Comment configurer Google en tant que fournisseur d'identité fédéré dans un groupe d'utilisateurs Amazon Cognito ?

Résolution

Créer un groupe d'utilisateurs Amazon Cognito

Créez une nouvelle application dans la console Amazon Cognito.

Créer un projet dans la console Google API

Connectez-vous à la console Google API à l'aide de votre compte Google, puis créez un projet Google Cloud. Pour connaître les étapes à suivre, consultez les rubriques Se connecter avec Google pour le Web sur le site Web de Google Identity et Créer un projet Google Cloud sur le site Web de Google Workspace.

Configurer l’écran de consentement OAuth

Procédez comme suit :

1. Ouvrez la console Google API.
2. Dans le volet de navigation, choisissez Écran de consentement OAuth.
3. Remplissez les champs obligatoires suivants du formulaire de consentement :
   Dans Nom de l’application, saisissez un nom.
   Dans Domaines autorisés, saisissez amazoncognito.com.
   Important : Vous devez saisir ce domaine pour utiliser votre domaine Amazon Cognito lors de la création d’un ID client OAuth.
4. Sélectionnez Enregistrer.

Obtenir des informations d’identification du client OAuth 2.0

Procédez comme suit :

1. Ouvrez la console API Google.
2. Sur la page Informations d'identification, sélectionnez Créer des informations d'identification.
3. Choisissez ID de client OAuth.
4. Sur la page Créer l’ID de client OAuth, dans Type d’application, sélectionnez Application Web.
5. Configurez les paramètres suivants :
   Dans Nom, saisissez un nom pour votre ID de client OAuth.
   Dans Origines JavaScript autorisées, saisissez votre domaine Amazon Cognito, tel que https://yourDomainPrefix.auth.region.amazoncognito.com.
   Remarque : Remplacez yourDomainPrefix par le domaine de votre groupe d'utilisateurs et region par la région AWS de votre groupe d'utilisateurs. 
   Pour trouver le préfixe de domaine et la région de votre groupe d'utilisateurs, procédez comme suit :
   Ouvrez la console Amazon Cognito.
   Sélectionnez Groupes d'utilisateurs dans le volet de navigation de gauche.
   Choisissez votre groupe d'utilisateurs.
   Dans le menu de navigation de gauche, choisissez Intégration d’application. Accédez à la section Domaine pour trouver le préfixe et la région de votre domaine.
   Pour les URI de redirection autorisés, saisissez https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/idpresponse.
   Remarque : Remplacez yourDomainPrefix et region par les valeurs de votre groupe d’utilisateurs.
6. Dans la boîte de dialogue Client OAuth, notez l'ID client et le secret client.

Configurer Google en tant qu’IdP fédéré dans votre groupe d’utilisateurs

Utilisez la console Amazon Cognito pour configurer votre groupe d'utilisateurs avec un IdP social et configurez les paramètres suivants :

• Dans Ajouter un fournisseur d'identité, choisissez Google.
• Sous Mapper les attributs entre Google et le groupe d’utilisateurs, associez l’attribut du groupe d’utilisateurs de l’adresse e-mail à l’attribut Google de l’adresse e-mail.

Modifier des paramètres du client d'application pour votre groupe d'utilisateurs

Remarque : Dans les paramètres du client d’application, les attributs du groupe d’utilisateurs mappés doivent être accessibles en écriture. Pour plus d'informations, consultez la section Mappage des attributs IdP avec des profils et des jetons.

Procédez comme suit :

1. Ouvrez la console Amazon Cognito.
2. Choisissez Groupes d'utilisateurs, puis choisissez votre groupe d'utilisateurs.
3. Choisissez l’onglet Intégration d'application.
4. Sous Liste des clients d’application, sélectionnez Créer un client d’application.
5. Configurez les paramètres suivants :
   Dans Type d’application, choisissez Client public, puis entrez un nom pour votre client d’application.
   Pour Flux d'authentification, sélectionnez ALLOW_USER_PASSWORD_AUTH et ALLOW_REFRESH_TOKEN_AUTH.
   Dans URL de rappel autorisés, saisissez l'URL vers laquelle vous souhaitez rediriger vos utilisateurs une fois connectés. Pour effectuer un test, saisissez une URL valide, telle que https://www.exemple.com/.
   Dans URL de déconnexion, saisissez l'URL vers laquelle vous souhaitez rediriger vos utilisateurs une fois déconnectés. Pour effectuer un test, saisissez une URL valide, telle que https://www.exemple.com/.
   Dans Fournisseurs d’identité, sélectionnez Groupe d’utilisateurs Cognito et Google.
   Dans Type d’octroi OAuth 2.0, choisissez Octroi implicite.
   Dans le champ Portées OpenID Connect, sélectionnez adresse e-mail, openid et profil.
   Important : le flux d’octroi OAuth implicite est destiné à des fins de test uniquement. Pour les systèmes de production, il est recommandé d’utiliser le type d'octroi Code d’autorisation.
6. Choisissez Créer un client d’application.

Pour plus d'informations sur les paramètres du client d'application, consultez la section Conditions générales du client d'application.

Créer l’URL de point de terminaison

Pour créer l’URL du point de connexion pour l’interface utilisateur Web hébergée par Amazon Cognito, utilisez le format suivant :

https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl

Remarque : Remplacez yourDomainPrefix par le domaine de votre groupe d'utilisateurs et region par la région de votre groupe d'utilisateurs. Remplacez yourClientId par l’ID de votre client d’application Amazon Cognito et redirectUrl par l’URL de rappel de votre client d’application.

Pour trouver le préfixe de domaine et la région de votre groupe d'utilisateurs, procédez comme suit :

1. Ouvrez la console Amazon Cognito.
2. Sélectionnez Groupes d'utilisateurs dans le volet de navigation de gauche.
3. Sélectionnez votre groupe d’utilisateurs.
4. Dans le menu de navigation de gauche, choisissez Intégration d’application.
5. Accédez à la section Domaine pour trouver le préfixe et la région de votre domaine.

Pour trouver votre identifiant client et votre URL de redirection, procédez comme suit :

1. Ouvrez la console Amazon Cognito.
2. Choisissez Groupes d'utilisateurs dans le volet de navigation de gauche.
3. Sélectionnez votre groupe d’utilisateurs.
4. Dans le menu de navigation de gauche, choisissez Intégration d’application.
5. Accédez à l'onglet Clients d'application pour trouver votre identifiant client et votre URL de redirection.
   Remarque : Sélectionnez le client d'application pour afficher ses détails, y compris les URL de redirection configurées.

Tester l'URL de point de terminaison

Procédez comme suit :

1. Entrez l’URL du point de connexion dans votre navigateur Web.
2. Sur la page web du point de connexion, sélectionnez Continuer avec Google.
   Remarque : Si la page est redirigée vers l’URL de rappel de votre client d’application Amazon Cognito, vous êtes déjà connecté à votre compte Google dans votre navigateur. Les jetons du groupe d’utilisateurs apparaissent dans l’URL de la barre d’adresse de votre navigateur web.
3. Sous Se connecter avec Google, sélectionnez votre compte Google, puis connectez-vous.

Une fois authentifié, vous êtes redirigé vers l’URL de rappel de votre client d’application Amazon Cognito. Les jetons Web JSON (JWT) émis par le groupe d’utilisateurs apparaissent dans l’URL de la barre d’adresse de votre navigateur web.

Informations connexes

Utilisation de fournisseurs d’identité sociale avec un groupe d’utilisateurs

Connexion au groupe d'utilisateurs avec des fournisseurs d'identité tiers

Gérer les API dans la console API du site Web d'aide de Google