Como configuro o Auth0 como um provedor de identidade SAML com um grupo de usuários do Amazon Cognito?

Breve descrição

Você deve ter um grupo de usuários do Cognito com um cliente de aplicação, nome de domínio e uma conta Auth0 com uma aplicação Auth0 nele. Para obter mais informações, consulte Login do grupo de usuários com provedores de identidades de terceiros e Como usar provedores de identidade SAML com um grupo de usuários.

Resolução

Crie um grupo de usuários do Cognito com um cliente de aplicação e nome de domínio

Para obter mais informações, consulte a seguinte documentação da AWS:

• Adicione mais recursos e opções de segurança ao grupo de usuários
  Observação: ao criar um grupo de usuários, o atributo padrão e-mail é selecionado por padrão. Para obter mais informações, consulte Trabalhar com atributos do usuário.
• Login gerenciado do grupo de usuários
  Observação: o segredo do cliente de aplicação é uma configuração opcional.
• Como configurar um domínio de grupo de usuários

Crie uma conta Auth0

Se você ainda não tiver uma conta Auth0, crie uma no site Auth0 Sign Up (Cadastro no Auth0).

Crie uma aplicação Auth0

Conclua as etapas a seguir:

1. No Painel do Auth0, clique em Aplicações e, em seguida, Criar aplicação.
2. Na caixa Criar aplicação, insira um nome para a sua aplicação, por exemplo, Minha aplicação.
3. Em Escolha um tipo de aplicação, selecione Aplicações web de página única.
4. Clique em Criar.

Crie um usuário de teste para sua aplicação Auth0

Conclua as etapas a seguir:

1. No painel de navegação de Painel do Auth0, clique em Gerenciamento de usuários e, em seguida, Usuários.
2. Selecione Criar seu primeiro usuário ou Criar usuário.
3. Na caixa Criar usuário, insira um e-mail e uma senha para o usuário de teste.
4. Clique em Salvar.

Defina configurações de SAML para sua aplicação

Conclua as etapas a seguir:

1. No painel de navegação do Painel do Auth0, selecione Aplicações.
2. Clique no nome da aplicação que você criou.
3. Na guia Complementos, ative SAML2 Web App.
4. Na caixa Complemento: SAML2 Web App, na guia Configurações, em URL de retorno de chamada da aplicação, insira: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Observação: substitua yourDomainPrefix e region pelo seu prefixo de domínio e região da AWS do seu grupo de usuários. É possível encontrá-los na guia Nome de domínio da página Gerenciamento do seu grupo de usuários. Ou insira um URL de retorno de chamada de domínio personalizado semelhante a https//yourCustomDomain/saml2/idpresponse.
5. Em Configurações, em Público, exclua o delimitador de comentários (//) e substitua o valor padrão urn:foo por urn:amazon:cognito:sp:yourUserPoolId.
   Observação: substitua yourUserPoolId pelo ID do seu grupo de usuários do Cognito. É possível encontrar o ID na guia Configurações gerais da página Gerenciamento do seu grupo de usuários.
6. Em mappings e email, exclua os delimitadores de comentários (//). Exclua outros atributos de usuário que seu grupo de usuários exija.
7. Em nameIdentifierFormat, exclua os delimitadores de comentários (//). Substitua o valor padrão urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified por urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
8. (Opcional) Clique em Depurar. Para confirmar se a configuração funciona, faça login como usuário de teste.
9. Selecione Ativar e depois Salvar.

Obtenha os metadados do IdP na sua aplicação Auth0

Na caixa Complemento: SAML2 Web App, na guia Uso, localize Metadados do provedor de identidade. Clique em Baixar e anote o URL. Ou clique em Baixar para baixar o arquivo de metadados .xml.

Configure o Auth0 como IdP SAML no Cognito

Ao criar o IdP SAML, em Documento de metadados, cole a URL de Metadados do provedor de identidade ou faça upload do arquivo de metadados .xml.

Para obter mais informações, consulte Como adicionar e gerenciar provedores de identidade SAML em um grupo de usuários.

Mapeie o endereço de e-mail do atributo IdP para o atributo do grupo de usuários

Em Atributo SAML, insira http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Em Atributo de grupo de usuários, selecione E-mail.

Para obter mais informações, consulte Mapeamento de atributos de IdP para perfis e tokens.

Altere as configurações do cliente de aplicação no Cognito

Conclua as etapas a seguir:

1. Abra o console do Cognito.
2. Selecione seu grupo de usuários.
3. Na página Gerenciamento do seu grupo de usuários, em Aplicações, clique em Selecionar o cliente de aplicação desejado.
4. Em Páginas de login, edite sua configuração das páginas de login gerenciadas.
5. Em Provedores de identidade, selecione Auth0 e Grupo de usuários do Cognito.
6. Em URL(s) de retorno de chamada permitidos, insira o URL para o qual você deseja que seus usuários sejam redirecionados após o login. Para testar a autenticação, é possível inserir qualquer URL válido, como https://www.amazon.com.
7. Em URLs de saída permitidos, insira o URL para a qual você deseja que seus usuários sejam redirecionados depois de fazerem log out. Para testar a autenticação, é possível inserir qualquer URL válido, como https://www.amazon.com.
8. Em Fluxos OAuth permitidos, selecione pelo menos Concessão implícita.
9. Em Escopos OAuth permitidos, selecione pelo menos email e openid.
10. Clique em Salvar alterações.

Para obter mais informações, consulte os Termos do cliente da aplicação.

Teste o endpoint de login

Conclua as etapas a seguir:

1. Digite o URL https://.auth..amazoncognito.com/login?response_type=token&client_id=&redirect_uri= em seu navegador da web.
2. Substitua yourDomainPrefix e region pelos valores do seu grupo de usuários. É possível encontrá-los na guia Nome de domínio em Marca na página de Gerenciamento do seu grupo de usuários.
3. Substitua yourClientId pelo ID do seu cliente de aplicação e substitua redirectUrl pelo URL de retorno de chamada do seu cliente de aplicação. É possível encontrá-los na guia Configurações do cliente de aplicação em Aplicação na página de Gerenciamento do seu grupo de usuários. Para obter mais informações, consulte O endpoint de login do login gerenciado: /login.
4. Selecione Auth0.
   Observação: se você for redirecionado para o URL de retorno de chamada do seu cliente de aplicação, isso significa que já está conectado à sua conta Auth0 no navegador.
5. Na página de login da sua aplicação Auth0, insira o e-mail e a senha do usuário de teste.
6. Selecione Login.

Depois de fazer login, você será redirecionado para o URL de retorno de chamada do seu cliente de aplicação. Os tokens de grupos de usuários aparecem no URL na barra de endereço do seu navegador.

Informações relacionadas

Understanding user pool JSON web tokens (JWTs) (Compreendendo os JSON web tokens (JWTs) do grupo de usuários)

Como configurar seu provedor de identidades SAML de terceiros

Como faço para configurar um provedor de identidade SAML terceirizado com um grupo de usuários do Amazon Cognito?