Comment configurer Okta en tant que fournisseur d'identité SAML dans un groupe d'utilisateurs Amazon Cognito ?

Brève description

L'intégration SAML IdP d'Okta à Amazon Cognito requiert une configuration sur les deux plateformes. Tout d'abord, vous devez créer et configurer l'intégration d'une application SAML dans Okta. Puis, vous ajoutez Okta en tant qu'IdP dans votre groupe d'utilisateurs Amazon Cognito et vous configurez les paramètres de votre client d’application pour autoriser l'authentification Okta. Une fois la configuration terminée, il est recommandé de tester le flux d'authentification pour confirmer que les utilisateurs reçoivent des jetons d'Amazon Cognito après leur connexion via Okta.

Résolution

Avant de configurer Okta en tant qu'IdP SAML, procédez comme suit :

• Créez un groupe d'utilisateurs Amazon Cognito et un client d'application.
• Configurez un nom de domaine pour votre groupe d’utilisateurs.

(Facultatif) Créer un compte de développeur Okta

Remarque : si vous avez déjà un compte de développeur Okta, connectez-vous à celui-ci.

Procédez comme suit :

1. Ouvrez la page d'inscription à Okta Developer du site Web d'Okta Developer.
2. Saisissez les informations requises, puis choisissez S’inscrire. Okta envoie un e-mail de vérification à l'adresse e-mail que vous avez indiquée.
3. Dans cet e-mail de vérification, trouvez les informations de connexion à votre compte.
4. Choisissez Activer le compte, puis connectez-vous pour finaliser la création du compte.

Créer une application SAML et configurer l'intégration SAML pour votre application Okta

Procédez comme suit :

1. Ouvrez la console Okta Developer.
2. Dans le volet de navigation, développez Applications, puis choisissez Applications.
3. Choisissez Créer une intégration d’application.
4. Dans le menu Créer une nouvelle intégration d’application, dans Méthode de connexion, choisissez SAML 2.0.
5. Sélectionnez Suivant.
6. Sur la page Créer une intégration SAML, sous Paramètres généraux, saisissez le nom de votre application.
7. (Facultatif) Chargez un logo et choisissez les paramètres de visibilité de votre application.
8. Sélectionnez Suivant.
9. Sous Paramètres SAML, dans URL de connexion unique, entrez https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Remarque : remplacez yourDomainPrefix et region par les valeurs de votre groupe d’utilisateurs. Pour trouver ces valeurs, ouvrez la console Amazon Cognito, puis choisissez Domaine dans la section Image.
10. Dans Audience URI (SP Entity ID), saisissez urn:amazon:cognito:sp:yourUserPoolId.
    Remarque : remplacez yourUserPoolId par l'ID de votre groupe d'utilisateurs. Pour trouver l'ID du groupe d'utilisateurs, consultez la section Présentation de la console Amazon Cognito.
11. Sous Instructions d’attributs (Facultatif), ajoutez une instruction contenant les informations suivantes :
    Dans Nom, saisissez le nom d'attribut SAML http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    Dans Valeur, saisissez user.email.
    Pour les autres paramètres de la page, utilisez les valeurs par défaut ou ajustez-les en fonction de vos besoins.
12. Sélectionnez Suivant.
13. Lorsque vous y êtes invité, choisissez une réponse à un commentaire concernant l'expérience de configuration de l'application.
    Remarque : cela fait partie du processus standard de création d'applications d'Okta visant à recueillir des commentaires sur l'expérience utilisateur.
14. Sélectionnez Terminer.

Attribuer un utilisateur à votre application Okta

Procédez comme suit :

1. Dans l'onglet Attributions de l'application Okta, dans le champ Attribuer, choisissez Attribuer aux personnes.
2. Sélectionnez l'option Attribuer à côté de l'utilisateur de votre choix.
   Remarque : s'il s'agit d'un nouveau compte, vous pouvez uniquement vous choisir comme utilisateur.
3. (Facultatif) Dans Nom d’utilisateur, saisissez un nom d'utilisateur. Okta utilise l'adresse e-mail de l'utilisateur comme nom d'utilisateur si vous n'en indiquez aucune.
4. Choisissez Enregistrer et revenir en arrière pour terminer l'attribution de l'utilisateur.
5. Choisissez Terminé.

Obtenir les métadonnées du fournisseur d'identité pour votre application Okta

Dans l'onglet Connexion de votre application Okta, sous Détails des métadonnées, copiez l'URL des métadonnées.

Configurer Okta comme IdP SAML dans votre groupe d'utilisateurs

Procédez comme suit :

1. Ouvrez la console Amazon Cognito.
2. Choisissez votre groupe d'utilisateurs.
3. Dans le volet de navigation, sous Authentification, sélectionnez Fournisseurs sociaux et externes.
4. Choisissez Ajouter un fournisseur d'identité, puis sélectionnez SAML.
5. Sous Enregistrer votre application auprès de votre fournisseur SAML, dans Nom du fournisseur, saisissez Okta.
6. (Facultatif) Ajoutez des identifiants SAML pour acheminer les demandes de connexion et de déconnexion vers Okta.
7. (Facultatif) Activez la déconnexion unique pour déconnecter les utilisateurs d'Okta lorsqu'ils se déconnectent de votre groupe d'utilisateurs.
8. Sous Source du document de métadonnées, choisissez Entrer l'URL du point de terminaison du document de métadonnées, puis collez l'URL des métadonnées que vous avez copiée depuis l'onglet Connexion à Okta.
9. Sous Attributs de mappage entre votre fournisseur SAML et votre groupe d'utilisateurs, spécifiez l'**adresse e-mail ** pour l'attribut SAML.
10. Choisissez Ajouter un fournisseur d’identité.

Pour plus d'informations, consultez la section Ajout et gestion de fournisseurs d'identité SAML dans un groupe d'utilisateurs.

Modifier des paramètres du client d'application pour votre groupe d'utilisateurs

Procédez comme suit :

1. Depuis la console Amazon Cognito, sous Clients d’application, choisissez votre groupe d'utilisateurs.
2. Dans le volet de navigation, sous Applications, sélectionnez Clients d’application.
3. Sur la page du client de l'application, accédez à la section Pages de connexion. Puis, sous Configuration des pages de connexion gérées, choisissez Modifier.
4. Dans la liste déroulante Fournisseurs d’identité, sélectionnez Okta et Groupes d’utilisateurs Cognito.
   Dans URL de rappel, spécifiez l'URL de destination pour vos utilisateurs après une connexion réussie.
   Dans URL(s) de déconnexion, spécifiez l'URL de destination pour vos utilisateurs après leur déconnexion.
   Remarque : si vous souhaitez tester l'intégration, utilisez une URL d'espace réservé telle que https://www.example.com/. Vous pourrez ultérieurement mettre à jour cet espace réservé avec l'URL de votre application.
   Dans Flux OAuth autorisés, sélectionnez Octroi implicite.
   Dans Portées OAuth autorisées, sélectionnez e-mail et openid.
5. Sélectionnez Enregistrer les modifications.

Pour plus d’informations, consultez la section Conditions générales du client d’application.

Accéder à la page de connexion pour tester le flux d'authentification SAML

Vous pouvez accéder à la page de connexion via la console Amazon Cognito ou créer une URL de point de terminaison de connexion.

1. Depuis la console Amazon Cognito, sous Clients d’application, choisissez votre groupe d'utilisateurs.
2. Choisissez l’onglet Pages de connexion, puis Afficher la page de connexion.
   -ou-
   Créez l'URL du point de terminaison de connexion. Pour créer le point de terminaison de connexion, utilisez le modèle de dénomination suivant :
   https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl
   Remarque : remplacez yourDomainPrefix et region par les valeurs de votre groupe d’utilisateurs. Pour trouver ces valeurs dans la console Amazon Cognito, choisissez la page Nom de domaine.
3. Sur la page Web de votre point de terminaison de connexion, choisissez Okta.
   Remarque : si le système vous redirige vers l'URL de rappel de votre client d’application, cela signifie que vous êtes déjà connecté à votre compte Okta. Passez à l'étape 5.
4. Sur la page Connexion d'Okta, saisissez le nom d'utilisateur et le mot de passe de l'utilisateur que vous avez attribué à votre application.
5. Sélectionnez Connexion.
6. Recherchez les jetons du groupe d'utilisateurs dans la barre d'adresse de votre navigateur.

(Facultatif) Contourner l'interface utilisateur hébergée par Amazon Cognito

Pour contourner l'interface utilisateur Web hébergée par Amazon Cognito et envoyer les utilisateurs directement vers Okta pour qu'ils se connectent, utilisez l'URL du point de terminaison /oauth2/authorize suivante :

https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

Remarque : remplacez yourDomainPrefix, region, samlProviderName, yourClientId, redirectUrl et allowedOauthScopes par vos valeurs. Pour trouver yourDomainPrefix et region, depuis la console Amazon Cognito, choisissez Domaine dans la section Marque. Pour yourClientId et redirectUrl, choisissez la page des paramètres du Client d’application dans la console Amazon Cognito.

(Facultatif) Si vous avez ajouté un identifiant SAML, remplacez l'espace réservé identity_provider=samlProviderName par idp_identifier=idpIdentifier. Remplacez idpIdentifier par votre chaîne d'identification personnalisée.

Informations connexes

Lancement d'une session SAML dans des groupes d'utilisateurs Amazon Cognito

Comment configurer un fournisseur d'identité SAML tiers avec un groupe d'utilisateurs Amazon Cognito ?

Comment puis-je configurer Okta en tant que fournisseur d’identité OpenID Connect dans un groupe d’utilisateurs Amazon Cognito ?

Connexion au groupe d'utilisateurs avec des fournisseurs d'identité tiers