Salta al contenuto
Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post
Informazioni su re:Post

Come posso configurare Okta come gestore dell'identità digitale SAML in un pool di utenti Amazon Cognito?

7 minuti di lettura
0

Desidero configurare Okta come gestore dell'identità digitale SAML 2.0 nel mio pool di utenti in modo che gli utenti della mia app ricevano token da Amazon Cognito.

Breve descrizione

L'integrazione del gestore dell'identità digitale SAML Okta con Amazon Cognito richiede la configurazione di entrambe le piattaforme. Prima di tutto, crea e configura un'integrazione dell'app SAML in Okta. Quindi aggiungi Okta come gestore dell'identità digitale nel pool di utenti Amazon Cognito e configura le impostazioni del client dell'app per consentire l'autenticazione Okta. Dopo la configurazione, è consigliabile eseguire un test del flusso di autenticazione per confermare che gli utenti ricevano token da Amazon Cognito dopo aver effettuato l'accesso tramite Okta.

Risoluzione

Prima di configurare Okta come gestore dell'identità digitale SAML, intraprendi le seguenti azioni:

(Facoltativo) Crea un account Okta Developer

Nota: se hai già un account Okta Developer, effettua l'accesso.

Completa i seguenti passaggi:

  1. Apri la pagina di registrazione come Okta Developer sul sito web Okta Developer.
  2. Inserisci le informazioni richieste, quindi scegli Sign up (Registrati). Okta ti invia un'e-mail di verifica all'indirizzo fornito.
  3. Nell'e-mail di verifica trovi le informazioni per accedere all’account.
  4. Scegli Activate account (Attiva l'account), quindi accedi per completarne la creazione.

Crea un'app SAML e configura l'integrazione SAML per l'app Okta

Completa i seguenti passaggi:

  1. Apri la console Okta Developer.
  2. Nel pannello di navigazione, espandi la sezione Applications (Applicazioni), quindi scegli Applications (Applicazioni).
  3. Scegli Create app integration (Crea integrazione di app).
  4. Nel menu Create a new app integration (Crea una nuova integrazione di app), seleziona SAML 2.0 come Sign-in method (Metodo di accesso).
  5. Scegli Next (Avanti).
  6. Nella pagina Create SAML Integration (Crea integrazione SAML), in General Settings (Impostazioni generali), inserisci un nome per l'app.
  7. (Facoltativo) Carica un logo e scegli le impostazioni di visibilità per l'app.
  8. Scegli Next (Avanti).
  9. In SAML Settings (Impostazioni SAML), in Single sign on URL (URL Single Sign-On), inserisci https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
    Nota: sostituisci yourDomainPrefix e region con i valori del tuo pool di utenti. Per individuarli, apri la console Amazon Cognito, quindi scegli Dominio nella sezione Branding.
  10. Per Audience URI (SP Entity ID) (URI destinatari (ID entità SP), inserisci urn:amazon:cognito:sp:yourUserPoolId.
    Nota: sostituisci yourUserPoolId con l'ID del tuo pool di utenti. Per individuare l'ID del pool di utenti, consulta la sezione Panoramica della console Amazon Cognito.
  11. In Attribute Statements (optional) (Istruzioni attributi (facoltativo), aggiungi un’istruzione e utilizza le seguenti informazioni:
    In Name (Nome), inserisci il nome dell'attributo SAML http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    In Value (Valore), inserisci user.email.
    Per le altre impostazioni della pagina, utilizza i valori predefiniti o modificali in base alle esigenze del caso d'uso.
  12. Scegli Next (Avanti).
  13. Quando richiesto, scegli una risposta di feedback sull'esperienza di configurazione dell'app.
    Nota: questo fa parte del processo standard di creazione delle applicazioni di Okta per raccogliere feedback sull'esperienza degli utenti.
  14. Scegli Finish (Fine).

Assegna un utente all'applicazione Okta

Completa i seguenti passaggi:

  1. Nella scheda Assignments (Assegnazioni) dell'app Okta, per Assign (Assegna), seleziona Assign to People (Assegna a persone).
  2. Seleziona Assign (Assegna) accanto all'utente che desideri assegnare.
    Nota: se si tratta di un nuovo account, puoi scegliere solo te stesso come utente.
  3. (Facoltativo) In User Name (Nome utente), inserisci un nome utente personalizzato. Okta utilizza l'indirizzo e-mail dell'utente come nome utente se non ne specifichi uno.
  4. Scegli Save and Go Back (Salva e torna indietro) per completare l'assegnazione dell'utente.
  5. Seleziona Done (Fine).

Ottieni i metadati del gestore dell'identità digitale per l'applicazione Okta

Nella scheda Sign On (Accedi) dell'app Okta, alla voce Metadata details (Dettagli metadati), copia il valore in Metadata URL (URL dei metadati).

Configura Okta come gestore dell'identità digitale SAML nel pool di utenti

Completa i seguenti passaggi:

  1. Apri la console Amazon Cognito.
  2. Scegli il pool di utenti.
  3. Nel pannello di navigazione, in Autenticazione, scegli Fornitori social ed esterni.
  4. Scegli Aggiungi provider di identità, quindi seleziona SAML.
  5. In Register your app with your SAML provider (Registra l'app presso il gestore SAML), per Nome del provider, inserisci Okta.
  6. (Facoltativo) Aggiungi identificatori SAML per indirizzare le richieste di accesso e disconnessione a Okta.
  7. (Facoltativo) Attiva il logout singolo per disconnettere gli utenti da Okta quando escono dal pool di utenti.
  8. In Origine documento di metadati, scegli Inserisci l'URL dell'endpoint del documento di metadati, quindi incolla in URL metadati il valore che hai copiato nella scheda Sign On (Accedi) di Okta.
  9. In Map attributes between your SAML provider and your user pool (Mappa gli attributi tra il gestore SAML e il pool di utenti), specifica l'e-mail per l'attributo SAML.
  10. Seleziona Aggiungi provider di identità.

Per ulteriori informazioni, consulta Aggiungere e gestire gestori dell'identità digitale SAML in un pool di utenti.

Modifica le impostazioni del client dell'app del pool di utenti

Completa i seguenti passaggi:

  1. Nella console Amazon Cognito, alla voce Client dell'app, scegli il pool di utenti.
  2. Nel pannello di navigazione, alla voce Applicazioni, scegli Client dell'app.
  3. Nella pagina del client dell'app, vai alla sezione Pagine di accesso. Quindi, in Configurazione delle pagine di accesso gestite, scegli Modifica.
  4. Nell'elenco a discesa Identity Provider, seleziona Okta e Pool di utenti Cognito.
    Per URL di callback, specifica l'URL di destinazione degli utenti dopo che hanno effettuato correttamente l'accesso.
    Per URL di disconnessione, specifica l'URL di destinazione degli utenti dopo che hanno effettuato il logout.
    Nota: se desideri eseguire un test dell'integrazione, utilizza un URL segnaposto come https://www.esempio.com/. Successivamente puoi aggiornare il segnaposto con l'URL dell'applicazione.
    In Flussi OAuth consentiti, seleziona Concessione implicita.
    In Ambiti OAuth consentiti, seleziona email e openid.
  5. Scegli Salva le modifiche.

Per ulteriori informazioni, consulta Termini del client dell'app.

Accedi alla pagina di accesso per eseguire un test del flusso di autenticazione SAML

Puoi accedere alla pagina di accesso tramite la console Amazon Cognito o creare un URL dell'endpoint di accesso.

  1. Nella console Amazon Cognito, alla voce Client dell'app, scegli il pool di utenti.
  2. Scegli la scheda Pagine di accesso, quindi seleziona Visualizza la pagina di accesso.
    -oppure-
    Crea l'URL dell'endpoint di accesso. Per creare l'endpoint di accesso, utilizza il seguente schema di denominazione:
    https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl
    Nota: sostituisci yourDomainPrefix e region con i valori del tuo pool di utenti. Per individuare questi valori nella console Amazon Cognito, scegli la pagina Nome del dominio.
  3. Nella pagina web dell'endpoint di accesso, scegli Okta.
    Nota: se il sistema ti reindirizza all'URL di callback del client dell'app, significa che hai già effettuato l'accesso all'account Okta. Procedi con il passaggio 5.
  4. Nella pagina Sign In (Accedi) di Okta, inserisci il nome utente e la password dell'utente che hai assegnato all'app.
  5. Seleziona Sign in (Accedi).
  6. Cerca i token del pool di utenti nella barra degli indirizzi del browser.

(Facoltativo) Ignora l'interfaccia utente ospitata da Amazon Cognito

Per bypassare l'interfaccia utente web ospitata da Amazon Cognito e inviare gli utenti direttamente a Okta per l'accesso, utilizza il seguente URL dell' endpoint /oauth2/authorize:

https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

Nota: sostituisci yourDomainPrefix, region, samlProviderName, yourClientId, redirectUrl e allowedOauthScopes con i tuoi valori. Per individuare i valori per yourDomainPrefix e region nella console Amazon Cognito, scegli Dominio nella sezione Branding. Per yourClientId e redirectUrl, scegli la pagina di impostazioni Client dell'app nella console Amazon Cognito.

(Facoltativo) Se hai aggiunto un identificatore SAML, sostituisci il segnaposto identity_provider=samlProviderName con idp_identifier=idpIdentifier. Sostituisci idpIdentifier con la stringa identificativa personalizzata.

Informazioni correlate

Avvio della sessione SAML nei pool di utenti Amazon Cognito

Come posso configurare un gestore dell'identità digitale SAML di terze parti con un pool di utenti Amazon Cognito?

Come faccio a configurare Okta come gestore dell’identità digitale OpenID Connect in un pool di utenti Amazon Cognito?

Accesso al pool di utenti con gestori dell'identità digitale di terze parti

Argomenti
Security, Identity, & Compliance
Tag
Amazon Cognito
Lingua
Italiano
AWS UFFICIALEAggiornata 6 mesi fa

Contenuto pertinente