我想使用 Amazon Cognito 用户池将 Active Directory 联合身份验证服务 (AD FS) 设为安全断言标记语言 2.0 (SAML 2.0) 身份提供商 (IdP)。该如何进行设置?
Amazon Cognito 用户池允许通过第三方(包括通过 AD FS 等 SAML IdP)登录(联合身份)。有关更多信息,请参阅通过第三方添加用户池登录和向用户池添加 SAML 身份提供商。
您可以在 Amazon Elastic Compute Cloud (Amazon EC2) Windows 实例上设置 AD FS 服务器和域控制器,然后使用 Amazon Cognito 的托管 Web UI 将设置与用户池相集成。
**重要提示:**对于此解决方案,您需要使用自己的域名。如果您没有域名,则可以使用 Amazon Route 53 或其他域名系统 (DNS) 服务注册新域名。
有关更多信息,请参阅教程:创建用户池和使用 Amazon Cognito 控制台设置托管 UI。
**注意:**创建用户池时,系统会默认选择标准属性 email。有关用户池属性的更多信息,请参阅配置用户池属性。
配置并启动某个 EC2 Windows 实例,然后在其上设置 AD FS 服务器和域控制器。有关更多信息,请参阅如何在 Amazon EC2 Windows 实例上设置 AD FS,以对 Amazon Cognito 用户池使用联合身份验证?
有关更多信息,请参阅为用户池创建和管理 SAML 身份提供商(AWS 管理控制台),并按照在用户池中配置 SAML 2.0 身份提供商下的说明操作。
在创建 SAML IdP 时,对于元数据文档,可粘贴元数据文档终端节点 URL 或上传 .xml 元数据文件。
有关更多信息,请参阅指定适用于用户池的身份提供商属性映射,并按照指定 SAML 提供商属性映射下的说明操作。
在添加 SAML 属性时,对于 SAML 属性,请输入 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress。对于用户池属性,请从列表中选择电子邮件。
使用 Amazon Cognito 用户池为 Web 应用程序构建 ADFS 联合身份
将第三方 SAML 身份提供商与 Amazon Cognito 用户池集成
SAML 用户池 IdP 身份验证流程
如何使用 Amazon Cognito 用户池设置第三方 SAML 身份提供商?