Como configurar o Google como um provedor de identidades federado em um grupo de usuários do Amazon Cognito?

6 minuto de leitura
0

Quero usar o Google como um provedor de identidades (IdP) federado em um grupo de usuários do Amazon Cognito.

Solução

Crie um grupo de usuários do Amazon Cognito com um cliente de aplicação e um nome de domínio

Conclua as seguintes etapas:

  1. Crie um novo grupo de usuários.
    **Observação:**ao criar um grupo de usuários, o atributo padrão e-mail é selecionado por padrão.
  2. Crie um cliente de aplicação no seu grupo de usuários.
  3. Adicione um nome de domínio ao grupo de usuários.

Crie um projeto do Google API Console

Conclua as seguintes etapas:

  1. Faça login no Google API Console com sua conta do Google. Para obter mais informações, consulte Gerencie APIs no console de API no site de Ajuda do Google.
  2. No Painel (APIs e serviços), escolha CRIAR.
  3. Em Novo projeto, insira um Nome de projeto.
  4. Em Local, escolha PROCURAR e selecione um local.
  5. Escolha CRIAR.

Para obter mais informações, consulte Fazer login com o Google para Web no site do Google Identity.

Configure a tela de permissão OAuth

Conclua as seguintes etapas:

  1. Abra o console da API do Google, no painel de navegação esquerdo, escolha Tela de permissão OAuth.
  2. Preencha os seguintes campos obrigatórios no formulário de consentimento:
    Em Nome da aplicação, insira um nome.
    Em Domínios autorizados, digite amazoncognito.com.
    **Importante:**Você deve inserir esse domínio para poder usar seu domínio do Amazon Cognito ao criar um ID de cliente OAuth.
  3. Escolha Salvar.

Para obter mais informações, consulte Preencha a tela de permissão OAuth no site do Google Workspace.

Obtenha as credenciais do cliente OAuth 2.0

Conclua as seguintes etapas:

  1. No Console de APIs do Google, na página Credenciais, escolha Criar credenciais.
  2. Escolha ID do cliente OAuth.
  3. Na página Criar ID do cliente OAuth, em Tipo de aplicação, escolha Aplicação da Web.
  4. Insira as informações a seguir:
    Insira um Nome para o ID do cliente OAuth.
    Para Origens JavaScript autorizadas, insira seu domínio do Amazon Cognito, por exemplo: https://yourDomainPrefix.auth.region.amazoncognito.com.
    Observação: substitua yourDomainPrefix e region pelos valores do grupo de usuários. Para encontrar esses valores, abra o console do Amazon Cognito e navegue até a página de nome de domínio do seu grupo de usuários.
    Em URIs de redirecionamento autorizados, digite https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/idpresponse.
    Observação: substitua yourDomainPrefix e region pelos valores do grupo de usuários.
  5. Na caixa de diálogo do cliente OAuth, anote o ID do cliente e o segredo do cliente a serem usados em uma etapa posterior.

Para obter mais informações, consulte Como usar o OAuth 2.0 para acessar as APIs do Google no site do Google Identity.

Configure o Google como um IdP federado em seu grupo de usuários

Conclua as seguintes etapas:

  1. Abra o console do Amazon Cognito e escolha Grupos de usuários.
  2. Selecione seu grupo de usuários.
  3. Escolha a aba Experiência de login.
  4. Em Login do provedor de identidades federado, escolha Adicionar provedor de identidades.
  5. Selecione Google.
  6. Em Configurar a federação do Google com este grupo de usuários, insira as seguintes informações:
    Em ID do cliente, insira a ID do cliente que você anotou.
    Em Segredo do cliente, insira o segredo do cliente anotado.
    Em Escopos autorizados, insira o e-mail do perfil OpenID.
  7. Em Mapear atributos entre o Google e seu grupo de usuários, mapeie o atributo do grupo de usuários do e-mail para o atributo de e-mail do Google.
  8. Escolha Adicionar outro atributo e mapeie o atributo do grupo de usuários de nome de usuário para o atributo do Google de nome de usuário.
  9. Escolha Adicionar provedor de identidades.

Altere as configurações do cliente da aplicação para o grupo de usuários

Observação: nas configurações do cliente da aplicação, os atributos mapeados do grupo de usuários devem ser graváveis. Para obter mais informações, consulte Como especificar mapeamentos de atributos do provedor de identidade para seu grupo de usuários.

Conclua as seguintes etapas:

  1. Abra o console do Amazon Cognito e selecione seu grupo de usuários.
  2. Escolha a aba Integração de aplicações.
  3. Em Lista de clientes de aplicações, selecione Criar cliente de aplicação.
  4. Insira as informações a seguir:
    Em Tipo de aplicativo, escolha Cliente público e insira um nome para seu cliente de aplicativo.
    Para Fluxos de autenticação, selecione ALLOW_USER_PASSWORD_AUTH e ALLOW_REFRESH_TOKEN_AUTH.
    Em URL(s) de retorno de chamada Permitidos, insira um URL para o qual você deseja que seus usuários sejam redirecionados após o login. Para testar, insira qualquer URL válido, como https://www.exemple.com/.
    Em URLs de saída, insira um URL para a qual você deseja que seus usuários sejam redirecionados depois de saírem. Para testar, insira qualquer URL válido, como https://www.exemplo.com/.
    Em Provedores de identidades, selecione Grupo de usuários do Cognito e Google.
    Para o tipo de concessão do OAuth 2.0, ** escolha ** Concessão implícita.
    Em Escopos do OpenID Connect, selecione email, openid e profile.
    **Importante:**o fluxo de concessão implícita do OAuth serve apenas para fins de teste. É uma prática recomendada usar a concessão de código de autorização para sistemas de produção.
  5. Escolha Criar cliente de aplicação.

Para obter mais informações, consulte os termos do cliente do aplicativo.

Estruture o URL do endpoint

Para criar a URL do endpoint de login para a interface web hospedada no Amazon Cognito, use os valores do seu grupo de usuários.

URL de exemplo: https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl

Observação: substitua yourDomainPrefix e region pelos valores do grupo de usuários. Para encontrar esses valores, abra o console do Amazon Cognito e navegue até a página de nome de domínio do seu grupo de usuários. Substitua yourClientId pelo ID do cliente da aplicação do Amazon Cognito e redirectUrl pelo URL de retorno de chamada do cliente da aplicação. Encontre esses valores na página de configurações do cliente do aplicativo para seu grupo de usuários.

Para obter mais informações, consulte Como configuro a IU da web hospedada para Amazon Cognito? e Endpoint de login.

Teste o URL do endpoint

Conclua as seguintes etapas:

  1. Insira o URL do endpoint de login em seu navegador.
  2. Na página da Web do endpoint de login, escolha Continuar com o Google.
    Observação: se você for redirecionado para o URL de retorno de chamada do cliente da aplicação do Amazon Cognito, você já estará conectado à sua conta do Google no navegador. Os tokens do grupo de usuários aparecem no URL na barra de endereço do navegador.
  3. Em Fazer login com o Google, escolha sua conta do Google e faça login.

Depois de se autenticar, você será redirecionado para a URL de retorno de chamada do seu cliente do aplicativo Amazon Cognito. Os tokens Web JSON (JWT) emitidos pelo grupo de usuários aparecem no URL na barra de endereço do navegador.

**Observação:**Um SDK de JavaScript gera a URL do endpoint de login. Ele também analisa os tokens JWT no URL.

Informações relacionadas

Usando provedores de identidade social com um grupo de usuários

Como adicionar acesso a grupo de usuários por meio de terceiros

AWS OFICIAL
AWS OFICIALAtualizada há 8 meses