Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Wie richte ich Auth0 als SAML-Identitätsanbieter mit einem Amazon-Cognito-Benutzerpool ein?

Lesedauer: 5 Minute
0

Ich möchte Auth0 als SAML 2.0-Identitätsanbieter (IdP) mit einem Amazon Cognito-Benutzerpool einrichten.

Kurzbeschreibung

Du musst über einen Cognito-Benutzerpool mit einem App-Client, einem Domainnamen und einem Auth0-Konto mit einer darauf befindlichen Auth0-Anwendung verfügen. Weitere Informationen findest du unter Benutzerpool-Anmeldung bei externen Identitätsanbietern und Verwenden von SAML-Identitätsanbietern mit einem Benutzerpool.

Lösung

Erstelle einen Cognito-Benutzerpool mit einem App-Client und einem Domainnamen

Informationen findest du in der folgenden AWS-Dokumentation:

Eröffne ein Auth0-Konto

Wenn du noch kein Auth0-Konto hast, registriere dich auf der Auth0-Anmelde-Website.

Erstelle eine Auth0-Anwendung

Führe die folgenden Schritte aus:

  1. Wähle im Auth0-Dasbopard Anwendung und dann Anwendung erstellen aus.
  2. Gib im Feld Anwendung erstellen einen Namen für deine Anwendung ein, z. B. Meine App.
  3. Wähle unter Wähle einen Anwendungstyp die Option Single Page Web Applications aus.
  4. Wählen Sie Erstellen.

Erstelle einen Testbenutzer für deine Auth0-Anwendung

Führe die folgenden Schritte aus:

  1. Wähle im Navigationsbereich des Auth0-Dashboards Benutzerverwaltung und dann Benutzer.
  2. Wähle Ersten Benutzer erstellen oder Benutzer erstellen.
  3. Gib im Feld Benutzer erstellen eine E-Mail-Adresse und ein Passwort für den Testbenutzer ein.
  4. Wähle Speichern aus.

Konfiguriere die SAML-Einstellungen für deine Anwendung

Führe die folgenden Schritte aus:

  1. Wähle im Navigationsbereich des Auth0-Dashboards Anwendungen.
  2. Wähle den Namen der Anwendung, die du erstellt hast.
  3. Aktiviere auf der Registerkarte Addons die SAML2 Web App.
  4. Im Addon: Gib im Feld SAML2 Web App auf der Registerkarte Einstellungen als Anwendungs-Aufruf-URL Folgendes ein: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
    Hinweis: Ersetze yourDomainPrefix und Region durch dein Domain-Präfix und AWS-Region für deinen Benutzerpool. Du findest sie auf der RegisterkarteDomainname der Seite Verwaltung für deinen Benutzerpool. Oder gib eine benutzerdefinierte Domain-Callback-URL ein, die der https://yourcustomdomain/saml2/idpresponse ähnelt.
  5. Unter Einstellungen, für Zielgruppe, das Kommentartrennzeichen (//) löschen und den Standardwert urn:foo durch urn:amazon:cognito:sp:yourUserPoolId ersetzen.
    Hinweis: Ersetze yourUserPoolId durch die Cognito-Benutzerpool-ID. Du findest die ID auf der Registerkarte Allgemeine Einstellungen der Seite Verwaltung für deinen Benutzerpool.
  6. Lösche bei Zuordnungen und E-Mails die Kommentartrennzeichen (//). Lösche alle anderen Benutzerattribute, die dein Benutzerpool benötigt.
  7. Lösche für nameIdentifierFormat die Kommentartrennzeichen (//). Ersetze den Standardwert urn:oasis:names:tc:saml:1.1:nameid-format:unspecified durch urn:oasis:names:tc:saml:2.0:nameid-format:persistent.
  8. (Optional) Wähle Debug. Um zu bestätigen, dass die Konfiguration funktioniert, melde dich als Testbenutzer an.
  9. Wähle Aktivieren und dann Speichern.

Holen Sie sich die IdP-Metadaten für Ihre Auth0-Anwendung

Im Addon: Suche im Feld SAML2 Web App auf der Registerkarte Verwendung nach Identitätsanbieter-Metadaten. Wähle Herunterladen und notiere dir dann die URL. Oder wählen Herunterladen, um die XML-Metadatendatei herunterzuladen.

Konfiguriere Auth0 als SAML-IdP in Cognito

Gib beim Erstellen des SAML-IdP für das Metadatendokument entweder die Identitätsanbieter-Metadaten-URL ein oder lade die XML-Metadatendatei hoch.

Weitere Informationen findest unter Hinzufügen und Verwalten von SAML-Identitätsanbietern in den / im Benutzerpool.

E-Mail-Adresse vom IdP-Attribut zum Benutzerpool-Attribut zuordnen

Gib für SAML-Attribut http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ein. Wähle für Benutzerpool-Attribut die Option E-Mail.

Weitere Informationen findest du unter Zuordnung von IdP-Attributen zu Profilen und Tokens.

Ändere die App-Client-Einstellungen in Cognito

Führe die folgenden Schritte aus:

  1. Öffne die Cognito-Konsole.
  2. Wähle den Benutzerpool aus.
  3. Wähle auf der Seite Verwaltung für deinen Benutzerpool unter Anwendungen die Option Wähle deinen gewünschten App-Client aus.
  4. Bearbeite unter Anmeldeseiten die Konfiguration deiner verwalteten Anmeldeseiten.
  5. Wähle unter Identitätsanbieter Auth0 und Cognito-Benutzerpool.
  6. Gib für Zugelasse Callback-URL(s) die URL ein, zu der die Benutzer nach der Anmeldung weitergeleitet werden sollen. Um die Authentifizierung zu testen, kannst du eine beliebige gültige URL eingeben, z. B. https://www.amazon.com.
  7. Gib unter Zugelassene Abmelde-URL(s) die URL ein, zu der die Benutzer nach dem Abmelden weitergeleitet werden sollen. Um die Authentifizierung zu testen, kannst du eine beliebige gültige URL eingeben, z. B. https://www.amazon.com.
  8. Wähle unter Zulässige OAuth-Abläufe zumindest Implizite Erteilung aus.
  9. Wähle unter Zulässige OAuth-Bereiche E-Mail und openid aus.
  10. Wähle Änderungen speichern.

Weitere Informationen findest du unter Nutzungsbedingungen für App-Clients.

Testen des Anmeldeendpunkts

Führe die folgenden Schritte aus:

  1. Gib die URL https://.auth..amazoncognito.com/login?response_type=token&client_id=&redirect_uri= in deinen Webbrowser ein.
  2. Ersetze yourDomainPrefix und Region durch die Werte für deinen Benutzerpool. Du findest sie auf der Registerkarte Domainname unter Branding der Seite Verwaltung für deinen Benutzerpool.
  3. Ersetze yourClientId durch die ID des App-Clients und redirectUrl durch die Callback-URL des App-Clients. Du findest sie auf der Registerkarte App-Client-Einstellungen unter Anwendung der Seite Verwaltung für deinen Benutzerpool. Weitere Informationen findest du unter Der Anmeldeendpunkt für verwaltete Anmeldeinformationen: /login.
  4. Wähle Auth0 aus.
    Hinweis: Wenn du zur Callback-URL deines App-Clients weitergeleitet wirst, bist du in deinem Browser bereits in deinem Auth0-Konto angemeldet.
  5. Gib auf der Anmeldeseite für deine Auth0-Anwendung die E-Mail-Adresse und das Passwort für den Testbenutzer ein.
  6. Wähle Anmelden.

Nachdem Sie sich angemeldet haben, werden Sie zur Aufruf-URL Ihres App-Clients weitergeleitet. Die Benutzerpool-Token werden in der URL in der Adressleiste Ihres Webbrowsers angezeigt.

Ähnliche Informationen

JSON-Web-Token (JWTs) für Benutzerpools verstehen

Konfiguration deines Drittanbieter-SAML-Identitätsanbieters

Wie richte ich einen externen SAML-Identitätsanbieter mit einem Amazon Cognito-Benutzerpool ein?

Themen
Sicherheit, Identität & Konformität
Tags
Amazon Cognito
Sprache
Deutsch

Ähnliche Videos

Schauen Sie Rimpys Video an, um mehr zu erfahren (10:19)
Schauen Sie Rimpys Video an, um mehr zu erfahren (10:19)
AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Monat

Relevanter Inhalt