Passer au contenu
En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post
À propos de re:Post

Comment configurer AD FS en tant que fournisseur d'identité SAML avec un groupe d'utilisateurs Amazon Cognito ?

Lecture de 4 minute(s)
0

Je souhaite utiliser Active Directory Federation Services (AD FS) en tant que fournisseur d'identité (IdP) SAML 2.0 avec un groupe d'utilisateurs Amazon Cognito.

Résolution

Prérequis : Vous devez être propriétaire d’un domaine pour configurer un AD FS avec un groupe d'utilisateurs Amazon Cognito. Si vous ne possédez pas de domaine, vous pouvez enregistrer un nouveau auprès d'Amazon Route 53 ou d'un autre service DNS.

Créer un groupe d'utilisateurs Amazon Cognito avec une connexion gérée

Créez un groupe d'utilisateurs Amazon Cognito, puis configurez la connexion gérée.

Configurer une instance Windows Amazon EC2

Procédez comme suit :

  1. Lancez une instance Windows Amazon Elastic Compute Cloud (Amazon EC2).
  2. Configurez un serveur AD FS et un contrôleur de domaine sur l'instance Windows Amazon EC2.

Pour obtenir des instructions, consultez la section Comment configurer AD FS sur une instance Windows Amazon EC2 afin qu'il fonctionne avec la fédération pour un groupe d'utilisateurs Amazon Cognito ?

Configurer AD FS en tant qu'IdP SAML dans Amazon Cognito

Procédez comme suit :

  1. Configurez un IdP SAML 2.0 dans votre groupe d'utilisateurs. Vous pouvez soit coller l'URL du point de terminaison du document de métadonnées, soit charger le fichier de métadonnées .xml.
  2. Mappez les attributs d'IdP SAML au profil utilisateur de votre groupe d'utilisateurs. Assurez-vous d'inclure tous les attributs requis dans votre mappage d'attributs.

Mettre à jour les paramètres du client d’application

Procédez comme suit :

  1. Ouvrez la console Amazon Cognito.
  2. Sous Applications, choisissez Clients d’application. Puis, dans la liste, choisissez le client d'application généré par le processus de configuration du groupe d'utilisateurs.
  3. Accédez à l'onglet Pages de connexion, choisissez Modifier, puis sélectionnez les options suivantes :
    Dans le champ URL de rappel, saisissez l'URL vers laquelle vous souhaitez rediriger vos utilisateurs une fois connectés.
    Dans le champ URL de déconnexion, saisissez l'URL vers laquelle vous souhaitez rediriger vos utilisateurs une fois déconnectés.
    Dans Fournisseurs d'identité, choisissez votre IdP SAML dans la liste déroulante.
    Dans Types d’octroi OAuth 2.0, cochez les cases Octroi de code d'autorisation et Octroi implicite.
    Dans Portées de connexion OpenID, choisissez toutes les portées OIDC dans la liste déroulante.
    Dans Portées personnalisées, sélectionnez les portées personnalisées que vous avez configurées.
  4. Sélectionnez Enregistrer les modifications.

Pour plus d'informations sur la terminologie du client d'application, consultez la section Conditions relatives aux paramètres du client d'application.

Tester votre configuration

Procédez comme suit :

  1. Entrez l’URL suivante dans votre navigateur Web : https://domainNamePrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=appClientId&redirect_uri=https://www.example.com
  2. Ouvrez la console Amazon Cognito.
  3. Dans le volet de navigation, sélectionnez Marque, puis choisissez votre domaine.
  4. Copiez l'URL du domaine.
    Remarque : Remplacez domainNamePrefix.auth.region.amazoncognito.com par l'URL de votre domaine.
  5. Dans le volet de navigation, sous Applications, sélectionnez Clients d’application. Puis, copiez l'ID de votre client d’application.
    Remarque : Remplacez appClientId par l'ID de votre client d’application.
  6. Sélectionnez votre client d’application, puis choisissez l’onglet Pages de connexion.
  7. Copiez l'URL de rappel qui est indiquée dans l'onglet Pages de connexion.
    Remarque : Remplacez https://www.example.com par l'URL de rappel.
  8. Saisissez l'URL modifiée dans votre navigateur. Amazon Cognito vous redirige vers la page d'authentification Cognito.
  9. Sur la page de connexion, choisissez votre IdP SAML.
  10. Sélectionnez Se connecter avec le compte de votre organisation, puis entrez le nom d'utilisateur et le mot de passe de votre utilisateur Active Directory.
  11. Sélectionnez Connexion.

Remarque : Lorsque vous vous connectez correctement, AD FS envoie une réponse SAML à Amazon Cognito. Amazon Cognito valide la réponse SAML. Si la réponse SAML est valide, Amazon Cognito vous redirige vers la page d'application contenant des jetons. Si la réponse SAML n'est pas valide, Amazon Cognito vous redirige vers la page de l'application avec un message d'erreur dans l'URL. La réponse SAML doit inclure l'attribut NameID. Si la réponse SAML n'inclut pas cet attribut, la fédération échoue. Pour plus d'informations sur les réponses SAML, consultez la section Afficher une réponse SAML dans votre navigateur.

Informations connexes

Création d'une fédération ADFS pour votre application Web à l'aide des groupes d'utilisateurs Amazon Cognito

Configuration de votre fournisseur d'identité SAML tiers

Initiation d'une session SAML dans des groupes d'utilisateurs Amazon Cognito

Comment configurer un fournisseur d'identité SAML tiers avec un groupe d'utilisateurs Amazon Cognito ?

Comprendre les jetons Web JSON (JWT) du groupe d'utilisateurs

Sujets
Security, Identity, & Compliance
Balises
Amazon Cognito
Langue
Français
AWS OFFICIELA mis à jour il y a 8 mois
Aucun commentaire

Contenus pertinents