Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
¿Cómo configuro AD FS como proveedor de identidades SAML con un grupo de usuarios de Amazon Cognito?
Quiero utilizar Active Directory Federation Services (AD FS) como proveedor de identidades (IdP) de Security Assertion Markup Language 2.0 (SAML 2.0) con un grupo de usuarios de Amazon Cognito. ¿Cómo configuro todo eso?
Descripción breve
Los grupos de usuarios de Amazon Cognito permiten iniciar sesión a través de un tercero (federación), incluso mediante un IdP de SAML, como AD FS. Para obtener más información, consulte Añadir inicio de sesión de grupo de usuarios a través de un tercero y Añadir proveedores de identidad SAML a un grupo de usuarios.
Puede configurar un servidor y un controlador de dominio de AD FS en una instancia de Windows de Amazon Elastic Compute Cloud (Amazon EC2) y, a continuación, integrar la configuración con su grupo de usuarios mediante la interfaz de usuario web alojada de Amazon Cognito.
Importante: Para esta solución, necesita un nombre de dominio de su propiedad. Si no es propietario de un dominio, puede registrar uno nuevo con Amazon Route 53 u otro servicio del Sistema de nombres de dominio (DNS).
Resolución
Cree un grupo de usuarios de Amazon Cognito con un cliente de la aplicación
Para obtener más información, consulte Tutorial: Creación de un grupo de usuarios y Configuración de la IU alojada con la consola de Amazon Cognito.
Nota: Al crear un grupo de usuarios, el atributo estándar email se selecciona de forma predeterminada. Para obtener más información sobre los atributos del grupo de usuarios, consulte Configurar los atributos del grupo de usuarios.
Configurar una instancia EC2 de Windows
Configure e inicie una instancia de EC2 de Windows y, a continuación, configure un servidor de AD FS y un controlador de dominio en ella.
Configuración del servidor de AD FS como IdP de SAML en Amazon Cognito
Para obtener más información, consulte Creación y administración de un proveedor de identidad SAML para un grupo de usuarios (Consola de administración de AWS) y siga las instrucciones que se indican en Para configurar un proveedor de identidades SAML 2.0 en su grupo de usuarios.
Al crear el IdP de SAML, para el Documento de metadatos, pegue la URL del punto de conexión del documento de metadatos o cargue el archivo de metadatos .xml.
Asignar la dirección de correo electrónico del atributo IdP al atributo de grupo de usuarios
Para obtener más información, consulte Especificación de asignaciones de atributos del proveedor de identidad para su grupo de usuarios y siga las instrucciones que se indican en Para especificar una asignación de atributos de proveedores de SAML.
Al añadir un atributo SAML, en Atributo SAML, introduzca http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. En Atributo de grupo de usuarios, seleccione Correo electrónico de la lista.
Cambiar la configuración del cliente de la aplicación en Amazon Cognito
- En la página de administración de la consola de Amazon Cognito de su grupo de usuarios, en Integración de aplicaciones, seleccione Configuración del cliente de aplicaciones. A continuación, haga lo siguiente:
En Proveedores de identidades habilitados, active la casilla de verificación del IdP de SAML que configuró. Por ejemplo, ADFS.
En URL de devolución de llamadas, introduzca la URL a la que quiera que se redirijan los usuarios después de iniciar sesión.
En URL de cierre de sesión, introduzca la URL a la que quiera que se redirijan los usuarios después de cerrar sesión.
En Flujos de OAuth permitidos, active las casillas Concesión de código de autorización y Concesión implícita.
En Ámbitos de OAuth permitidos, seleccione todas las casillas de verificación. - Seleccione Guardar cambios. Para obtener más información, consulte Terminología de la configuración del cliente de la aplicación.
Prueba de la configuración mediante la interfaz de usuario web alojada en Amazon Cognito
- Introduzca esta URL en su navegador web: https://domainNamePrefix.auth.region.amazoncognito.com/loginresponse_type=token&client_id=appClientId&redirect_uri=https://www.example.com
Nota: Para la URL, utilice valores de su grupo de usuarios y del cliente de la aplicación. Busque el dominio (incluidos el prefijo del nombre de dominio y la región de AWS) de su grupo de usuarios en la consola de Amazon Cognito en la página de integración de aplicaciones. Busque el ID del cliente de la aplicación en la configuración del cliente de la aplicación. Sustituya https://www.example.com por la URL de devolución de llamada de su IdP de SAML. - Elija el nombre del IdP de SAML que configuró. Se le redirigirá a la página de autenticación de AD FS.
- En Iniciar sesión con la cuenta de su organización, introduzca el nombre de usuario y la contraseña de su usuario de Active Directory.
- Seleccione Iniciar sesión. Si el inicio de sesión se lleva a cabo correctamente, Amazon Cognito devuelve los tokens del grupo de usuarios y una respuesta SAML correcta. Para obtener más información sobre cómo ver la respuesta de SAML, consulte Cómo ver una respuesta de SAML en el navegador para solucionar problemas.
**Nota:**Cuando se decodifica, la respuesta de SAML debe incluir el atributo NameID requerido.
Información relacionada
Integración de proveedores de identidad SAML de terceros con grupos de usuarios de Amazon Cognito
Flujo de autenticación de proveedores de identidad (IdP) de grupos de usuarios de SAML
Contenido relevante
- preguntada hace un mes
- preguntada hace 22 días
- preguntada hace 2 meses
- preguntada hace 3 días
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 3 años
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace un año