Comment configurer Auth0 en tant que fournisseur d'identité SAML avec un groupe d'utilisateurs Amazon Cognito ?

Brève description

Vous devez disposer d'un groupe d'utilisateurs Cognito avec un client d'application, un nom de domaine et un compte Auth0 contenant une application Auth0. Pour plus d'informations, consultez les sections Connexion à un groupe d'utilisateurs avec des fournisseurs d'identité tiers et Utilisation de fournisseurs d'identité SAML avec un groupe d'utilisateurs.

Résolution

Créer un groupe d'utilisateurs Cognito avec un client d'application et un nom de domaine

Pour plus d'informations, consultez la documentation AWS suivante :

• Ajouter des fonctionnalités et des options de sécurité supplémentaires à votre groupe d'utilisateurs
  Remarque : Lorsque vous créez un groupe d’utilisateurs, l’attribut standard e-mail est sélectionné par défaut. Pour plus d'informations, consultez la section Utilisation d’attributs utilisateur.
• Connexion gérée par un groupe d'utilisateurs
  Remarque : Le secret d'un client d'application est une configuration facultative.
• Configuration d'un domaine de groupe d'utilisateurs

Ouvrir un compte Auth0

Si vous n'avez pas encore de compte Auth0, créez-en un sur le site Web Inscription à Auth0.

Créer une application Auth0

Procédez comme suit :

1. Sur le tableau de bord Auth0, choisissez Applications, puis Créer une application.
2. Dans la zone Créer une application, entrez le nom de votre application, par exemple Mon application.
3. Sous Choisir un type d'application, choisissez Applications Web à page unique.
4. Sélectionnez Créer.

Créer un utilisateur de test pour votre application Auth0

Procédez comme suit :

1. Dans le volet de navigation du tableau de bord Auth0, choisissez Gestion des utilisateurs, puis Utilisateurs.
2. Choisissez Créer votre premier utilisateur ou Créer un utilisateur.
3. Dans la zone Créer un utilisateur, entrez une adresse e-mail et un mot de passe pour l'utilisateur de test.
4. Sélectionnez Enregistrer.

Configurer les paramètres de SAML pour votre application

Procédez comme suit :

1. Dans le volet de navigation du Tableau de bord Auth0, choisissez Applications.
2. Choisissez le nom de l'application que vous avez créée.
3. Dans l'onglet Modules complémentaires, activez Application Web SAML2.
4. Dans la zone Module complémentaire : Application Web SAML2, dans l'onglet Paramètres, pour l'URL de rappel de l'application, entrez : https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Remarque : Remplacez yourDomainPrefix et region par votre préfixe de domaine et la région AWS de votre groupe d'utilisateurs. Vous les trouverez dans l'onglet Nom de domaine de la page Gestion de votre groupe d'utilisateurs. Vous pouvez également saisir une URL de rappel de domaine personnalisé similaire à https//yourCustomDomain/saml2/idpresponse.
5. Dans Paramètres, pour audience, supprimez le délimiteur de commentaires (//) et remplacez la valeur par défaut urn:foo par urn:amazon:cognito:sp:yourUserPoolId.
   Remarque : Remplacez yourUserPoolId par l'ID de votre groupe d'utilisateurs Cognito. L'ID se trouve dans l'onglet Paramètres généraux de la page Gestion de votre groupe d'utilisateurs.
6. Pour mappages et e-mail, supprimez les délimiteurs de commentaires (//). Supprimez tous les autres attributs utilisateur requis par votre groupe d'utilisateurs.
7. Pour nameIdenetifierFormat, supprimez les délimiteurs de commentaires (//). Remplacez la valeur par défaut urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified par urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
8. (Facultatif) Choisissez Débogage. Pour vérifier que la configuration fonctionne, connectez-vous en tant qu'utilisateur de test.
9. Choisissez Activer, puis Enregistrer.

Obtenir les métadonnées IdP pour votre application Auth0

Dans la zone Module complémentaire : Application Web SAML2, dans l'onglet Utilisation, recherchez les métadonnées du fournisseur d'identité. Choisissez télécharger, puis notez l'URL. Vous pouvez également choisir télécharger pour télécharger le fichier de métadonnées .xml.

Configurer Auth0 en tant qu'IdP SAML dans Cognito

Lorsque vous créez le document SAML IdP, pour Document de métadonnées, entrez l'URL Métadonnées du fournisseur d'identité ou chargez le fichier de métadonnées .xml.

Pour plus d'informations, consultez la section Ajout et gestion de fournisseurs d'identité SAML dans un groupe d'utilisateurs.

Mapper l'adresse e-mail de l'attribut IdP à l'attribut du groupe d'utilisateurs

Pour Attribut SAML, saisissez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Pour Attribut du groupe d'utilisateurs, choisissez E-mail.

Pour plus d'informations, consultez la section Mappage des attributs IdP avec des profils et des jetons.

Modifier les paramètres du client d'application dans Cognito

Procédez comme suit :

1. Ouvrez la console Cognito.
2. Sélectionnez votre groupe d’utilisateurs.
3. Sur la page Gestion de votre groupe d'utilisateurs, sous Applications, choisissez Sélectionner le client d'application de votre choix.
4. Sous Pages de connexion, modifiez la configuration de vos pages de connexion gérées.
5. Sous Fournisseurs d'identité, sélectionnez Auth0 et Groupe d’utilisateurs Cognito.
6. Pour URL de rappel autorisée(s), saisissez l’URL vers laquelle vous souhaitez rediriger vos utilisateurs une fois que vous êtes connecté. Pour tester l'authentification, vous pouvez saisir n'importe quelle URL valide, telle que https://www.amazon.com.
7. Pour URL de déconnexion autorisée(s), saisissez l’URL vers laquelle vous souhaitez que vos utilisateurs soient redirigés une fois que vous êtes déconnecté. Pour tester l'authentification, vous pouvez saisir n'importe quelle URL valide, telle que https://www.amazon.com.
8. Dans Flux OAuth autorisés, sélectionnez au moins une autorisation implicite.
9. Dans Portées OAuth autorisées, sélectionnez au moins e-mail et openid.
10. Sélectionnez Enregistrer les modifications.

Pour plus d’informations, consultez les conditions générales du client d’application.

Tester le point de terminaison de connexion

Procédez comme suit :

1. Entrez l'URL https://.auth..amazoncognito.com/login?response_type=token&client_id=&redirect_uri= dans votre navigateur Web.
2. Remplacez yourDomainPrefix et region par les valeurs de votre groupe d’utilisateurs. Vous les trouverez dans l'onglet Nom de domaine, sous Marque, sur la page Gestion de votre groupe d'utilisateurs.
3. Remplacez yourClientId par l'ID de votre client d'application et remplacez redirectUrl par l'URL de rappel de votre client d'application. Vous les trouverez dans l'onglet Paramètres du client d'application sous Application, sur la page Gestion de votre groupe d'utilisateurs. Pour plus d'informations, consultez la section Le point de terminaison de connexion géré : /login.
4. Choisissez Auth0.
   Remarque : Une redirection vers l'URL de rappel de votre client d'application signifie que vous êtes déjà connecté à votre compte Auth0 dans votre navigateur.
5. Sur la page de connexion de votre application Auth0, entrez l'e-mail et le mot de passe de l'utilisateur de test.
6. Choisissez Se connecter.

Une fois connecté, vous êtes redirigé vers l'URL de rappel de votre client d'application. Les jetons du groupe d’utilisateurs apparaissent dans l’URL de la barre d’adresse de votre navigateur web.

Informations connexes

Comprendre les jetons Web JSON (JWT) du groupe d'utilisateurs

Configuration de votre fournisseur d'identité SAML tiers

Comment configurer un fournisseur d'identité SAML tiers avec un groupe d'utilisateurs Amazon Cognito ?