un gestore dell'identità digitale SAML di terze parti con un pool di utenti Amazon Cognito?

Comprensione dei token web JSON del pool di utenti (JWT)

Argomenti
Security, Identity, & Compliance
Tag
Amazon Cognito
Lingua
Italiano
AWS UFFICIALEAggiornata 5 mesi fa

Contenuto pertinente