Como configurar o Okta como um provedor de identidades SAML em um grupo de usuários do Amazon Cognito?

7 minuto de leitura

Quero configurar o Okta como um provedor de identidades (IdP) SAML 2.0 em meu grupo de usuários para que os usuários da minha aplicação recebam tokens do Amazon Cognito.

Breve descrição

A integração do Okta SAML IdP com o Amazon Cognito exige configuração nas duas plataformas. Primeiro, você cria e configura uma integração de aplicação SAML no Okta. Em seguida, você adiciona o Okta como IdP ao seu grupo de usuários do Amazon Cognito e define as configurações de cliente da sua aplicação para permitir a autenticação do Okta. Após a configuração, é uma prática recomendada testar o fluxo de autenticação para confirmar se os usuários recebem tokens do Amazon Cognito após fazerem login pelo Okta.

Resolução

Antes de configurar o Okta como um IdP SAML, realize as seguintes ações:

(Opcional) Cadastre-se em uma conta Okta Developer

Observação: se você já tem uma conta Okta Developer, faça login.

Conclua as etapas a seguir:

Abra a página de login do Okta Developer no site do Okta Developer.
Insira as informações necessárias e clique em Inscrever-se. A Okta envia um e-mail de verificação para o endereço de e-mail que você forneceu.
No e-mail de verificação, encontre as informações de login da sua conta.
Clique em Ativar conta e, em seguida, faça login para concluir a criação da conta.

Crie uma aplicação SAML e configure a integração SAML para sua aplicação Okta

Conclua as etapas a seguir:

Abra o console do Okta Developer.
No painel de navegação, expanda Aplicações e selecione Aplicações.
Clique em Criar integração de aplicação.
No menu Criar nova integração de aplicação, como Método de login, selecione SAML 2.0.
Clique em Próximo.
Na página Criar integração SAML, em Configurações gerais, insira um nome para sua aplicação.
(Opcional) Carregue um logotipo e defina as configurações de visibilidade da sua aplicação.
Clique em Próximo.
Em Configurações SAML, em URL de login único, insira https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
Observação: substitua yourDomainPrefix e region pelos valores do seu grupo de usuários. Para encontrar esses valores, abra o console do Amazon Cognito e selecione Domínio na seção Marca.
Em URI do público (ID da entidade SP) insira urn:amazon:cognito:sp:yourUserPoolId.
Observação: substitua yourUserPoolId pelo ID do seu grupo de usuários. Para encontrar o ID do grupo de usuários, consulte a seção Visão geral no console do Amazon Cognito.
Em Instruções de atributo (Opcional) adicione uma declaração com as seguintes informações:
Em Name insira o nome do atributo SAML http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
Em Value insira user.email.
Para outras configurações na página, use os valores padrão ou ajuste-os de acordo com seus requisitos.
Clique em Próximo.
Quando solicitado, selecione uma resposta de feedback sobre a experiência de configuração da aplicação.
Observação: isso faz parte do processo padrão de criação de aplicações da Okta para coletar feedback sobre a experiência do usuário.
Clique em Concluir.

Atribua um usuário para a sua aplicação Okta

Conclua as etapas a seguir:

Na guia Atribuições da sua aplicação Okta, em Atribuir selecione Atribuir para pessoas.
Clique em Atribuir ao lado do usuário que você deseja atribuir.
Observação: se for uma nova conta, você só pode escolher a si mesmo como o usuário.
(Opcional) Em Nome de usuário, insira um nome de usuário personalizado. O Okta usa o endereço de e-mail do usuário como nome de usuário se você não especificar um.
Clique em Salvar e voltar para concluir a atribuição do usuário.
Selecione Concluído.

Obtenha os metadados do IdP da sua aplicação Okta

Na guia Login da sua aplicação Okta, em Detalhes dos metadados, copie o URL dos metadados.

Configure o Okta como um IdP SAML no seu grupo de usuários

Conclua as etapas a seguir:

Abra o console do Amazon Cognito.
Selecione seu grupo de usuários.
No painel de navegação, em Autenticação, escolha Provedores sociais e externos.
Clique em Adicionar provedor de identidade e, em seguida, selecione SAML.
Em Registrar sua aplicação com seu provedor SAML, em Nome do provedor, insira Okta.
(Opcional) Adicione identificadores SAML para rotear solicitações de login e saída para o Okta.
(Opcional) Ative o logout único para desconectar usuários do Okta quando eles saírem do seu grupo de usuários.
Em Origem do documento de metadados, clique em Inserir URL do endpoint do documento de metadados e cole o URL de metadados que você copiou da guia Cadastro do Okta.
Em Mapear atributos entre seu provedor SAML e seu grupo de usuários, especifique e-mail em atributo SAML.
Selecione Adicionar provedor de identidade.

Para obter mais informações, consulte Como adicionar e gerenciar provedores de identidade SAML em um grupo de usuários.

Altere as configurações do cliente da aplicação em seu grupo de usuários

Conclua as etapas a seguir:

No console do Amazon Cognito, em Clientes da aplicação, selecione seu grupo de usuários.
No painel de navegação, em Aplicações, clique em Clientes da aplicação.
Na página do cliente da aplicação, vá até a seção Páginas de login. Em seguida, em Configuração de páginas de login gerenciadas, clique em Editar.
Na lista suspensa Provedores de identidade, selecione Okta e Grupo de usuários do Cognito.
Em URL(s) de retorno de chamada, especifique o URL de destino para seus usuários após o login bem-sucedido.
Em URL(s) de saída, especifique o URL de destino para seus usuários após o log out.
Observação: se você quiser testar a integração, use um URL de espaço reservado, como https://www.exemplo.com/. Posteriormente, é possível atualizar esse espaço reservado com o URL da sua aplicação.
Em Fluxos OAuth permitidos, selecione Concessão implícita.
Em Escopos OAuth permitidos, selecione email e openid.
Clique em Salvar alterações.

Para obter mais informações, consulte os Termos do cliente da aplicação.

Acesse a página de login para testar o fluxo de autenticação SAML

É possível acessar a página de login por meio do console do Amazon Cognito ou criar um URL do endpoint de login.

No console do Amazon Cognito, em Clientes da aplicação, selecione seu grupo de usuários.
Clique na guia Páginas de login e selecione Exibir página de login.
-ou-
Crie o URL do endpoint de login. Para criar o endpoint de login, use o seguinte padrão de nomenclatura:
https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl
Observação: substitua yourDomainPrefix e region pelos valores do seu grupo de usuários. Para encontrar esses valores no console do Amazon Cognito, clique na página Nome de domínio.
Na página da web do endpoint de login, selecione Okta.
Observação: se o sistema redirecionar você para o URL de retorno de chamada do cliente da sua aplicação, você já está logado na sua conta Okta. Prossiga para a etapa 5.
Na página de Login do Okta, insira o nome de usuário e a senha do usuário que você atribuiu para a sua aplicação.
Clique em Fazer login.
Procure os tokens do grupo de usuários na barra de endereço do seu navegador.

(Opcional) Ignore a interface de usuário hospedada no Amazon Cognito

Para ignorar a interface de usuário web hospedada pelo Amazon Cognito e enviar usuários diretamente para o Okta para fazer login, use o seguinte URL de endpoint /oauth2/authorize:

https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

Observação: substitua yourDomainPrefix, region, samlProviderName, yourClientId, redirectUrl e allowedOauthScopes pelos seus valores. Para encontrar yourDomainPrefix e region, no console do Amazon Cognito, selecione Domínio na seção Marca. Em yourClientId e redirectUrl, selecione a página de configurações Cliente da aplicação no console do Amazon Cognito.

(Opcional) Se você adicionou um identificador SAML, substitua o espaço reservado identity_provider=samlProviderName por idp_identifier=idpIdentifier. Substitua idpIdentifier pela sua string de identificador personalizada.

Informações relacionadas

Iniciação de sessão SAML em grupos de usuários do Amazon Cognito

Como faço para configurar um provedor de identidade SAML terceirizado com um grupo de usuários do Amazon Cognito?

How do I set up Okta as an OpenID Connect identity provider in an Amazon Cognito user pool? (Como eu configuro o Okta como um provedor de identidade do OpenID Connect em um grupo de usuários do Amazon Cognito?)

Tópicos: Security, Identity, & Compliance
Tags: Amazon Cognito
Idioma: Português

AWS OFICIALAtualizada há 8 meses

Sem comentários

Conteúdo relevante

Configuração SAML AWS Opensearch Service
Resposta aceita
Priscila Camargo
feita há um ano
Configuração AWS Opensearch Service com Entra ID
Priscila Camargo
feita há um ano
Stardew Valley Mobile Android - Problema de Sincronização de Dados com o Cognito e S3
tanabanaa
feita há 6 meses
Stack perdeu o vinculo com meu Pool no Cognito
rePost-User-3170605
feita há um ano
Não consigo me logar pela conta principal
Lince Web
feita há um ano
Como faço para configurar um provedor de identidade SAML terceirizado com um grupo de usuários do Amazon Cognito?
AWS OFICIALAtualizada há 3 anos
Como configuro o OneLogin como um provedor de identidades SAML com um grupo de usuários do Amazon Cognito?
AWS OFICIALAtualizada há 3 anos
Como configuro o Auth0 como um provedor de identidade SAML com um grupo de usuários do Amazon Cognito?
AWS OFICIALAtualizada há um ano
Como configurar o AD FS como um provedor de identidade SAML com um grupo de usuários do Amazon Cognito?
AWS OFICIALAtualizada há um ano
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 10 meses