Comment configurer LinkedIn en tant que fournisseur d'identité sociale dans un groupe d'utilisateurs Amazon Cognito ?

Lecture de 7 minute(s)
0

Je souhaite configurer LinkedIn en tant que fournisseur d'identité (IdP) sociale dans un groupe d'utilisateurs Amazon Cognito afin que les utilisateurs puissent se connecter via LinkedIn.

Résolution

LinkedIn vous permet d'authentifier vos utilisateurs via OpenID connect. Vous pouvez ajouter LinkedIn en tant que fournisseur OIDC dans un groupe d'utilisateurs Amazon Cognito.

Créer un groupe d'utilisateurs Amazon Cognito avec un client d'application et un nom de domaine

Pour en savoir plus sur la création de ces éléments prérequis, veuillez consulter les ressources suivantes :

Création d’une application LinkedIn

  1. Ouvrez la suite pour développeurs sur le site de LinkedIn, puis choisissez Create app (Créer une application).
  2. Sur la page Créer une application, renseignez tous les champs obligatoires, ainsi que les champs de votre choix pour personnaliser votre application LinkedIn. Choisissez ensuite Create app (Créer une application).
  3. Choisissez l'onglet Auth. Vérifiez que la liste inclut bien les valeurs openid, profile et email scope. Ces autorisations vous permettent d'accéder aux informations utilisateur requises sur LinkedIn.
    Remarque : Si les valeurs openid, profile et email scope ne sont pas répertoriées, ajoutez le produit Connectez-vous avec LinkedIn à l'aide d'OpenID Connect à votre application. Vous le trouverez dans l'onglet Produits de votre page de développement de LinkedIn.
  4. Sous Application credentials (Informations d'identification de l'application) dans l'onglet Auth, recherchez l’ID du client et la clé secrète du client, puis copiez ces valeurs. Vous aurez besoin de ces deux valeurs au moment d’ajouter LinkedIn en tant que fournisseur d'identité dans le groupe d'utilisateurs.
  5. Dans les OAuth 2.0 settings (paramètres OAuth 2.0), à côté de Redirect URLs : (URL de redirection :), choisissez l'icône en forme de crayon. Choisissez ensuite + Ajouter une URL de redirection.
  6. Sous Redirect URLs : (URL de redirection :), saisissez https://YourDomainPrefix.auth.region.amazoncognito.com/oauth2/idpresponse.
    Remarque : Remplacez YourDomainPrefix et region par les valeurs de votre groupe d'utilisateurs. Vous les trouverez dans la console Amazon Cognito, dans l'onglet App integration (Intégration de l’application) de votre groupe d'utilisateurs.

Ajout d’un fournisseur OIDC à votre groupe d'utilisateurs

  1. Ouvrez la console Amazon Cognito.
  2. Choisissez votre groupe d'utilisateurs. Dans l'onglet Sign-in experience (Expérience de connexion), choisissez Add Identity Providers (Ajouter des fournisseurs d'identité).
  3. Choisissez OpenID Connect.
  4. Saisissez les informations de votre application LinkedIn dans les champs relatifs au fournisseur OIDC :
    Saisissez le Nom du fournisseur (par exemple, LinkedIn). Ce nom apparaît dans l'interface utilisateur Web hébergée par Amazon Cognito.
    Remarque : Une fois le fournisseur créé, ce champ ne pourra plus être modifié.
    Dans le champ ID du client, saisissez l'identifiant du client précédemment copié dans votre application LinkedIn.
    Dans le champ ** Clé secrète du client**, saisissez la clé secrète du client précédemment copié dans votre application LinkedIn.
    Dans le champ Attributes request method (Méthode de demande d'attributs), gardez le paramètre GET.
    Dans le champ Portée d'autorisation(Authorize scope), saisissez l’adresse e-mail du profil openid.
    Dans le champ Auteur, saisissez https://www.linkedin.com.
    Si vous devez saisir les informations du point de terminaison manuellement, consultez ce lien sur le site Web de LinkedIn.
  5. Choisissez Create provider (Créer un fournisseur).

Pour en savoir plus, consultez la section Ajout d’un fournisseur d’identité OIDC à votre groupe d'utilisateurs.

Mappage des attributs du fournisseur OIDC à votre groupe d'utilisateurs

  1. Ouvrez la console Amazon Cognito.
  2. Choisissez votre groupe d'utilisateurs.
  3. Dans l'onglet Sign-in experience (Expérience de connexion), sélectionnez le fournisseur LinkedIn OIDC que vous avez créé.
  4. Sous Mappage d'attribut, mappez l'attribut e-mail du groupe d'utilisateurs avec l'attribut e-mail d'OpenID Connect.
  5. Vérifiez que l'attribut OIDC sub est mappé à l'attribut Nom d'utilisateur du groupe d'utilisateurs.
  6. (Facultatif) Ajoutez les attributs OIDC que vous souhaitez transmettre depuis LinkedIn. Par exemple, vous pouvez mapper given_name et family_name aux attributs du groupe d'utilisateurs Amazon Cognito correspondants.

Pour en savoir plus, consultez la page Spécification des mappages d'attributs du fournisseur d'identité pour votre groupe d'utilisateurs.

Modification des paramètres du client d’application pour votre groupe d’utilisateurs

  1. Ouvrez la console Amazon Cognito.
  2. Choisissez votre groupe d'utilisateurs.
  3. Sous App integration (Intégration de l’application), sélectionnez App Client (Client d'application).
  4. Sur la page App Client (Client d'application), renseignez les champs suivants :
    Dans le champ Callback URL(s) (URL de rappel), saisissez l'URL vers laquelle vous souhaitez rediriger vos utilisateurs une fois connectés. Pour l’étape de test, saisissez une URL valide, telle que https://example.com/.
    Dans le champ Sign out URL(s) (URL de déconnexion), saisissez l'URL vers laquelle vous souhaitez rediriger vos utilisateurs une fois déconnectés. Pour l’étape de test, saisissez une URL valide, telle que https://example.com/.
    Modifiez la section Hosted UI (Interface utilisateur hébergée) et ajoutez le fournisseur OIDC que vous avez créé (par exemple, LinkedIn) comme fournisseur d'identité.
    Sous les Type d'octroi OAuth 2.0, cochez la case Octroi du code d'autorisation ou Octroi implicite, ou les deux.
    Remarque : Les types d’octroi OAuth 2.0 déterminent les valeurs (code ou jeton) que vous pouvez utiliser pour le paramètre response_type dans l'URL de votre point de terminaison.
    Sous OpenID Connect scopes (Portées de connexion OpenID), cochez les cases e-mail, profil et openid.
  5. Choisissez Sav changes (Enregistrer les modifications).

Pour en savoir plus, consultez la section Terminologie des paramètres d’un client d’application.

Créer l'URL de point de terminaison

Utilisez les valeurs provenant de votre propre configuration pour créer cette URL de point de terminaison :

https://YourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=code&client_id=YourClientId&redirect_uri=redirectUrl

Personnalisez l'URL en fonction de votre configuration :

  • Remplacez YourDomainPrefix et region par les valeurs de votre groupe d'utilisateurs. Vous les trouverez dans la console Amazon Cognito, dans l'onglet App integration (Intégration de l’application) de votre groupe d'utilisateurs.
  • Si vous avez précédemment sélectionné uniquement le flux d'octroi implicite pour les flux OAuth autorisés, remplacez response_type=code par response_type=token.
  • Remplacez YourClientId par l’ID de votre client d’application et redirectUrl par l’URL de rappel de votre client d’application. Vous les trouverez dans la console Amazon Cognito, dans l'onglet App integration (Intégration de l’application) de votre groupe d'utilisateurs.

Pour en savoir plus, consultez les pages Comment configurer l’interface utilisateur Web hébergée pour Amazon Cognito ? et Authorize endpoint.

Test de l’URL du point de terminaison

  1. Saisissez l’URL du point de terminaison que vous avez créée dans votre navigateur Web.
  2. Choisissez le nom de votre fournisseur OIDC (par exemple, LinkedIn).
  3. Choisissez Log in with LinkedIn (Se connecter avec LinkedIn). Cette action vous redirigera vers la page de connexion de LinkedIn.

Remarque : Si l'URL vous redirige vers l'URL de rappel de votre client d'application Amazon Cognito, cela signifie que vous êtes déjà connecté à LinkedIn.

  1. Sur la page de connexion de LinkedIn, entrez l'adresse e-mail (ou le numéro de téléphone) et le mot de passe de votre compte LinkedIn.
  2. Choisissez Sign in.

Une fois connecté, vous serez redirigé vers l'URL de rappel de votre client d'application. Le code d'autorisation ou les jetons du groupe d'utilisateurs apparaîtront dans l'URL de la barre d'adresse de votre navigateur Web.

(Facultatif) Ignorer l'interface utilisateur hébergée par Amazon Cognito

Si vous souhaitez que les utilisateurs ignorent l'interface utilisateur Web d'Amazon Cognito lorsqu'ils se connectent à votre application, vous pouvez utiliser ce modèle comme URL du point de terminaison :

https://YourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=code&identity_provider=oidcProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

Pour personnaliser l'URL de votre configuration, procédez comme suit :

  • Remplacez YourDomainPrefix et region par les valeurs de votre groupe d'utilisateurs. Vous les trouverez dans la console Amazon Cognito, dans l'onglet App integration (Intégration de l’application) de votre groupe d'utilisateurs.
  • Si vous avez précédemment sélectionné uniquement le Implicit grant flow (flux d'octroi implicite) pour les Allowed OAuth Flows (flux OAuth autorisés), remplacez response_type=code par response_type=token.
  • Remplacez oidcProviderName par le nom du fournisseur OIDC de votre groupe d'utilisateurs (par exemple, LinkedIn).
  • (Facultatif) Si vous avez ajouté un identifiant pour votre fournisseur OIDC dans le champ Identifiants, vous devez remplacer identity_provider=oidcProviderName par **idp_identifier=**idpIdentifier. Remplacez idpIdentifier par votre chaîne d'identification personnalisée.
  • Remplacez yourClientId par l’ID de votre client d’application et redirectUrl par l’URL de rappel de votre client d’application. Vous les trouverez dans la console Amazon Cognito, dans l'onglet App integration (Intégration de l’application) de votre groupe d'utilisateurs.
  • Remplacez allowedOauthScopes par les portée spécifiques que vous souhaitez que votre client d’application Amazon Cognito demande.
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 6 mois