Comment configurer Okta en tant que fournisseur d'identité SAML dans un groupe d'utilisateurs Amazon Cognito ?

Lecture de 9 minute(s)
0

Je souhaite utiliser Okta en tant que fournisseur d'identité (IdP) SAML 2.0 (Security Assertion Markup Language 2.0) dans un groupe d'utilisateurs Amazon Cognito.

Brève description

Les groupes d'utilisateurs Amazon Cognito permettent de se connecter par le biais d'un tiers (fédération), notamment via un IdP comme Okta. Pour en savoir plus, consultez les pages Ajout d'une connexion de groupe d'utilisateurs via un tiers et Ajout de fournisseurs d'identité SAML à un groupe d'utilisateurs.

Un groupe d'utilisateurs intégré à Okta permet aux utilisateurs de votre application Okta d'obtenir des jetons de groupe d'utilisateurs depuis Amazon Cognito. Pour en savoir plus, consultez la page Utilisation de jetons avec des groupes d'utilisateurs.

Résolution

Création d'un groupe d'utilisateurs Amazon Cognito avec un client d'application et un nom de domaine

  1. Créez un groupe d'utilisateurs.
    Remarque : lors de la création, l'attribut standard e-mail est sélectionné par défaut. Pour en savoir plus, consultez la section Attributs de groupe d'utilisateurs.
  2. Créez un client d'application dans votre groupe d'utilisateurs. Pour en savoir plus, consultez la page Ajout d'un client d'application et configuration de l'interface utilisateur hébergée.
    Remarque : lorsque vous ajoutez un client d'application, veillez à décocher la case Générer la clé secrète du client. Pour certains flux d'autorisation comme le flux d'octroi de code d'autorisation et le flux d'actualisation des jetons, les serveurs d'autorisation utilisent une clé secrète de client d'application pour autoriser le client à effectuer des demandes au nom d'un utilisateur. Dans le cas du flux d'octroi implicite utilisé dans cette configuration, une clé secrète de client d'application n'est pas requise.
  3. Ajoutez un nom de domaine pour votre groupe d'utilisateurs.

Création d'un compte Okta Developer

Remarque : si vous avez déjà un compte Okta Developer, connectez-vous à celui-ci.

  1. Sur la Page d'inscription à Okta Developer, saisissez les informations requises, puis choisissez l'option SIGN UP. L'équipe Okta Developer enverra alors un e-mail de vérification à l'adresse e-mail que vous avez fournie.
  2. Vous trouverez toutes les informations de connexion à votre compte dans cet e-mail de vérification. Choisissez ACTIVATE MY ACCOUNT, connectez-vous et achevez la création de votre compte.

Création d'une application SAML dans Okta

  1. Ouvrez la console Okta Developer. Pour en savoir plus, consultez la page Nouveau design de la console et du tableau de bord d'administration Okta sur le site Web d'Okta.
  2. Dans le menu de navigation, développez l'onglet Applications, puis choisissez Applications.
  3. Choisissez Create App Integration.
  4. Dans le menu Create a new app integration, choisissez SAML 2.0 dans Sign-in method.
  5. Choisissez Next.

Pour plus d'informations, consultez la section Prepare a SAML integration du guide Build a Single Sign-On (SSO) Integration sur le site Web d'Okta Developer.

Configuration de l'intégration SAML pour votre application Okta

  1. Sur la page Create SAML Integration, sous General Settings, saisissez le nom de votre application.
  2. (Facultatif) Ajoutez un logo et choisissez les paramètres de visibilité de votre application.
  3. Choisissez Next.
  4. Sous GENERAL, dans le champ Single sign on URL, saisissez https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
    Remarque : remplacez yourDomainPrefix et region par les valeurs de votre groupe d'utilisateurs. Vous trouverez ces valeurs dans la console Amazon Cognito, sur la page Nom de domaine de votre groupe d'utilisateurs.
  5. Dans le champ Audience URI (SP Entity ID), saisissez urn:amazon:cognito:sp:yourUserPoolId.
    Remarque : remplacez yourUserPoolId par l'identifiant de votre groupe d'utilisateurs Amazon Cognito. Vous trouverez cette valeur dans la console Amazon Cognito, sur la page Paramètres généraux de votre groupe d'utilisateurs.
  6. Sous ATTRIBUTE STATEMENTS (OPTIONAL), ajoutez une instruction contenant les informations suivantes :
    Dans le champ Name, saisissez le nom d'attribut SAML http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    Pour le champ Value, saisissez user.email.
  7. Les autres paramètres de la page peuvent conserver leurs valeurs par défaut ou être modifiés en fonction de vos préférences.
  8. Choisissez Next.
  9. Choisissez un commentaire pour Okta Support.
  10. Choisissez Finish.

Pour en savoir plus, consultez la section Create your integration du guide Build a Single Sign-On (SSO) Integration disponible sur le site Web d'Okta Developer.

Attribution d'un utilisateur à votre application Okta

  1. Dans l'onglet Assignments de l'application Okta, pour le champ Assign, choisissez Assign to People.
  2. Sélectionnez l'option Assign à côté de l'utilisateur de votre choix.
    Remarque : s'il s'agit d'un nouveau compte, la seule option disponible consiste à vous choisir (l'administrateur) comme utilisateur.
  3. (Facultatif) Dans le champ User Name, saisissez un nom d'utilisateur ou laissez l'adresse e-mail de l'utilisateur, si vous le souhaitez.
  4. Choisissez Save and Go Back pour enregistrer et revenir en arrière. L'utilisateur est à présent attribué.
  5. Pour terminer, choisissez Done.

Pour en savoir plus, consultez la section Assign users du guide Build a Single Sign-On (SSO) Integration disponible sur le site Web d'Okta Developer.

Obtention des métadonnées du fournisseur d'identité pour votre application Okta

Dans l'onglet Sign On de l'application Okta, recherchez le lien hypertexte Identity Provider metadata. Faites un clic droit sur ce lien hypertexte, puis copiez l'URL.

Pour en savoir plus, consultez la section Specify your integration settings du guide Build a Single Sign-On (SSO) Integration disponible sur le site Web d'Okta Developer.

Configuration d'Okta comme IdP SAML dans votre groupe d'utilisateurs

  1. Dans la console Amazon Cognito, choisissez Gérer les groupes d'utilisateurs, puis choisissez votre groupe d'utilisateurs.
  2. Dans le volet de navigation de gauche, sous Fédération, choisissez Fournisseurs d'identité.
  3. Choisissez SAML.
  4. Sous Document de métadonnées, collez l'URL des Métadonnées du fournisseur d'identité que vous avez copiée.
  5. Dans le champ Nom du fournisseur, saisissez Okta. Pour en savoir plus, consultez la page Choix de noms de fournisseurs d'identité SAML.
  6. (Facultatif) Saisissez tous les identifiants SAML (Identifiants (Facultatifs)) et activez l'option de déconnexion du fournisseur d'identité (Okta) lorsque les utilisateurs se déconnectent de votre groupe d'utilisateurs.
  7. Choisissez Créer un fournisseur.

Pour en savoir plus, consultez la page Création et gestion d'un fournisseur d'identité SAML pour un groupe d'utilisateurs (console de gestion AWS).

Mappage de l'adresse e-mail de l'attribut de fournisseur d'identité à l'attribut du groupe d'utilisateurs

  1. Dans la console Amazon Cognito, choisissez Gérer les groupes d'utilisateurs, puis choisissez votre groupe d'utilisateurs.
  2. Dans le volet de navigation de gauche, sous Fédération, choisissez Mappage d'attribut.
  3. Sur la page de mappage d'attribut, choisissez l'onglet SAML.
  4. Choisissez Ajouter un attribut SAML.
  5. Dans le champ Attribut SAML, saisissez le nom d'attribut SAML http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
  6. Dans le champ Attribut du groupe d'utilisateurs, choisissez E-mail dans la liste.

Pour en savoir plus, consultez la page Spécification des mappages d'attributs du fournisseur d'identité pour votre groupe d'utilisateurs.

Modification des paramètres du client d'application pour votre groupe d'utilisateurs

  1. Dans la console Amazon Cognito, choisissez Gérer les groupes d'utilisateurs, puis choisissez votre groupe d'utilisateurs.
  2. Dans le volet de navigation de gauche, sous Intégration d'application, choisissez Paramètres du client d'application.
  3. Sur la page du client d'application, procédez comme suit :
    Sous Fournisseurs d'identité activés, cochez les cases Okta et Groupe d'utilisateurs Cognito.
    Dans le champ URL de rappel, saisissez l'URL vers laquelle vous souhaitez que vos utilisateurs soient redirigés une fois connectés. Pour l'étape de test, saisissez une URL valide, comme https://www.example.com/.
    Dans le champ URL de déconnexion, saisissez l'URL vers laquelle vous souhaitez que vos utilisateurs soient redirigés une fois déconnectés. Pour l'étape de test, saisissez une URL valide, comme https://www.example.com/.
    Sous Flux OAuth autorisés, veillez à cocher au moins la case Octroi implicite.
    Sous Portées OAuth autorisées, veillez à cocher au moins les cases e-mail et openid.
  4. Choisissez Enregistrer les modifications.

Pour en savoir plus, consultez la page Terminologie des paramètres du client d'application.

Création de l'URL de point de terminaison

Servez-vous des valeurs de votre groupe d'utilisateurs pour créer cette URL de point de terminaison de connexion : https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl

Effectuez les opérations suivantes :

  • Remplacez yourDomainPrefix et region par les valeurs de votre groupe d'utilisateurs. Vous trouverez ces valeurs dans la console Amazon Cognito, sur la page Nom de domaine de votre groupe d'utilisateurs.
  • Remplacez yourClientId par l'ID de votre client d'application et remplacez redirectUrl par l'URL de rappel de votre client d'application. Vous trouverez ces valeurs dans la console Amazon Cognito, sur la page Paramètres du client d'application de votre groupe d'utilisateurs.

Pour en savoir plus, consultez les pages Comment configurer l'interface utilisateur web hébergée pour Amazon Cognito ? et Point de terminaison de connexion.

Test de l'URL de point de terminaison

  1. Saisissez l'URL de point de terminaison de connexion que vous avez créée dans votre navigateur Web.
  2. Sur la page Web de votre point de terminaison de connexion, choisissez Okta.
    Remarque : une redirection vers l'URL de rappel de votre client d'application signifie que vous êtes déjà connecté à votre compte Okta dans votre navigateur. Les jetons du groupe d'utilisateurs apparaissent dans l'URL de la barre d'adresse de votre navigateur Web.
  3. Sur la page Sign In d'Okta, saisissez le nom d'utilisateur et le mot de passe de l'utilisateur que vous avez attribué à votre application.
  4. Choisissez Sign in.

Une fois connecté, vous êtes redirigé vers l'URL de rappel de votre client d'application. Les jetons du groupe d'utilisateurs apparaissent dans l'URL de la barre d'adresse de votre navigateur Web.

(Facultatif) Éviter l'interface utilisateur hébergée par Amazon Cognito

Si vous souhaitez que vos utilisateurs évitent l'interface utilisateur Web hébergée par Amazon Cognito lorsqu'ils se connectent à votre application, utilisez cette URL de point de terminaison à la place :

https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

Effectuez les opérations suivantes :

  • Remplacez yourDomainPrefix et region par les valeurs de votre groupe d'utilisateurs. Vous trouverez ces valeurs dans la console Amazon Cognito, sur la page Nom de domaine de votre groupe d'utilisateurs.
  • Remplacez samlProviderName par le nom du fournisseur SAML de votre groupe d'utilisateurs (Okta).
  • (Facultatif) Si vous avez déjà ajouté un identifiant pour votre fournisseur d'identité SAML dans le champ Identifiants (facultatif), remplacez identity_provider=samlProviderName par idp_identifier=idpIdentifier, en saisissant votre chaîne d'identifiant personnalisée à la place de idpIdentifier.
  • Remplacez yourClientId par l'ID de votre client d'application et remplacez redirectUrl par l'URL de rappel de votre client d'application. Vous trouverez ces valeurs dans la console Amazon Cognito, sur la page Paramètres du client d'application de votre groupe d'utilisateurs.
  • Remplacez allowedOauthScopes par les portées spécifiques que vous souhaitez que votre client d'application Amazon Cognito demande. Par exemple, scope=email+openid.

Pour en savoir plus, consultez les pages Comment configurer l'interface utilisateur Web hébergée pour Amazon Cognito ? et Point de terminaison Authorize.

Informations connexes

Flux d'authentification du fournisseur d'identité SAML du groupe d'utilisateurs

Comment configurer un fournisseur d'identité SAML tiers avec un groupe d'utilisateurs Amazon Cognito ?

Comment configurer Okta en tant que fournisseur d'identité OpenID Connect dans un groupe d'utilisateurs Amazon Cognito ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 mois