Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso

Como configurar o AD FS como um provedor de identidade SAML com um grupo de usuários do Amazon Cognito?

5 minuto de leitura
0

Quero usar os Serviços de Federação do Active Directory (AD FS) como provedor de identidade (IdP) da Security Assertion Markup Language 2.0 (SAML 2.0) com um grupo de usuários do Amazon Cognito. Como configurar tudo isso?

Breve descrição

Os grupos de usuários do Amazon Cognito permitem o login por meio de terceiros (federação), inclusive através de um IdP SAML, como o AD FS. Para mais informações, consulte Adicionar login ao grupo de usuários por meio de terceiros e Adicionar provedores de identidade SAML a um grupo de usuários.

Você pode configurar um servidor AD FS e um controlador de domínio em uma instância de Windows do Amazon Elastic Compute Cloud (Amazon EC2) e, em seguida, integrar sua configuração ao seu grupo de usuários usando a interface do usuário web hospedada do Amazon Cognito.

Importante: para essa resolução, você precisa de um nome de domínio de sua propriedade. Se você não possui um domínio, você pode registrar um novo domínio com o Amazon Route 53 ou outro serviço de Sistema de Nomes de Domínio (DNS).

Resolução

Crie um grupo de usuários do Amazon Cognito com um cliente do aplicativo

Para obter mais informações, consulte Tutorial: como criar um grupo de usuários e Como configurar a interface do usuário hospedada com o console do Amazon Cognito.

Observação: ao criar um grupo de usuários, o atributo padrão e-mail é selecionado por padrão. Para obter mais informações sobre os atributos do grupo de usuários, consulte Como configurar atributos do grupo de usuários.

Configure uma instância de Windows do EC2

Configure e inicie uma instância de Windows do EC2 e, em seguida, configure um servidor AD FS e um controlador de domínio nela. Para obter mais informações, consulte Como eu configuro o AD FS em uma instância de Windows do Amazon EC2 para trabalhar com federação para um grupo de usuários do Amazon Cognito?

Configure seu servidor AD FS como IdP SAML no Amazon Cognito

Para obter mais informações, consulte Como criar e gerenciar um provedor de identidade SAML para um grupo de usuários (AWS Management Console) e siga as instruções em Para configurar um provedor de identidade SAML 2.0 em seu grupo de usuários.

Ao criar o IdP SAML, para o Documento de metadados, cole o URL do endpoint do documento de metadados ou faça o upload do arquivo de metadados .xml.

Mapeie o endereço de e-mail do atributo IdP para o atributo do grupo de usuários

Para obter mais informações, consulte Como especificar mapeamentos de atributos do provedor de identidade para seu grupo de usuários e siga as instruções em Para especificar um mapeamento de atributos do provedor SAML.

Ao adicionar um atributo SAML, em Atributo SAML, insira http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Em Atributo de grupo de usuários, selecione E-mail na lista.

Altere as configurações do cliente do aplicativo no Amazon Cognito

  1. Na página de gerenciamento do console do Amazon Cognito do seu grupo de usuários, em Integração de aplicativos, selecione Configurações do cliente do aplicativo. Em seguida, faça o seguinte:
    Em Provedores de identidade habilitados, marque a caixa de seleção do IdP SAML que você configurou. Por exemplo, ADFS.
    Em URL(s) de retorno de chamada, insira um URL para o qual você deseja que seus usuários sejam redirecionados após o login.
    Em URL(s) de saída, insira um URL para o qual você deseja que seus usuários sejam redirecionados depois de sair.
    Em Fluxos OAuth permitidos, marque as caixas de seleção Concessão de código de autorização e Concessão implícita.
    Em Escopos OAuth permitidos, marque todas as caixas de seleção.
  2. Selecione Salvar alterações. Para obter mais informações, consulte Terminologia das configurações do cliente do aplicativo.

Teste sua configuração usando a interface de usuário web hospedada do Amazon Cognito

  1. Insira este URL em seu navegador da web: https://prefixodonomedodominio.auth.regiao.amazoncognito.com/login?response_type=token&client_id=appClientId&redirect_uri=https://www.exemplo.com Observação: para o URL, use valores do seu grupo de usuários e do cliente do aplicativo. Encontre o domínio (incluindo prefixo do nome de domínio e região da AWS) para seu grupo de usuários no console do Amazon Cognito na página Integração do aplicativo. Encontre o ID do cliente do aplicativo em Configurações do cliente do aplicativo. Substitua https://www.exemplo.com pelo URL de retorno de chamada referente ao seu IdP SAML.
  2. Escolha o nome do IdP SAML que você configurou. Você será redirecionado para a página de autenticação do AD FS.
  3. Em Entrar com sua conta organizacional, insira o nome de usuário e a senha do usuário do Active Directory.
  4. Selecione Entrar. Se o login obtiver êxito, o Amazon Cognito retornará os tokens do grupo de usuários e uma resposta do SAML bem-sucedida. Para obter mais informações sobre como visualizar a resposta do SAML, consulte Como visualizar uma resposta do SAML no navegador para solução de problemas. Observação: quando decodificada, a resposta do SAML deve incluir o atributo obrigatório NameID.

Informações relacionadas

Criação de federação ADFS para seu aplicativo web usando grupos de usuários do Amazon Cognito

Como integrar provedores de identidade SAML de terceiros com grupos de usuários do Amazon Cognito

Fluxo de autenticação do IdP do grupo de usuários do SAML

Como faço para configurar um provedor de identidade SAML terceirizado com um grupo de usuários do Amazon Cognito?

AWS OFICIAL
AWS OFICIALAtualizada há 3 anos