¿Cómo configuro Auth0 como un proveedor de identidades SAML con un grupo de usuarios de Amazon Cognito?

Descripción corta

Debes tener un grupo de usuarios de Cognito con un cliente de aplicación, un nombre de dominio y una cuenta Auth0 con una aplicación Auth0. Para obtener más información, consulta Inicio de sesión en un grupo de usuarios con proveedores de identidades de terceros y Uso de proveedores de identidades SAML con un grupo de usuarios.

Resolución

Creación de un grupo de usuarios de Amazon Cognito con un cliente de aplicación y un nombre de dominio

Para obtener más información, consulta la siguiente documentación de AWS:

• Adición de más características y opciones de seguridad a tu grupo de usuarios
  Nota: Al crear un grupo de usuarios, el atributo estándar email se selecciona de forma predeterminada. Para obtener más información, consulta Uso de atributos de usuario.
• Inicio de sesión administrado por grupos de usuarios
  Nota: El secreto del cliente de la aplicación es una configuración opcional.
• Configuración de un dominio del grupo de usuarios

Registro para obtener una cuenta de Auth0

Si aún no tienes una cuenta Auth0, regístrate para obtener una en el sitio web de Auth0 Sign Up.

Creación de una aplicación Auth0

Sigue estos pasos:

1. En el panel de Auth0, elige Aplicaciones y, a continuación, elige Crear aplicación.
2. En el cuadro Crear aplicación, introduce un nombre para la aplicación, por ejemplo, Mi aplicación.
3. En Elegir el tipo de aplicación, elige Aplicaciones web de página única.
4. Elige Crear.

Creación de un usuario de prueba para la aplicación Auth0

Sigue estos pasos:

1. En el panel de navegación del panel de Auth0, elige Administración de usuarios y, a continuación, elige Usuarios.
2. Elige Crear el primer usuario o Crear usuario.
3. En el cuadro Crear usuario, introduce una dirección de correo electrónico y una contraseña para el usuario.
4. Selecciona Guardar.

Configuración de los ajustes de SAML para tu aplicación

Sigue estos pasos:

1. En el panel de navegación del panel de Auth0, elige Aplicaciones.
2. Elige el nombre de la aplicación que has creado.
3. En la pestaña Complementos, activa Aplicación web SAML2.
4. En el cuadro Complemento: Aplicación web SAML2, en la pestaña Configuración que encontrarás en URL de devolución de llamada de la aplicación, escribe: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Nota: Sustituye yourDomainPrefix y region por el prefijo de dominio y la región de AWS de tu grupo de usuarios. Puedes encontrarlos en la pestaña Nombre de dominio de la página de administración de tu grupo de usuarios. O bien, introduce una URL de devolución de llamada de dominio personalizado similar a https//yourCustomDomain/saml2/idpresponse.
5. En Configuración, en audiencia, elimina el delimitador de comentarios (//) y sustituye el valor predeterminado urn:foo por urn:amazon:cognito:sp:yourUserPoolId.
   Nota: Sustituye yourUserPoolId por el identificador del grupo de usuarios de Cognito. Puedes encontrar el ID en la pestaña Configuración general de la página de administración de tu grupo de usuarios.
6. En mappings y email, elimina los delimitadores de comentarios (//). Elimina cualquier otro atributo de usuario que necesite tu grupo de usuarios.
7. En nameIdenetifierFormat, elimina los delimitadores de comentarios (//). Sustituye el valor predeterminado urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified por urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
8. (Opcional) Selecciona Depurar. Para confirmar que la configuración funciona, inicia sesión como usuario de prueba.
9. Elige Habilitar y, a continuación, selecciona Guardar.

Obtener los metadatos del IdP para la aplicación Auth0

En el cuadro Complemento: aplicación web SAML2, en la pestaña Uso, busca Metadatos del proveedor de identidades. Selecciona descargar y, a continuación, anota la URL. O bien, elige Descargar para descargar el archivo de metadatos .xml.

Configuración de Auth0 como IdP SAML en Cognito

Al crear el IdP SAML, en Documento de metadatos, introduce la URL de los metadatos del proveedor de identidades o carga el archivo de metadatos .xml.

Para obtener más información, consulta Adición y administración de proveedores de identidades SAML en un grupo de usuarios.

Asignación de la dirección de correo electrónico del atributo IdP al atributo de grupo de usuarios

En Atributo SAML, introduce http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. En Atributo de grupo de usuarios, elige Correo electrónico.

Para obtener más información, consulta Asignación de atributos de IdP a perfiles y tokens.

Cambio de la configuración del cliente de la aplicación en Cognito

Sigue estos pasos:

1. Abre la consola de Cognito.
2. Selecciona tu grupo de usuarios.
3. En la página de administración de tu grupo de usuarios, en Aplicaciones, elige Selecciona el cliente de aplicaciones que desees.
4. En Páginas de inicio de sesión, edita la configuración de las páginas de inicio de sesión administradas.
5. En Proveedores de identidades, selecciona Auth0 y Grupo de usuarios de Cognito.
6. En URL de devolución de llamadas permitidas, introduce la URL a la que deseas que se redirija a los usuarios cuando inicien sesión. Para probar la autenticación, puedes introducir cualquier URL válida, como https://www.amazon.com.
7. En Direcciones URL de cierre de sesión permitidas, introduce la URL a la que deseas que se redirija a los usuarios después de cerrar sesión. Para probar la autenticación, puedes introducir cualquier URL válida, como https://www.amazon.com.
8. En Flujos de OAuth permitidos, selecciona al menos una concesión implícita.
9. En Ámbitos de OAuth permitidos, selecciona al menos email y openid.
10. Selecciona Guardar cambios.

Para obtener más información, consulta Términos del cliente de aplicación.

Prueba del punto de enlace de inicio de sesión

Sigue estos pasos:

1. Introduce la URL https://.auth..amazoncognito.com/login?response_type=token&client_id=&redirect_uri= en tu navegador web.
2. Sustituye yourDomainPrefix y region por los valores de tu grupo de usuarios. Puedes encontrarlos en la pestaña Nombre de dominio, en la sección Marca de la página de administración de tu grupo de usuarios.
3. Sustituye yourClientId por el ID del cliente de tu aplicación y redirectUrl por la URL de devolución de llamada del cliente de tu aplicación. Puedes encontrarlos en la pestaña Configuración del cliente de aplicación, en la sección Aplicación de la página de administración de tu grupo de usuarios. Para obtener más información, consulta Punto de enlace de inicio de sesión administrado: /login.
4. Elige Auth0.
   Nota: Si se te redirige a la URL de devolución de llamada del cliente de aplicación, ya has iniciado sesión en la cuenta de Auth0 en el navegador.
5. En la página de inicio de sesión de tu aplicación Auth0, introduce el correo electrónico y la contraseña para el usuario de prueba que has creado.
6. Selecciona Iniciar sesión.

Tras iniciar sesión, se te redirigirá a la URL de devolución de llamada del cliente de aplicación. Los tokens del grupo de usuarios aparecen en la URL en la barra de direcciones del navegador web.

Información relacionada

Descripción de los tokens JSON web de grupos de usuarios (JWTs)

Configuración de tu proveedor de identidades SAML de terceros

¿Cómo configuro un proveedor de identidades SAML externo con un grupo de usuarios de Amazon Cognito?