Comment configurer Okta en tant que fournisseur d'identité OpenID Connect dans un groupe d'utilisateurs Amazon Cognito ?

Brève description

Les groupes d'utilisateurs Amazon Cognito permettent de se connecter par le biais d'un tiers (fédération), notamment via un IdP comme Okta. Pour en savoir plus,consultez les pages Ajout d'une connexion de groupe d'utilisateurs via un tiers et Ajout de fournisseurs d'identité OIDC à un groupe d'utilisateurs.

Un groupe d'utilisateurs intégré à Okta permet aux utilisateurs de votre application Okta d'obtenir des jetons de groupe d'utilisateurs depuis Amazon Cognito. Pour en savoir plus, consultez la page Utilisation de jetons avec des groupes d'utilisateurs.

Résolution

Création d'un groupe d'utilisateurs Amazon Cognito avec un client d'application et un nom de domaine

1. Créez un groupe d'utilisateurs.
   Remarque : lors de la création, l'attribut standard e-mail est sélectionné par défaut. Pour en savoir plus, consultez la page Configuration des attributs de groupe d'utilisateurs.
2. Créez un client d'application dans votre groupe d'utilisateurs. Pour en savoir plus, consultez la page Ajouter une application pour activer l'interface utilisateur Web hébergée.
3. Ajoutez un nom de domaine pour votre groupe d'utilisateurs.

Création d'un compte Okta Developer

Remarque : si vous avez déjà un compte Okta Developer, connectez-vous à celui-ci.

1. Sur la page Web d'inscription à Okta Developer, renseignez vos informations personnelles, puis choisissez S'INSCRIRE. L'équipe Okta Developer enverra alors un e-mail de vérification à l'adresse e-mail que vous avez fournie.
2. Vous trouverez toutes les informations de connexion à votre compte dans cet e-mail de vérification. Choisissez ACTIVER, connectez-vous et terminez la création de votre compte.

Création d'une application Okta

1. Ouvrez la console Okta Developer. Pour obtenir plus d'informations sur la console, consultez la page Console d'administration et tableau de bord redessinés d'Okta, désormais disponibles pour tous ! sur le blog Okta Developer.
2. Dans le volet de navigation, agrandissez Applications, puis choisissez Applications. La console des applications s'ouvre alors. Pour en savoir plus, consultez la page Console d'administration sur la page Okta Organizations du site Web d'Okta Developer.
3. Choisissez Créer une intégration d'application.
4. Sur la page Créer une nouvelle intégration d'applications, choisissez OpenID Connect, Application Web, puis Suivant.

Configuration des paramètres de votre application Okta

1. Sur la page Intégration d'une nouvelle application Web, sous Paramètres généraux, saisissez le nom de votre application. Par exemple, TestApp.
2. Sous Type d'octroi, vérifiez que la case Code d'autorisation est cochée. Votre groupe d'utilisateurs utilisera ce flux pour communiquer avec Okta OIDC dans le cadre d'une connexion d'utilisateurs fédérés.
3. Dans URI de redirection de connexion, saisissez https://myUserPoolDomain/oauth2/idpresponse. C'est ici qu'Okta enverra la réponse d'authentification et le jeton d'identification.
   Remarque : remplacez myUserPoolDomain par le domaine de votre groupe d'utilisateurs Amazon Cognito. Vous pouvez trouver ce domaine dans la console Amazon Cognito sur la page Nom de domaine de votre groupe d'utilisateurs.
4. Sous CONFIGURER OPENID CONNECT, dans URI de redirection de connexion, saisissez https://myUserPoolDomain/oauth2/idpresponse. C'est ici qu'Okta enverra la réponse d'authentification et le jeton d'identification.
   Remarque : remplacez myUserPoolDomain par le domaine de votre groupe d'utilisateurs Amazon Cognito. Vous trouverez ce domaine dans la console Amazon Cognito sur la page Nom de domaine de votre groupe d'utilisateurs.
5. Dans Accès contrôlé, choisissez votre paramètre d'accès préféré, puis cliquez sur Enregistrer.
6. Dans Informations d'identification du client, copiez l'ID du client et le secret du client. Vous aurez besoin de ces informations d'identification pour configurer Okta dans votre groupe d'utilisateurs Amazon Cognito.
7. Choisissez Authentification.
8. Sur la page d'authentification, dans Jeton d'identification OpenID Connect, notez l'URL de l'auteur. Cette URL est nécessaire pour configurer Okta dans votre groupe d'utilisateurs.

Ajout d'un IdP OIDC à votre groupe d'utilisateurs

1. Dans la console Amazon Cognito, choisissez Gérer les groupes d'utilisateurs, puis choisissez votre groupe d'utilisateurs.
2. Dans le volet de navigation de gauche, sous Fédération, choisissez Fournisseurs d'identité.
3. Choisissez OpenID Connect.
4. Procédez comme suit :
   Dans Nom du fournisseur, saisissez le nom de l'IdP. Ce nom apparaît dans l'interface utilisateur Web hébergée par Amazon Cognito.
   Remarque : une fois le fournisseur créé, ce champ ne peut plus être modifié. Si vous comptez inclure ce champ dans votre application ou utiliser l'interface utilisateur Web hébergée par Amazon Cognito, choisissez un nom approprié, car les utilisateurs de votre application pourront le voir.
   Dans ID client, collez l'ID client que vous avez copié précédemment dans Okta.
   Dans Secret client (facultatif), collez le secret client que vous avez copié précédemment dans Okta.
   Dans le champ Méthode de demande d'attributs, gardez le paramètre GET.
   Pour Portée d'autorisation, saisissez les valeurs de la portée OIDC que vous souhaitez autoriser, séparées par des espaces. Pour en savoir plus, consultez Valeurs de portée dans le manuel OpenID Connect Basic Client Implementer's Guide 1.0 sur le site Web d'OpenID.
   Important : la portée openid est obligatoire pour les IdP OIDC. Vous pouvez aussi ajouter d'autres portées en fonction de la configuration de votre groupe d'utilisateurs. Par exemple, si vous avez conservé e-mail comme attribut obligatoire lors de la création de votre groupe d'utilisateurs, vous devez saisir e-mail openid pour inclure les deux portées. Vous pouvez mapper l'attribut e-mail à votre groupe d'utilisateurs ultérieurement dans cette configuration.
   Dans Auteur, collez l'URL de l'auteur que vous avez copiée plus tôt depuis Okta.
   Dans Identifiants (facultatif), vous pouvez éventuellement saisir une chaîne personnalisée à utiliser ultérieurement dans l'URL du point de terminaison au lieu du nom de votre IdP OIDC.
5. Choisissez Exécuter la découverte pour récupérer les points de terminaison de configuration OIDC pour Okta.
6. Choisissez Créer un fournisseur.

Pour en savoir plus, consultez la page Ajout d'un fournisseur d'identité OIDC à votre groupe d'utilisateurs.

Modification des paramètres du client d'application pour votre groupe d'utilisateurs

1. Dans la console Amazon Cognito, choisissez Gérer les groupes d'utilisateurs, puis choisissez votre groupe d'utilisateurs.
2. Dans le volet de navigation de gauche, sous Intégration d'application, choisissez Paramètres du client d'application.
3. Sur la page du client d'application, procédez comme suit :
   Sous Fournisseurs d'identité activés, cochez la case fournisseur OIDC pour l'IdP que vous avez créé précédemment.
   (Facultatif) Cochez la case Groupe d'utilisateurs Cognito.
   Dans URL de rappel, saisissez une URL vers laquelle vous souhaitez que vos utilisateurs soient redirigés une fois connectés. À des fins de test, vous pouvez saisir n'importe quelle URL valide, comme https://exemple.com/.
   Dans URL de déconnexion, saisissez une URL vers laquelle vous souhaitez que vos utilisateurs soient redirigés après leur déconnexion. À des fins de test, vous pouvez saisir n'importe quelle URL valide, comme https://exemple.com/.
   Sous Flux OAuth autorisés, sélectionnez les flux correspondant aux types d'autorisations que vous souhaitez que votre application reçoive après authentification auprès de Cognito.
   Remarque : les flux OAuth autorisés que vous activez déterminent les valeurs (code ou jeton) que vous pouvez utiliser pour le paramètre response_type dans l'URL de votre point de terminaison.
   Sous Portées OAuth autorisées, cochez au minimum les cases e-mail et openid.
4. Choisissez Enregistrer les modifications.

Pour en savoir plus, consultez la page Terminologie des paramètres du client d'application.

Mappage de l'attribut e-mail à un attribut du groupe d'utilisateurs

Si vous avez autorisé la valeur de portée OIDC e-mail plus tôt, vous devez la mapper à un attribut du groupe d'utilisateurs.

1. Dans la console Amazon Cognito, choisissez Gérer les groupes d'utilisateurs, puis choisissez votre groupe d'utilisateurs.
2. Dans le volet de navigation de gauche, sous Fédération, choisissez Mappage d'attribut.
3. Sur la page de mappage d'attribut, choisissez l'onglet OIDC.
4. Si vous avez plusieurs fournisseurs OIDC dans votre groupe d'utilisateurs, choisissez votre nouveau fournisseur dans la liste déroulante.
5. Vérifiez que l'attribut sub OIDC est mappé avec l'attribut Nom d'utilisateur du groupe d'utilisateurs.
6. Choisissez Ajouter un attribut OIDC, puis procédez comme suit :
   Pour l'attribut OIDC, saisissez e-mail.
   Pour l'attribut du groupe d'utilisateurs, choisissez E-mail.

Pour en savoir plus, consultez la page Spécification des mappages d'attributs du fournisseur d'identité pour votre groupe d'utilisateurs.

Connexion afin de tester votre configuration

Authentifiez-vous auprès d'Okta à l'aide de l'interface utilisateur Web hébergée par Amazon Cognito. Une fois connecté, vous serez redirigé vers l'URL de rappel de votre client d'application. Le code d'autorisation ou les jetons du groupe d'utilisateurs apparaîtront dans l'URL de la barre d'adresse de votre navigateur Web.

Pour en savoir plus, consultez la page Utilisation de l'interface utilisateur hébergée par Amazon Cognito pour l'inscription et la connexion.

Informations connexes

Flux d'authentification du fournisseur d'identité de groupe d'utilisateurs OIDC

Comment configurer Okta en tant que fournisseur d'identité SAML avec un groupe d'utilisateurs Amazon Cognito ?